La loi du 12 mai 2009 a réformé la loi Informatique et libertés pour permettre à la Cnil d’avoir recours à des experts extérieurs indépendants dans la procédure de délivrance du « label Informatique et libertés ».
Depuis la loi du 6 août 2004, la Cnil a la faculté, à la demande d’organisations professionnelles ou d’institutions regroupant des responsables de traitement, de « délivrer un label à des produits ou à des procédures tendant à la protection des données à caractère personnel» (article 11-3°- c)).
Présentation du « label Informatique et libertés » issu de la loi du 6 août 2004
Ce label pourrait concerner par exemple :
- un dispositif de vidéosurveillance ;
- un service de transaction en ligne pour un site d’e-commerce ;
- un service d’hébergement de données de santé…
Le label « Informatique et libertés », outre le fait qu’il constitue pour la Cnil un vecteur de diffusion indéniable des préoccupations liées à la protection des données à caractère personnel, était très attendu par les entreprises.
Il est vrai qu’un tel label représente sans nul doute un gage de confiance et la garantie d’un haut niveau de protection des données à caractère personnel pour les personnes concernées.
Par ailleurs, ce label permet indéniablement aux entreprises de se distinguer de leurs concurrents et, en quelque sorte, de s’assurer à priori de la conformité de leur produit ou de leur procédure à la loi Informatique et libertés.
Cependant la disposition créant ce label est restée lettre morte en l’absence de texte d’application.
Lors de la remise du rapport annuel de la CNIL en octobre 2007, son président, M. Alex Türk avait rappelé qu’il souhaitait voir la publication rapide du décret définissant les modalités d’application de cette procédure de labellisation prévue par le législateur.
En effet, les questions suivantes restaient en suspens: comment la Cnil instruit-elle les demandes d’attribution du label ? Peut-elle recourir à des experts extérieurs ?
Zoom sur les modalités d’instruction apportées par la loi du 12 mai 2009
La loi du 12 mai 2009 de simplification et de clarification du droit a enfin apporté un début de réponse aux questions en suspens.
Extrait de la loi du 12 mai 2009
I - La loi n° 78-17 du 6 janvier 1978 précitée est ainsi modifiée :
1° Le c du 3° de l’article 11 est complété par les mots et une phrase ainsi rédigée : « dans le cadre de l’instruction préalable à la délivrance du label par la commission, le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l’entreprise qui demande le label ;
2° Le dernier alinéa du II de l’article 13 est complété par les mots : « , ainsi que les modalités de mise en œuvre de la procédure de labellisation prévue au c du 3° de l’article 11
Cette loi permet enfin à la Cnil d’externaliser l’évaluation des produits candidats en recourant à des experts extérieurs indépendants lorsque la complexité du produit ou de la procédure le justifie.
Par ailleurs, la loi renvoie au règlement intérieur de la Cnil pour les précisions quant aux autres modalités de mise en œuvre de la procédure de labellisation.
La décision finale de délivrer le label restera entre les mains de la Cnil sur la base des résultats de l’évaluation, comme elle le rappelle dans un communiqué sur son site en date du 18 juin 2009.
Cette évolution législative ne peut que faire penser au projet Europrise (Européan Privacy Seal) concernant l’attribution de labels « européens ». Ces labels certifieront la conformité de produits ou services informatiques avec la règlementation européenne sur la protection des données à caractère personnel.
Ce projet, lui aussi basé sur le volontariat, prévoit deux étapes spécifiques pour l’attribution d’un label européen : d’abord une évaluation du produit ou du service par des experts légaux et techniques reconnus, ensuite une validation du rapport d’évaluation par un organisme de certification accrédité.
Notons que le projet Europrise est mené par le Centre Indépendant pour la protection des données à caractère personnel en Allemagne, en partenariat avec les autorités de protection des données de 8 pays dont la France. La Cnil est donc déjà au fait de ce genre de procédure…..