Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

La CNIL invente le contrôle informatique... payant

La CNIL invente le contrôle informatique... payant
2009-10-142013-02-11lois, réglementations, standards et certificationsfr
Après le contrôle technique automobile, voici venir le contrôle de conformité CNIL des systèmes d'information des entreprises. Lors des dernières Assises de la Sécurité, Alex Türk (Président de la Commission nationale de l'informatique et des libertés) a évoqué son projet de...
Publié le 14 Octobre 2009 par Eric Wiatrowski dans lois, réglementations, standards et certifications
Après le contrôle technique automobile, voici venir le contrôle de conformité CNIL des systèmes d'information des entreprises. Lors des dernières Assises de la Sécurité, Alex Türk (Président de la Commission nationale de l'informatique et des libertés) a évoqué son projet de labellisation des systèmes d'information. L'idée est assez simple : Le système d'information de l'entreprise serait audité par la CNIL en regard des principes de traitement des données personnelles : proportionnalité, protection, droit de consultation et de rectification... 

C'est un peu une transposition de la loi Sarbanes-Oxley qui impose aux entreprises cotées au NYSE de faire certifier les processus qui manipulent les données financières. C'est aussi équivalent à une certification ISO 20000 ou ISO 27001, qui est une démarche volontaire ou imposée par un donneur d'ordre à son sous-traitant. Et puisque toutes ces certifications impliquent le défraiement des auditeurs et de l'organisme de certification, alors rendons logiquement la labellisation CNIL payante. Comme la CNIL est sans cesse à la recherche de nouveaux budgets afin d'accomplir au mieux sa mission... Reste à voir si les entreprises vont adhérer à ce modèle. Si l'audit est efficace et d'un coût raisonnable, ce peut être un moyen économique de satisfaire aux règlements en vigueur. 

Aujourd'hui, une entreprise s'expose à 2 risques : 1/ Ne pas être conforme et subir des pénalités financières; 2/ Faire de la sur-qualité faute de bien maîtriser le domaine ou d'être piloté par un consultant qui aurait tendance à en rajouter. Il semble que les modalités pratiques de cette labellisation vont être discutées avec les entreprises, ce qui ne peut qu'aider à en établir le succès. A suivre donc...

4 Commentaires

  • 20 Octobre 2009
    2009-10-20
    par
    Oui a priori il y aura une "vignette" au travers du label. C'est alors un élément qui donne confiance pour les clients particuliers ou entreprises de la société labellisée. On ne sait pas non plus si cette démarche sera volontaire ou bien obligatoire à partir d'une certaine taille d'entreprise. Il faut patienter un peu pour en savoir plus.
  • 20 Octobre 2009
    2009-10-20
    par
    C'est avec plaisir que je publie ce complément d'information à un texte qui est forcément réducteur.
    Loi du blog oblige :-).
    Mon article est d'ailleurs accompagné du discours d'Alex Türk pour ceux qui veulent connaître l'intégralité de la chose.
    Enfin, comme l'indique mon article, il faut patienter un peu avant de savoir comment cette labellisation de produits et systèmes sera réalisée, comment les entreprises pourront l'utiliser, et qui paiera quoi et combien.
    Salutations

  • 16 Octobre 2009
    2009-10-20
    par
    Rectificatif de la part de la CNIL

    Il n'est en aucun cas prévu que la CNIL audite les systèmes d'information des entreprises et facture cette prestation. Il semble que dans cet article, plusieurs pouvoirs de la CNIL aient été confondus.

    La CNIL dispose bien d'un pouvoir de contrôle qui lui permet de contrôler sur place la conformité à la loi "informatique et libertés" des systèmes d'information. C'est à ce titre qu'elle a effectué 218 missions de contrôle en 2008 et qu'elle en prévoit 300 en 2009.

    Par ailleurs, la loi permet désormais (depuis le 13 mai dernier) à la CNIL de labelliser des produits ou des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel. Les procédures de labellisation sont en cours d'élaboration.
  • 14 Octobre 2009
    2009-10-20
    par
    Mr.Bean
    J'ai un peu de mal à comprendre la logique...
    Si c'est comme pour le contrôle technique des véhicules alors il doit y avoir vignette qui labellise donc "valorise" la démarche de certification, surtout si celle-ci est volontaire.
    Est-ce le cas d'une façon ou d'une autre ?
    Mr Michou à Mme Michou : Etes-vous CNIL-Compliant ? Oui, regardez: il y un logo "CNIL-2010 Certified" en bas de mon papier à entête ainsi que sur mon site web.

    Oui a priori il y aura une "vignette" au travers du label. C'est alors un élément qui donne confiance pour les cleints particuliers ou entreprises de la société labellisée. On ne sait pas non plus si cette démarche sera volontaire ou bien obligatoire à partir d'une certaine taille d'entreprise. Il faut patienter un peu pour en savoir plus.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage