La loi n°2009-526 du 12 mai 2009 de simplification et de clarification du droit a précisé, dans son article 105, les modalités de délivrance d’un label par la CNIL (Commissions nationale de l'informatique et des libertés).
Elle prévoit notamment la possibilité pour la CNIL de faire appel à des experts extérieurs indépendants pour évaluer la conformité d’un produit ou d’une procédure à la loi Informatique et Libertés (art. 11 3° c, modifié de la loi du 6 janvier 1978).
Cette intervention législative était attendue de longue date tant par la CNIL que par les entreprises qui y voient un outil pour valoriser la qualité de leurs produits.
Depuis la réforme d’août 2004, la CNIL peut être saisie par des organisations professionnelles ou des institutions regroupant des responsables de traitement d’une demande de délivrance d’un label concernant des produits ou des procédures tendant à la protection des données (exemples : labellisation d’un moteur de recherche sur Internet, d’un service de transaction électronique en ligne pour un site de commerce électronique, d’un logiciel de gestion de données de santé utilisé au sein d’un hôpital).
La labellisation est particulièrement attendue par les entreprises, car elles y voient un instrument leur permettant de se distinguer par la qualité de leur produit. Pour les utilisateurs, elle leur donnera des indicateurs de confiance dans les produits labellisés en leur permettant aisément d’identifier et de privilégier les produits garantissant un haut niveau de protection de leurs données personnelles. Enfin, pour la CNIL, il s’agira d’un outil d’incitation et de distinction des bonnes pratiques, dans la mesure où les labels constitueront un vecteur de diffusion des règles informatique et libertés.
Toutefois, ce nouveau pouvoir nécessitait de définir des mesures réglementaires d’application, voire une intervention législative si le recours à des experts indépendants extérieurs était envisagée. Or, 5 ans après la loi de 2004, aucun texte d’application n’était intervenu.
La situation a évolué depuis la promulgation, le 12 mai 2009, de la loi de simplification et de clarification du droit, qui a modifié la loi Informatique, fichiers et libertés. La labellisation s’effectuera toujours sur la base du volontariat mais désormais, le législateur permet à la CNIL d’externaliser l’évaluation des produits candidats à la labellisation, en recourant à des experts extérieurs indépendants le cas échéant. Au final, c’est bien la CNIL qui conserve la décision d’attribuer ou non un label à un produit, sur la base des résultats de l’évaluation.
Afin de se préparer à la mise en œuvre de son pouvoir de labellisation, la CNIL avait entamé, dès 2005, une réflexion sur le sujet en rencontrant certains organismes et administrations ayant déjà développé de telles procédures, tels que le COFRAC, la DCSSI (devenue ANSSI) ou la DGME. La CNIL pourra également s’appuyer sur l’expérience acquise dans le projet européen EuroPrise, visant à développer une labellisation européenne.
Source : Actualité de la CNIL du 18 juin 2009
Le communiqué : www.cnil.fr/la-cnil/actu-cnil/article/article/12/bientot-un-label-informatique-et-libertes
L'article 105 de la loi du 12 mai 2009 sur Légifrance
: www.legifrance.gouv.fr/affichTexte.do;?cidTexte=JORFTEXT...
L'article 11 de la loi Informatique, fichiers et libertés modifié sur Légifrance
: www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT...
