La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 11, (3°, c) et 13 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004 ;

Vu la délibération n° 2011-249 du 8 septembre 2011 portant modification de l'article 69 du règlement intérieur de la Commission nationale de l'informatique et des libertés et insérant un chapitre IV bis intitulé « Procédure de labellisation » ;

Après avoir entendu M. Jean-François Carrez, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

L'article 11, (3°, c) de la loi du 6 janvier 1978 modifiée dispose qu'« à la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements, [...la CNIL] délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elles les a reconnus conformes aux dispositions de la [loi du 6 janvier 1978 modifiée] ».

La commission a estimé que les demandes faites par des organisations professionnelles ou institutions regroupant principalement des responsables de traitements correspondent à un besoin des professionnels de ce secteur.

C'est la raison pour laquelle la commission accepte de délivrer des labels en matière d'audit tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.

L'article 53-3 du règlement intérieur de la commission précise que « l'examen d'une demande de label est effectué sur la base d'un référentiel établi par la commission. Ce référentiel définit les caractéristiques que doit présenter un produit ou une procédure afin que celui-ci soit reconnu conforme aux dispositions de la loi du 6 janvier 1978 modifiée. Il précise les modalités d'appréciation de cette conformité et, le cas échéant, les particularités relatives aux vérifications subséquentes à la délivrance du label ».

Par conséquent, la présente délibération fixe le référentiel d'évaluation des procédures d'audit tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.

Décide que le référentiel permettant l'évaluation des demandes de labels relatifs à des procédures d'audit tendant à la protection des personnes à l'égard du traitement des données à caractère personnel figure en annexe de la présente délibération, qui est publiée au Journal officiel de la République française.

Pour la présidente :

Le vice-président délégué,

E. de Givry