Des Labels attendus depuis 2 ans
Nous l'avions signalé en son temps (notre actualité du 28 juillet 2009 "Vers un label "Informatique et libertés" pour les entreprises"), la loi n°2009-526 du 12 mai 2009 de simplification et de clarification du droit a précisé, dans son article 105, les modalités de délivrance d’un label par la CNIL (Commissions nationale de l'informatique et des libertés).
Les premiers référentiels
Les deux premiers référentiels d’évaluation permettant à la CNIL de labelliser des procédures d’audit de traitements de données et des formations "Informatique et libertés" ont été publiés au journal officiel du 3 novembre 2011. La première campagne de labellisation est ainsi officiellement ouverte. Des demandes peuvent dès à présent être adressées à la CNIL.
Depuis 2009, la CNIL peut délivrer des labels à des produits ou à des procédures tendant à la protection des données personnelles.
La CNIL a récemment modifié son règlement intérieur afin de mettre en œuvre ce nouveau pouvoir. Elle y définit la procédure à suivre, qui prévoit notamment l’élaboration de référentiels permettant d’évaluer les produits ou les procédures des demandeurs de labels.
C’est dans ce cadre que la Commission a adopté ses deux premiers référentiels :
- l’un concerne les "Procédures d’audit de conformité de traitements",
- l’autre, les "Formations".
Ils ont été créés à la demande du Club EBIOS (communauté d’experts en gestion des risques) et de l’Association française des correspondants à la protection des données à caractère personnel (AFCDP).
Ces référentiels publics doivent permettre de garantir l’objectivité et la transparence de l’évaluation effectuée par la Commission.
Le référentiel relatif aux procédures d’audit de traitements détermine une série d'exigences relatives à la compétence des auditeurs, à la méthode utilisée et au périmètre de l’audit.
Le référentiel relatif aux formations définit la liste des exigences relatives aux formateurs, aux modalités pratiques de réalisation de la formation et à son contenu.
Tout organisme dont la procédure d’audit de traitements ou la formation correspond au contenu défini par les référentiels adoptés par la CNIL peut dès aujourd’hui déposer une demande de label. Il lui suffit pour cela de compléter le formulaire prévu à cet effet et de communiquer tous les éléments d’information demandés.
Source : Actualité de la CNIL en date du 3 novembre 2011.
En savoir plus
Voir l'actualité complète sur le site de la CNIL :
www.cnil.fr/la-cnil/actu-cnil/article/article/lancement-des-premiers-labels-cnil-procedures-dauditd...
Voir aussi notre actualité du 30 septembre 2010 "Mieux défendre les données personnelles des consommateurs sur le Net"
Voir la modification du règlement intérieur de la CNIL et les référentiels publiés au Journal officiel sur Légifrance :
Délibération n° 2011-249 du 8 septembre 2011 portant modification de l'article 69 du règlement intérieur de la Commission nationale de l'informatique et des libertés et insérant un chapitre IV bis intitulé « Procédure de labellisation » :
www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000024578137
Délibération n° 2011-316 du 6 octobre 2011 portant adoption d'un référentiel pour la délivrance de labels en matière de procédure d'audit tendant à la protection des personnes à l'égard du traitement des données à caractère personnel :
www.legifrance.gouv.fr/affichTexte.do;?cidTexte=JORFTEXT000024742533
Délibération n° 2011-315 du 6 octobre 2011 portant adoption d'un référentiel pour la délivrance de labels en matière de formation tendant à la protection des personnes à l'égard du traitement des données à caractère personnel :
www.legifrance.gouv.fr/affichTexte.do;?cidTexte=JORFTEXT000024742523