Délibération n° 2011-316 du 6 octobre 2011 portant adoption d'un référentiel pour la délivrance de labels en matière de procédure d'audit tendant à la protection des personnes à l'égard du traitement des données à caractère personnel
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0255 du 3 novembre 2011 |
| Record Number | JORFTEXT000024742533 |
| Enactment Date | 06 octobre 2011 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Date de publication | 03 novembre 2011 |
La Commission nationale de l'informatique et des libertés,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 11, (3°, c) et 13 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vu la délibération n° 2011-249 du 8 septembre 2011 portant modification de l'article 69 du règlement intérieur de la Commission nationale de l'informatique et des libertés et insérant un chapitre IV bis intitulé « Procédure de labellisation » ;
Après avoir entendu M. Jean-François Carrez, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
L'article 11, (3°, c) de la loi du 6 janvier 1978 modifiée dispose qu'« à la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements, [...la CNIL] délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elles les a reconnus conformes aux dispositions de la [loi du 6 janvier 1978 modifiée] ».
La commission a estimé que les demandes faites par des organisations professionnelles ou institutions regroupant principalement des responsables de traitements correspondent à un besoin des professionnels de ce secteur.
C'est la raison pour laquelle la commission accepte de délivrer des labels en matière d'audit tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.
L'article 53-3 du règlement intérieur de la commission précise que « l'examen d'une demande de label est effectué sur la base d'un référentiel établi par la commission. Ce référentiel définit les caractéristiques que doit présenter un produit ou une procédure afin que celui-ci soit reconnu conforme aux dispositions de la loi du 6 janvier 1978 modifiée. Il précise les modalités d'appréciation de cette conformité et, le cas échéant, les particularités relatives aux vérifications subséquentes à la délivrance du label ».
Par conséquent, la présente délibération fixe le référentiel d'évaluation des procédures d'audit tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.
Décide que le référentiel permettant l'évaluation des demandes de labels relatifs à des procédures d'audit tendant à la protection des personnes à l'égard du traitement des données à caractère personnel figure en annexe de la présente délibération, qui est publiée au Journal officiel de la République française.
A N N E X E
RÉFÉRENTIEL AUX FINS DE LABELLISATION DES PROCÉDURES D'AUDIT
DE CONFORMITÉ DE TRAITEMENTS
Introduction
Un audit « Informatique et libertés » est un audit dont les critères permettent de juger de la conformité de traitements de données à caractère personnel à la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.
Le champ d'un tel audit concerne les traitements de données à caractère personnel mis en œuvre dans un périmètre délimité, non seulement en termes de lieux, d'unités organisationnelles, d'activités, de processus ou de période de temps couverte, mais aussi en termes de types de traitements ou de traitements particuliers.
La procédure d'audit décrit le déroulement, la gestion et le contenu des audits, tel qu'ils sont mis en œuvre par le requérant. La terminologie complète est présentée dans les pages suivantes.
A cet effet, le présent référentiel définit les critères d'évaluation :
― portant sur la manière de conduire un audit (exigences sur la méthode, notées « EMxx » dans le chapitre Ier) ;
― portant sur les éléments à contrôler concernant les traitements de données à caractère personnel pendant l'audit (exigences sur le contenu, notées « ECxx » dans le chapitre II).
Une partie de ce référentiel (chapitre Ier) a été élaborée par la commission à partir des exigences de la norme NF ISO 19011 (Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de management environnemental, 2002) et en les adaptant au contexte spécifique des audits « Informatique et libertés ». Seul le texte original et complet de la norme NF ISO 19011, telle que diffusée par AFNOR et accessible via le site internet www.afnor.org, a valeur normative en tant que norme industrielle.
Pour être valable, la démonstration de l'organisme sollicitant le label de la CNIL ne devra pas se contenter de reprendre le contenu des exigences pour indiquer que la procédure d'audit soumise à l'évaluation est conforme à celles-ci. Elle devra décrire la manière dont sa procédure d'audit y répond de manière spécifique, en fournissant des explications et des éléments de preuve tels que :
― un extrait pertinent du référentiel interne d'audit ;
― des exemples de questionnaires ou de scénarios d'entretiens utilisés ;
― un descriptif d'une méthode ou d'une procédure ;
― un descriptif de logiciel d'aide à la décision ou de tout autre système expert informatisé ;
― des copies d'écran illustrant des contrôles informatiques ou organisationnels ;
― tout autre élément documenté à disposition des auditeurs appliquant la procédure d'audit.
Terminologie
|
Audit |
Processus systématique, indépendant et documenté en vue d'obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure des critères prédéterminés sont satisfaits (d'après NF ISO 19011). Note. ― Lorsque deux ou plusieurs organismes d'audit coopèrent pour auditer un seul audité, on parle d'audit conjoint. |
|
Audité |
Organisme qui est audité (NF ISO 19011). |
|
Auditeur |
Personne possédant la compétence nécessaire pour réaliser un audit (NF ISO 19011). |
|
|
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI