Entwicklung der Zertifizierung von Produkten und Dienstleistungen

Des représentants d'organes fédéraux et cantonaux, ainsi que de diverses entreprises privées actives dans les domaines de l'informatique, de la finance et de la santé, de la certification et de l'accréditation, se sont réunis au printemps 2010 pour faire le point sur la certification de produits et de services. Le groupe de travail est arrivé à la conclusion qu'une certification de produits (matériels/logiciels) informatiques, basée par exemple sur le catalogue d'exigences «European Privacy Seal» (EuroPriSe), n'était - sur le plan financier - guère envisageable dans un petit marché comme le nôtre et qu'elle présentait par ailleurs divers obstacles techniques et juridiques. En outre, plusieurs participants ont formulé le besoin d'introduire une certification des services impliquant un traitement de données personnelles. Du point de vue technique, une telle certification serait sans autre réalisable, par exemple en étendant la norme ISO/CEI 20000 pour la gestion des services à la protection des données, à l'instar de la certification des organisations qui a été réalisée avec succès sur la base d'ISO/CEI 27001. Du point de vue juridique toutefois, la certification des services met en présence le mandant ou bénéficiaire de service, qui est en principe maître de fichier, et le mandataire ou prestataire de service, qui est un tiers au sens de l'article 10a alinéa 2 de la loi fédérale sur la protection des données (LPD). Selon cette disposition, le mandant doit en particulier s'assurer que le tiers garantit la sécurité des données, ce qui peut être interprété comme une invitation à la certification du tiers en matière de sécurité de l'information (ISO/CEI 27001). Le mandant étant cependant responsable du respect des principes de protection des données (éventuellement par le biais d'une certification organisationnelle), une certification en matière de protection des données est difficilement envisageable pour le prestataire de service.

Force est aussi de constater que la législation actuelle comporte des lacunes ou des imprécisions: l'art. 11 al. 1 LPD ne prévoit que la certification des systèmes et non celle des services; l'art. 5 de l'ordonnance sur les certifications en matière de protection des données (OCPD) qui règle la certification de produits pourrait être remplacé ou complété par une nouvelle disposition portant sur la certification de services. L'art. 11 al. 2 LPD dispose quant à lui que le Conseil fédéral édicte des dispositions sur l'introduction d'un label de qualité de protection des données, mais aucune prescription n'a été prévue dans l'ordonnance correspondante.

Face à ces problèmes et tenant compte du fait que nos pays voisins, comme l'Allemagne et la France, ont également des difficultés à mettre sur pied une certification des produits et/ou des services, nous avons décidé en été 2010 de geler nos travaux dans le domaine et avons prié l'Office fédéral de la justice de bien vouloir clarifier les questions législatives relatives à cette certification, le cas échéant dans le cadre de la révision de la LPD.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/18--rapporto-d-attivita-2010-2011/entwicklung-der-zertifizierung-von-produkten-und-dienstleistunge.html