Labellisation des produits par la CNIL

Article mis en ligne le 31 janvier 2006

Depuis la nouvelle loi informatique et libertés d’août 2004, la Cnil dispose du nouveau pouvoir de délivrer un label à des produits. Cette disposition novatrice, a priori intéressante, est tombée, pour l’instant, dans les oubliettes.

Quand on recense les principales dispositions qui permettent de différencier la nouvelle loi informatique et libertés d’août 2004 de sa célèbre devancière de janvier 1978, on arrive tout naturellement à l’article 11-3C du texte le plus récent. Il y est indiqué que la Cnil a le pouvoir de délivrer un label à des produits (ou à des procédures) tendant à la protection des personnes à l’égard du traitement des données à caractère personnel. En clair, la Cnil a désormais la possibilité de labelliser des technologies, ce qui n’était pas le cas auparavant.

Cette innovation est d’autant plus remarquable que la Directive européenne d’octobre 1995 sur la protection des données à caractère personnel, transposée dans la loi d’août 2004, prévoyait uniquement que l’autorité, en l’occurrence la Cnil, avait à se prononcer sur la conformité des codes de conduite.

Le législateur a indiqué également que la délivrance de label ne pouvait se faire qu’à « la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements ». En instituant ce passage obligé par des organisations filtres, il s’agissait certainement d’éviter que l’Autorité Indépendante Administrative ne soit engloutie sous les demandes, pas forcément très sérieuses, de Professeurs Nimbus ou d’adeptes du concours Lépine.

Et depuis … plus rien, du moins en apparence.

Alex Türk, le Président de la Cnil, qui a souligné publiquement la faiblesse des moyens dont dispose son institution au regard de ses nouveaux pouvoirs a élaboré une stratégie fondée sur la priorité accordée au « 4C » : Communication, Correspondant, Contrôle et Coercition. Les trois derniers « C » correspondent assez largement à des innovations contenues dans la loi d’août 2004 mais force est de constater que les labels produits ne figurent pas dans la liste des chantiers du moment. On aurait pu pourtant envisager un cinquième « C » pour certification.

Peut-on expliquer ce retard par l’attente d’un décret d’application ? Pas vraiment dans la mesure où on a constaté que la Cnil avait décidé de « vendre » de façon volontariste le dispositif du Correspondant Informatique et Libertés avant que ne soit diffusé le décret.

Comment dès lors expliquer cette prudence, voire cette réticence ?

Il est vrai qu’une labellisation d’un outil par la Cnil laisserait à penser qu’il existe des technologies qui seraient par nature protectrice de la vie privée. Or, en pratique, c’est bien souvent l’usage qui est fait d’une technologie qui peut être jugée conforme ou non aux grandes principes de la réglementation en matière de protection de la vie privée. Par exemple, un dispositif technique qui trace l’activité des salariés sur les réseaux sera le plus souvent considéré comme intrusif mais il peut tout aussi bien être mis en œuvre pour garantir aux clients et prospects que l’organisation protège l’accès à leurs données personnelles grâce à la traçabilité.

Quelles technologies pourraient prétendre au label Cnil ?

Cette objection ne pourrait cependant être définitive car il semble bien qu’il existe bien, tout de même, deux familles d’outils susceptibles de faire l’objet d’une labellisation par la Cnil. Les premiers pourraient être assimilés aux technologies de protections de la vie privée (ou PETs pour Privacy Enhancing Technologies). A titre d’exemple, les dispositifs techniques permettant de procéder à l’anonymisation des données entreraient naturellement dans cette catégorie. Plus audacieuse, mais tout aussi intéressante, serait la politique qui consisterait pour la Cnil à labelliser des outils appartenant à des domaines aussi « sensibles » que la biométrie, la géolocalisation ou la cybersurveillance.

Pour avancer dans ce chantier, certes complexe, la Cnil n’est pas obligée de partir de zéro. Il lui serait possible de s’inspirer de ses propres travaux en matière d’avis sur les codes de conduite proposés par les associations professionnels en matière d’e-mailing. Elle pourrait également tenir compte du travail effectué de longue date par la DCSSI (Direction centrale de la sécurité des systèmes d’information) dans le registre de la certification des produits de sécurité.

Elle pourrait aussi à l’évidence s’appuyer sur la riche expérience acquise par l’autorité de protection du Schwelsig Holstein (Allemagne), véritable précurseur européen en matière de délivrance de privacy seals (Datenschutz-Gütesiegel). La récente visite d’une délégation de la Cnil semble indiquer que les choses bougent enfin. Il reste maintenant aux industriels à se manifester pour que la Cnil découvre enfin son cinquième « C ».

Arnaud Belleil

Partager cet article

Restez informé !

Abonnez-vous à notre newsletter

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

A lire aussi

Article
Avec l'accélération de la dématérialisation et la croissance du nombre de services proposés en ligne, nous
En savoir plus
Article
Les 5 choses à faire pour rater son projet de dématérialisation des factures 2024
En savoir plus
Article
Les actualités sur la facture électronique, la migration vers la cryptographie post-quantique et l'externalisation ...
En savoir plus
Téléphone Email