Afin d'introduire une autoréglementation renforçant la responsabilité du maître de fichier et stimulant la concurrence, une procédure de certification est prévue dans la nouvelle LPD pour les organisations aussi bien que pour les produits. L'ordonnance relative à la LPD révisée par l'Office fédéral de la Justice devrait contenir les conditions essentielles auxquelles les organismes de certification seront soumis, en accord avec le Service suisse d'accréditation. Parallèlement, un cadre standard d'évaluation du niveau requis de protection des données est en cours d'élaboration par le PFPD, afin de spécifier les exigences minimales d'un système de gestion de la protection des données.
Procédure de certification proposée dans la révision partielle en cours de la loi fédérale sur la protection des données.
En collaboration avec l'Office fédéral de la Justice (OFJ) qui est responsable de la révision partielle de la LPD, nous avons examiné les prochaines étapes nécessaires à la concrétisation de la «procédure de certification». La révision de la LPD devrait permettre d'introduire le principe de l'autoréglementation, afin de renforcer la responsabilité du maître de fichier et de stimuler la concurrence et d’améliorer ainsi la protection et la sécurité des données. Même si le projet vise à encourager les procédures de certification aussi bien des structures d'organisation et processus d'exploitation que des systèmes techniques d'information ou programmes (c’est-à-dire de produits), l'accent devrait être mis en premier lieu sur la certification d'organisations, pour laquelle l'attrait escompté semble plus important. Dans le cadre des travaux préparatoires de révision de l'ordonnance relative à la LPD, des discussions sont en cours pour y introduire les conditions essentielles auxquelles les organismes de certification seront soumis, et ce en collaboration étroite avec le Service suisse d'accréditation (SAS) de l'Office fédéral de métrologie et d'accréditation (METAS). En ce qui concerne les aspects plus spécifiques et pratiques de la procédure de certification proprement dite, à savoir un cadre standard d'évaluation du niveau de protection des données, nous examinons l'opportunité de la mise en place d'un référentiel-modèle. Ce dernier pourrait se baser sur la norme d'audit BS 7799-2:2002 avec ses spécifications pour les systèmes de gestion de la sécurité de l'information (SGSI), prenant elle-même appui sur la norme internationale ISO 17799:2000 avec son code de pratique (CdP: 10 chapitres comprenant non moins de 128 contrôles) pour la gestion de la sécurité de l'information. Dans le cadre du système de gestion de la protection des données (SGPD) envisagé, l'accent devrait être mis sur les principes et méthodes garantissant ou améliorant la protection des données, y compris ceux et celles provenant de modèles ou référentiels utilisés par des instances nationales ou internationales impliquées dans des démarches similaires.
[juillet 2005]