Le spécialiste européen de la formation certifiante en informatique et management pour les entreprises

Les entreprises pourront bientôt demander un label Cnil

A la suite d'un changement de loi, la Cnil va enfin pouvoir délivrer des labels « informatique et libertés » tout en s'appuyant sur des experts externes indépendants.

Depuis la loi de simplification et de clarification du droit du 12 mai 2009, les principaux obstacles sont enfin levés pour permettre à la Cnil de délivrer aux entreprises des labels qui attestent que leurs produits ou leurs procédures sont conformes aux exigences de la protection des données personnelles.

Jusqu'à présent, cette délivrance n'était pas possible, faute de moyens. En effet, la loi du 6 août 2004 prévoyait déjà des labels Cnil, mais dans la pratique, l'autorité n'avait aucun moyen de les délivrer. Elle n'avait pas suffisamment de personnel et ne pouvait pas faire intervenir des experts externes.

Basé sur le volontariat : Avec la nouvelle loi, c'est différent. La Cnil peut maintenant « recourir à toute personne indépendante qualifiée pour évaluer un produit ou une procédure, sachant que le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ». A la suite de cette analyse, l'autorité décidera d'attribuer ou non ce label.

Cette labellisation n'est pas du tout obligatoire. Elle vient en complément des procédures de déclaration et d'autorisation déjà existantes, que doivent suivre les entreprises ou organisations qui utilisent des systèmes de traitement de données personnelles.

Que pourra-t-on alors labelliser ? La loi indique qu'il doit s'agir d'un produit ou d'une procédure. « Cette définition est assez vague. C'est à nous maintenant de définir dans quels cas les entreprises pourront demander un label et de quelle manière nous allons l'attribuer », explique Gwendal Le Grand, chef du service expertise informatique au sein de la Cnil.

Le projet EuroPrise comme modèle : Pour s'organiser, l'autorité compte s'inspirer du projet européen EuroPrise, auquel elle a participé et qui délivre déjà des labels relatifs à la protection des données personnelles. Ce projet a permis de labelliser, par exemple, un moteur de recherche (Ixquick), un service bancaire en ligne (BGNetPlus) ou un service d'activation et de gestion de licences logicielles (Microsoft). Les évaluations ont été faites à la fois par des experts techniques et par des juristes.

Pour l'entreprise, l'avantage d'être labellisé se situe surtout au niveau de la communication. Ainsi, elle pourra mettre en avant ses bonnes pratiques et se différencier par rapport aux concurrents. Malheureusement, la Cnil ne sait pas encore quand ces labels seront disponibles. (Source 01 Net)