Une procédure de certification volontaire en matière de protection de données est prévue dans le cadre du projet de révision de la LPD. En ce qui concerne la certification d’organisations, un référentiel type en deux parties sera soumis à des entreprises certificatrices pour appréciation. La première partie porte sur les exigences que doit remplir un système de gestion de protection des données, tandis que la seconde se concentre sur une grille de vérification de conformité, soit sur les exigences concrètes de protection des données dérivées de la LPD.
Procédure de certification dans le cadre du projet de révision de la loi fédérale sur la protection des données
Dans le cadre de la révision de la LPD, nous avons poursuivi notre collaboration avec l’OFJ et le SAS/METAS (cf. notre 12ème rapport d’activités 2004/2005, chiffre 1.1.2), dans le but de définir les exigences minimales relatives à l’obtention d’une certification en matière de protection des données pour une organisation ou une procédure de traitement des données. Nous avons ainsi cherché à définir plus précisément un référentiel type, devant permettre - d’une part – de vérifier l’existence et le fonctionnement concret d’un système de gestion de protection des données (SGPD) dans l’organisation auditée, et - d’autre part - de contrôler que le niveau de protection des données au moment de l’audit répond aux exigences de la législation en vigueur. Pour ce faire, il nous a paru judicieux de séparer le référentiel type en deux parties distinctes: la première portant sur le SGPD, la seconde sur la concrétisation des exigences de protection des données.
Pour définir les exigences d’un SGPD, nous nous sommes inspirés de celles formulées dans le récent standard ISO/IEC 27001:2005 (anciennement BS 7799-2:2002) pour les systèmes de gestion de la sécurité de l’information (SGSI). A cet égard, l’art. 7 al. 1 LPD (Sécurité des données) dispose que les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Nous rappellerons que le standard d’audit ISO/IEC 27001:2005 se base complètement sur le standard ISO/IEC 17799:2005, qui comprend 15 chapitres et 134 contrôles au total, parmi lesquels le 15.1.4 porte spécifiquement sur la conformité des traitements de données personnelles. C’est ce dernier contrôle que nous avons concrétisé à la lumière de la LPD et qui forme la seconde partie du référentiel type, appelée «grille de vérification de conformité».
L’hypothèse de travail est la suivante: avec pour conditions un niveau de protection des données reconnu conforme au moment de l’audit et l’apport d’un SGPD, grâce auquel le niveau de protection des données doit en principe se maintenir (voire s’améliorer), les exigences de protection des données devraient être respectées durablement. Une certification de protection des données peut alors être délivrée pour une période de quelques années, durant laquelle des audits intermédiaires sont prévus et au terme de laquelle un nouvel audit complet aura lieu.
Notre objectif est maintenant de soumettre notre projet de référentiel type aux entreprises de certification ayant l’expérience des normes ISO 900x et/ou ISO 17799, dans le but d’en assurer son intégrité et son applicabilité.
[Juillet 2006]