Les « certifications » représentent une nouvelle possibilité pour les responsables de traitement et sous-traitants de démontrer que leurs opérations de traitement respectent le réglement général sur la protection des données (RGPD). Dans le cadre de nombreux échanges entre la CNPD et les entreprises pendant la phase de préparation au RGPD, celles-ci ont manifesté un intérêt particulier pour ce nouvel « outil ».
Etant persuadée de la valeur ajoutée que la certification peut offrir, la CNPD a pris une approche particulièrement proactive en élaborant, conjointement avec les professionnels du secteur, un schéma de certification.
Ainsi, le schéma dénommée « GDPR-CARPA » a été soumis à une consultation publique en juin 2018. (liens ci-dessous). La CNPD tient à remercier tous les contributeurs pour leur retour encourageant et constructif.
La présente communication a comme objectif de fournir aux responsables de traitement et sous-traitants aussi bien qu’aux potentiels organismes de certification un état des lieux des travaux réalisés ainsi que de la démarche que la CNPD compte entreprendre par la suite.
La CNPD a orienté ses travaux selon deux piliers :
- Le premier pilier concerne les critères de certification auxquels doit répondre une organisation qui souhaite que certains de ses traitements de données soient certifiés. Ce pilier constituait une priorité dans le sens où une organisation candidate à la certification de ces traitements doit, le cas échéant, préalablement à la procédure de certification, mettre en place des mesures spécifiques pour pouvoir répondre favorablement aux critères. Les retours qui ont été fournis dans le cadre de la consultation publique nous permettent de finaliser les travaux de ce pilier. Les organisations intéressées pour se faire certifier des traitements sont encouragées à étudier ces critères et d’évaluer dans quelle mesure elles veulent prendre une approche proactive pour se préparer. Les organisations intéressées peuvent s’adresser à la CNPD en cas de questions.
- Le deuxième pilier concerne les critères d’agrément auxquels doit répondre une organisation qui souhaite agir en tant qu’organisme de certification. Alors que le schéma de certification GDPR-CARPA, soumis à consultation publique reprenait déjà une description de ces critères, la CNPD a décidé de continuer à les développer, notamment pour les aligner avec les travaux d’élaboration d’une guidance sur les critères d’accréditation qui sont actuellement réalisés au niveau du European Data Protection Board (EDPB). Notre objectif étant d’assurer une cohérence européenne de nos travaux, nous allons communiquer ces critères à l’EDPB après finalisation de ladite guidance - probablement vers la fin de cette année ou début 2019. La CNPD compte continuer à réaliser les travaux en concertation avec les professionnels du secteur disposant de compétences dans le domaine de la protection des données et dans le domaine de la certification. Pour toutes questions, informations complémentaires ou participation, vous êtes invités à prendre contact avec les services compétents de la CNPD.