b) L'intervention du Sénat pour permettre le lancement effectif de la labellisation en France
La loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel a inséré un article 11 à la loi « informatique et liberté » afin de prévoir que la CNIL puisse, à la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements, « délivrer un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elles les a reconnus conformes aux dispositions de la présente loi ».
Or, après l'adoption de la loi, le ministère de la Justice a estimé que cette procédure devait être précisée par décret.
Inquiet du retard pris par le Gouvernement pour la publication de ce décret, notre collègue M. Alex Türk, président de la CNIL, a interrogé en 2008 Mme la garde des sceaux, ministre de la justice par une question écrite 79 ( * ) . Celle-ci, prenant acte que la Commission avait « estimé ne pas être en mesure de procéder elle-même aux expertises et évaluations nécessaires » et avait ainsi « exprimé le voeu de recourir à des centres d'évaluation agréés », a répondu qu'une telle externalisation des expertises ne pouvait être envisagée qu'en modifiant la loi « informatique et libertés ».
Aussi, le législateur, à l'initiative de la commission des lois du Sénat, a-t-il inscrit, à l'article 105 de la loi n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures , une disposition modifiant la loi de 1978 afin :
- d'une part, d'ouvrir la possibilité pour le président de la CNIL de recourir aux services d'un expert indépendant, dont le rapport sera transmis à la commission qui décidera ou non de délivrer le label ;
- d'autre part, de prévoir que les modalités de mise en oeuvre de la procédure de labellisation seront déterminées par le règlement intérieur de la CNIL, auquel il appartiendra, par exemple, de fixer la durée de validité du label, le mode de publicité des décisions prises, les conditions de retrait provisoire ou définitif des labels accordés, etc.
c) La nécessaire création de labels européens, voire mondiaux
S'il faut saluer cette intervention du législateur, qui devrait permettre le lancement effectif de la labellisation en France, il reste qu'à l'heure de la circulation des données et produits sur toute la planète, il faut prioritairement agir au niveau européen voire international.
Aussi, vos rapporteurs se réjouissent-ils que l'Union européenne, reprenant une initiative menée en Allemagne, ait conduit une expérimentation concluante dans ce domaine, expérimentation qu'ils jugent nécessaire de pérenniser et d'étendre.
Une démarche de labellisation de produits ou procédures offrant des garanties renforcées en matière de protection de la vie privée a été engagée en Allemagne, en 2005, dans le Land du Schleswig-Holstein, sous l'égide de l'autorité locale de protection des données, dénommée « ULD ».
A ce jour une quarantaine de labels ont été attribués.
Forte de cette expérience, l'ULD a été désignée par la Commission européenne responsable du projet dit « Europrise » (pour « European privacy Seal », littéralement « Label européen de protection de la vie privée »), conduit entre 2007 et 2008. Dans ce cadre, quarante-quatre experts, dont des représentants de la CNIL, ont été accrédités pour l'évaluation préalable des produits soumis à la certification, présentés par quelque trente sociétés.
Le premier label a été décerné à la société néerlandaise Ixquick, conceptrice d'un « métamoteur de recherche », c'est-à-dire d'un moteur de moteurs de recherche : son rôle consiste à agréger les réponses générées par les principaux moteurs (Google, Microsoft, Wikipedia...), sur une même requête et à les présenter de manière ordonnée à ses visiteurs. La société a été récompensée car, d'une part, elle a décidé, en 2006, d'effacer de ses fichiers les adresses IP des utilisateurs au bout de seulement 48 heures, d'autre part, elle garantit qu'aucune donnée personnelle concernant ses utilisateurs n'est transmise à des tiers.
« La remise de cette récompense à Ixquick montre qu'un équilibre est possible entre la nature ouverte de l'Internet, les intérêts des fournisseurs de services et la protection des données des utilisateurs », avait déclaré Viviane Reding, commissaire européen en charge de la société de l'information.
Compte tenu du succès du programme expérimental « Europrise », vos rapporteurs jugent nécessaire de le pérenniser et de l'étendre. En effet, si la mise en place prochaine de la procédure de labellisation en France constitue indéniablement une avancée notable, elle devra nécessairement être suivie par une démarche plus ambitieuse au plan européen, voire international, eu égard à la mondialisation des échanges de produits et données.
Il conviendra donc de définir une autorité collégiale de délivrance des labels chargée :
- d'une part, d'élaborer des référentiels ou cahiers des charges définissant les critères à respecter pour l'obtention d'un label,
- d'autre part, d'accréditer une équipe multinationale composée d'experts-auditeurs mandatés pour évaluer les produits en fonction des référentiels susvisés et pour en contrôler le respect après l'obtention du label.
La recherche d'un accord mondial, qui pourrait trouver sa place dans la réflexion en cours relative à la définition de standards internationaux dans le domaine de la protection des données (cf. supra ), pourrait être facilitée par l'existence, aux Etats-Unis, d'un label, connu sous le nom de « TRUSTe », qui récompense, d'une part, les sites Internet les plus protecteurs des données personnelles en matière de commerce électronique, d'autre part, depuis quelques années, les logiciels de messagerie.
D'après les informations obtenues par vos rapporteurs, ce label a été décerné depuis sa création en 1997 à près de 3.500 sites Internet, parmi lesquels ceux d'eBay, Apple, NFL et AT&T et à 71 logiciels de messagerie.
Recommandation n° 3 : Promouvoir rapidement la création de labels identifiant et valorisant des logiciels, applications et systèmes protecteurs de la vie privée. |
*
79
Question
écrite n° 06628 de M. Alex Türk publiée dans le JO
Sénat du 11/12/2008 - page 2478 ; réponse du Ministère de
la Justice publiée dans le JO Sénat du 01/01/2009 - page 38.
La question et la réponse sont disponibles sur Internet :
http://www.senat.fr/questions/base/2008/qSEQ081206628.html.