Des sites internet proposant aux particuliers des services dans l’univers de la sécurité des données se prévalent officiellement d’un « agrément Cnil » parfois assorti d’un joli logo symbolisant un diplôme ou un cadenas. A première vue, cela pourrait être une bonne nouvelle pour la protection des données personnelles des internautes. Il y a juste un petit problème : « l’agrément Cnil » n’existe pas.

***

L’agrément n’est pas le Label

Un site Internet qui prétend disposer d’un « agrément Cnil » est-il bénéficiaire du Label Cnil créé par la Loi Informatique et Libertés modifiée en août 2004 et dont les textes d’applications ont été adoptés mai 2009 ? Impossible, car, à ce jour, la Cnil n’a pas encore décerné un seul de ces labels. Elle envisage de le faire au premier semestre 2011 mais, dans un premier temps, uniquement pour les formations et les audits informatique et libertés réalisés par des sociétés de services et des cabinets d’avocats. Des services en ligne de sécurisation des données pourraient certes, selon la loi, être des candidats légitimes au Label Cnil mais la concrétisation ne pourrait intervenir, au mieux, que d’ici le deuxième semestre 2011. Il faudrait notamment que soit au préalable élaboré un référentiel sous l’égide de la Cnil. Comment prétendre avoir passé avec succès un examen dont le programme n’est pas connu et dont les correcteurs et le jury ne sont pas désignés ?

En matière de faux label, en 2007, la Cnil avait déjà eu l’occasion de taper du point sur la table à propos des dispositifs biométriques. Elle avait jugé nécessaire de préciser publiquement qu’elle ne délivrait pas d’agrément ou de label et que « les sociétés qui commercialisent ce type de dispositifs ne peuvent donc en aucune façon se prévaloir d’un quelconque agrément de la Cnil sur leur produit ». En l’occurrence, des sociétés étaient suspectée de tenir vis-à-vis de leurs prospects un discours des plus ambiguë en laissant croire que la conformité de leur solution biométrique à la doctrine de la Cnil (biométrie sans traces et/ou sans base centralisée) permettait de se dispenser de la formalité d’autorisation préalable.

 Le récépissé n’est un pas un agrément

Une autre interprétation est possible à propos de ces prétendus « agréments Cnil ». Ceux qui s’en prévalent donneraient au récépissé de déclaration à la Cnil une portée qu’il ne possède pas. Sauf à disposer d’un Correspondant Informatique et Libertés (CIL) ou à mettre en œuvre un traitement particulièrement sensible soumis à autorisation, les traitements de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la Cnil. Les éditeurs de services en ligne de sécurisation des données sont donc concernés en tant que responsable de traitement. Après avoir reçu le formulaire de déclaration, la Cnil va ensuite adresser un « récépissé de déclaration » auquel est associé un numéro de déclaration. L’autorité de protection de données prend bien soin de préciser que la délivrance du récépissé ne vaut pas constatation de la conformité du traitement à la loi et qu’elle n’exonère le déclarant d’aucune de ses responsabilités. Bref, il s’agit d’un accusé de réception d’une formalité administrative et non d’une forme de félicitation de la part de la Cnil (ce qui serait en revanche le cas avec l’attribution du futur label). Lorsqu’un site se glorifie de posséder un « agrément » – terme plus marketing que « récépissé » – en affichant un numéro pour crédibiliser son discours, il se vente auprès de ses clients d’avoir respecté une obligation légale. Certes, bien des entreprises ne sont pas à jour de leurs déclarations vis-à-vis de la Cnil mais faut-il aller jusqu’à faire du respect de la loi un facteur de différenciation par rapport à la concurrence ?

 L’agrément Cnil, un label négatif ?

Qu’il s’agisse, par habileté, d’exploiter la confusion dans l’esprit du public par rapport à un Label Cnil encore en gestation ou, par ignorance, de parer de vertus le simple accomplissement d’une démarche administrative obligatoire, « l’agrément Cnil » s’avère finalement paradoxalement utile pour les internautes. Il permet de repérer aisément les sites qui ne sont pas au fait de la question de la protection des données personnelles.

Arnaud Belleil