État de situation de la certification de produits/services

Un groupe de travail comprenant des représentants des différents milieux intéressés par une certification de produits/services, à savoir d'organes fédéraux, de cantons, de certificateurs, de l'accréditation et de diverses entreprises privées des domaines informatique, finance et santé, s'est réuni à l'invitation du PFPDT le 20.04.2010 pour faire le point sur cette thématique. Il en est ressorti qu'une certification de biens ou produits informatiques (matériels et logiciels ou systèmes pour procédures automatisées de traitement de données), par exemple basée sur le catalogue d'exigences EuroPriSe, n'était juridiquement, techniquement et financièrement guère envisageable dans un petit marché comme le nôtre. Plusieurs participants ont par contre formulé le besoin d'introduire une certification de services.

Du point de vue juridique, force est de constater que la législation actuelle comporte certaines lacunes ou imprécisions concernant l'art. 11, 1er al. LPD (Loi fédérale sur la protection des données) qui fait mention des systèmes mais pas des services, et l'art. 5 OCPD (Ordonnance sur les certifications en matière de protection des données) réglant la certification de produits, qui devrait être biffé ou alors complété par un nouvel article portant sur la certification de services informatiques. Dans ce contexte devra également être clarifiée l'interaction avec l'article 10a LPD qui règle le traitement de données par un tiers.

Face à ces incertitudes et tenant compte du fait que nos pays voisins comme l'Allemagne ou la France ont également des difficultés à mettre sur pied une telle certification, nous avons décidé de geler nos travaux dans ce domaine. Dans le même temps, nous avons demandé en novembre 2010 à l'Office fédéral de la justice de bien vouloir réévaluer cette problématique de la certification de systèmes, produits et/ou services. Dans le cas où l'actuelle évaluation en cours de la LPD devait démontrer la nécessité de procéder à une révision de cette loi, les travaux législatifs visant à une révision des articles 11 LPD et 5 OCPD pourraient y être intégrés.

État: 2011

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/certification-en-matiere-de-protection-des-donnees/etat-de-situation-de-la-certification-de-produits-services.html