1

La certification et les instruments de droit souple

< Rapport d'information de la commission des affaires européennes >

Loin d’être uniquement des autorités titulaires de pouvoirs d’enquête et de sanctions, les autorités nationales en charge du respect et de la protection des données personnelles sont incitées par le règlement à accompagner les acteurs privés et à mener des actions de prévention. Cette dernière passe avant tout par des instruments dits de « droit souple », même si la violation des dispositions du règlement entraîne des sanctions, définies dans le projet de loi selon un nouveau référentiel. L’article 1er du projet de loi reprend un instrument crucial de l’arsenal dont pourra disposer la CNIL pour garantir en amont la conformité du traitement des données avec les dispositions du RGPD, à savoir la certification. Le règlement, s’il n’impose pas de telle mesure, encourage les États membres à adopter des systèmes de certification cohérents (30). Ces certificats doivent permettre de démontrer que les responsables de traitement et les sous-traitants respectent les droits et libertés des personnes concernées. Cette certification, d’une durée maximale de trois ans, ne vaut toutefois pas rescrit, puisqu’elle « ne diminue pas la responsabilité du responsable du traitement ou du sous-traitant quant au respect » du RGPD (31).

À ce titre, l’article 1er du projet de loi confie à la CNIL la capacité d’agréer des personnes, des produits, des systèmes ou des procédures, afin d’en démontrer la conformité avec les dispositions du règlement, mais aussi des organismes certificateurs, sur la base de l’accréditation délivrée par le Comité français d’accréditation (COFRAC).

La CNIL pouvait déjà certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne (32), mais le projet de loi étend ses capacités de certification tout en les insérant dans un ensemble gradué d’instruments à la normativité faible (règlements types, prescription de mesures techniques et organisationnelles supplémentaires…).

Votre rapporteure salue la diversification des outils de la CNIL, et ce d’autant plus qu’il est admis que le droit souple est adapté aux évolutions technologiques actuelles, ainsi que le Conseil d’État l’affirme dans son étude annuelle de 2013 (33). Elle regrette toutefois deux aspects que délaisse l’article 1er dans son état actuel de rédaction.

En premier lieu, l’articulation des mécanismes de certification avec d’autres formes de droit souple déjà présents dans la loi relative à l'informatique, aux fichiers et aux libertés, n’est pas évidente. En particulier, la CNIL « délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l'instruction préalable à la délivrance du label par la commission ; la commission peut également déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d'un label (34). » Votre rapporteure estime qu’il existe ici une marge de progrès, et qu’en particulier l’intégration des modalités de labellisation dans le cadre de la certification permettrait de faire émerger un label unique, facilement reconnaissable et dont les entreprises qui en bénéficient peuvent immédiatement se prévaloir auprès de leurs clients comme de leurs fournisseurs.

Ensuite, votre rapporteure remarque la prégnance du fait national dans ce premier article. Si cela est moins gênant en matière de règlements types et, plus largement, de conseils aux entreprises, qui n’entraînent pas nécessairement de conflit de normes avec les autres autorités de contrôle, il n’en va pas de même en matière de certification. Au moment où, en matière de cybersécurité (35), émerge un système de certification européen fondé sur des standards communs, il est regrettable qu’un dispositif comparable et harmonisé ne soit pas proposé en matière de protection des données personnelles et de conformité au RGPD.

D’autre part, comme les représentants du CIGREF (36) l’ont expliqué à votre rapporteure, la CNIL pourrait avantageusement se renforcer avec une équipe de médiation du droit des données. En effet, les méthodes de médiation font leur preuve dans d’autres cadres pour régler les litiges entre entreprises et permettent d’éviter un trop grand contentieux. Ce type de techniques va s’avérer nécessaire pour régler des litiges tant entre responsables de traitement et sous-traitants qu’entre personnes concernées et plateformes, dans des cas tels que les demandes de mise en œuvre du « droit à l’oubli ». Votre rapporteure propose donc d’ajouter cette possibilité aux nouvelles missions de la CNIL.

< Rapport d'information de la commission des affaires européennes >