L’entrée en vigueur du règlement européen sur la protection des données donne la possibilité de mettre en œuvre des mécanismes de certification en matière de protection des données. A cet effet, la CNPD a élaboré un schéma de certification de traitements de données à caractère personnel « GDPR Certified Assurance Report based Processing Activities (GDPR-CARPA)». Ce schéma de certification s’adresse aux responsables de traitement et aux sous-traitants.
Le schéma de certification est composé de deux documents :
- les critères de certification : exigences obligatoires à évaluer pour la mise en œuvre d’un rapport des contrôles sur les mesures de protection des données organisationnelles et techniques en place, pour être admissible à la certification.
- les critères d’accréditation des organismes de certification et les mécanismes de certification:
- Exigences d’accréditation des organismes de certification : description des exigences que doit remplir un organisme de certification afin d'être admissible à une accréditation en tant qu'organisme de certification dans le cadre de ce schéma de certification.
- Processus de certification : description du processus de certification en lien avec les critères de certification et description du processus de certification sur base d’un rapport d’assurance ISAE3000.
La CNPD souhaite recueillir l’avis des organisations en soumettant à consultation publique son projet de schéma de certification « GDPR CARPA ». Les observations, commentaires et suggestions d’amélioration peuvent être transmis via ce formulaire à alain.herrmann@cnpd.lu avant le 29 juin 2018.
NB : les documents sont actuellement uniquement disponibles en anglais – une version française sera publiée lors de l’adoption du schéma de certification.