Intervention de Daniel le Métayer

Deux questions – liées – me tiennent à coeur : celle de la certification et celle de l'analyse de risque. J'ai tendance à penser qu'il faut sortir de cette vision binaire : on ne coupera pas à une démarche d'analyse de risque. Ce qui compte est de savoir comment cette analyse est réalisée et de savoir si, dans la boucle, un tiers sera capable de la valider, de la justifier, voire de la « certifier ».

On sait que la CNIL décerne déjà des labels à des procédures d'audit, des formations. J'ai vu qu'un référentiel avait été publié pour des produits – mais à ma connaissance il n'y a pas eu encore de produit certifié. Peut-on vraiment espérer que le privacy by design que vous appelez de vos voeux, que la diffusion des techniques de protection de la vie privée prenne vraiment une certaine ampleur, tant qu'il n'y a pas vraiment d'éléments différenciateurs, tant qu'il n'y a pas, comme dans d'autres industries, des labels certifiant la bonne qualité d'un produit ? Jusqu'où la CNIL doit-t-elle aller et comment les rôles doivent-ils se répartir ? En matière de sécurité, il existe tout un écosystème autour de la certification : des sociétés conseillent, d'autres aident à certifier, d'autres encore sont accréditées pour certifier le compte de l'American National Standards Institute (ANSI). Que pensez-vous de cette démarche en matière de vie privée, étant bien entendu que les exigences sont ici plus difficiles à caractériser ? Faut-il aller dans cette direction ? La CNIL peut-elle être amenée à jouer un rôle similaire à celui de l'ANSI en publiant des référentiels, en accréditant des sociétés qui, elles, procéderaient aux évaluations qui conduiraient à la délivrance de labels ?