14 octobre
La CNIL invente le contrôle informatique... payant
Après le contrôle technique automobile, voici venir le contrôle de conformité CNIL des systèmes d'information des entreprises.
Lors des dernières Assises de la Sécurité, Alex Türk (Président de la Commission nationale de l'informatique et des libertés) a évoqué son projet de labellisation des systèmes d'information.
L'idée est assez simple : Le système d'information de l'entreprise serait audité par la CNIL en regard des principes de traitement des données personnelles : proportionnalité, protection, droit de consultation et de rectification... C'est un peu une transposition de la loi Sarbanes-Oxley qui impose aux entreprises cotées au NYSE de faire certifier les processus qui manipulent les données financières.
C'est aussi équivalent à une certification ISO 20000 ou ISO 27001, qui est une démarche volontaire ou imposée par un donneur d'ordre à son sous-traitant.
Et puisque toutes ces certifications impliquent le défraiement des auditeurs et de l'organisme de certification, alors rendons logiquement la labellisation CNIL payante. Comme la CNIL est sans cesse à la recherche de nouveaux budgets afin d'accomplir au mieux sa mission...
Reste à voir si les entreprises vont adhérer à ce modèle. Si l'audit est efficace et d'un coût raisonnable, ce peut être un moyen économique de satisfaire aux règlements en vigueur.
Aujourd'hui, une entreprise s'expose à 2 risques :
1/ Ne pas être conforme et subir des pénalités financières;
2/ Faire de la sur-qualité faute de bien maîtriser le domaine ou d'être piloté par un consultant qui aurait tendance à en rajouter.
Il semble que les modalités pratiques de cette labellisation vont être discutées avec les entreprises, ce qui ne peut qu'aider à en établir le succès. A suivre donc...
Assises de la Sécurité : http://www.lesassisesdelasecurite.com/
CNIL : http://www.cnil.fr/
Vidéo Alex Türk :
Article LeMagIT : http://www.lemagit.fr/imprimer/dcssi-cybercriminalite-ANSSI-assises-securite/4481/1/assises-securite-cooperation-public-prive-cle-voute-cyberdefense/
NYSE : http://www.nyse.com/
Partager cette note :
J'ai un peu de mal à comprendre la logique...
Si c'est comme pour le contrôle technique des véhicules alors il doit y avoir vignette qui labellise donc "valorise" la démarche de certification, surtout si celle-ci est volontaire.
Est-ce le cas d'une façon ou d'une autre ?
Mr Michou à Mme Michou : Etes-vous CNIL-Compliant ? Oui, regardez: il y un logo "CNIL-2010 Certified" en bas de mon papier à entête ainsi que sur mon site web.
Oui a priori il y aura une "vignette" au travers du label. C'est alors un élément qui donne confiance pour les cleints particuliers ou entreprises de la société labellisée. On ne sait pas non plus si cette démarche sera volontaire ou bien obligatoire à partir d'une certaine taille d'entreprise. Il faut patienter un peu pour en savoir plus.
Rectificatif de la part de la CNIL
Il n'est en aucun cas prévu que la CNIL audite les systèmes d'information des entreprises et facture cette prestation. Il semble que dans cet article, plusieurs pouvoirs de la CNIL aient été confondus.
La CNIL dispose bien d'un pouvoir de contrôle qui lui permet de contrôler sur place la conformité à la loi "informatique et libertés" des systèmes d'information. C'est à ce titre qu'elle a effectué 218 missions de contrôle en 2008 et qu'elle en prévoit 300 en 2009.
Par ailleurs, la loi permet désormais (depuis le 13 mai dernier) à la CNIL de labelliser des produits ou des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel. Les procédures de labellisation sont en cours d’élaboration.
C'est avec plaisir que je publie ce complément d'information à un texte qui est forcément réducteur.
Loi du blog oblige :-).
Mon article est d'ailleurs accompagné du discours d'Alex Türk pour ceux qui veulent connaître l'intégralité de la chose.
Enfin, comme l'indique mon article, il faut patienter un peu avant de savoir comment cette labellisation de produits et systèmes sera réalisée, comment les entreprises pourront l'utiliser, et qui paiera quoi et combien.
Salutations
Oui a priori il y aura une "vignette" au travers du label. C'est alors un élément qui donne confiance pour les clients particuliers ou entreprises de la société labellisée. On ne sait pas non plus si cette démarche sera volontaire ou bien obligatoire à partir d'une certaine taille d'entreprise. Il faut patienter un peu pour en savoir plus.