La CNPD a adopté les critères de certification GDPR-CARPA le 13 mai 2022. GDPR-CARPA est le premier schéma de certification sous le RGPD (règlement général sur la protection des données) au niveau national et international.
Une conférence de lancement aura lieu le 28 juin 2022 à 14h00. Cliquez ici pour de plus amples informations.
La certification en matière de protection des données personnelles
Les entreprises, administrations, associations et autres organismes établis au Luxembourg ont désormais la possibilité de démontrer que leurs opérations de traitement de données à caractère personnel respectent le RGPD. GDPR-CARPA offre ainsi aux responsables de traitement et aux sous-traitants un haut niveau de conformité au RGPD pour leurs opérations de traitements faisant l’objet de la certification.
La mise en place de mécanismes de certification peut favoriser la transparence et le respect du RGPD et permettre aux personnes concernées de mieux évaluer le niveau de protection des données offert par les produits, services, processus ou systèmes des organisations qui traitent leurs données personnelles. Une certification RGPD ne certifie pas une organisation mais des opérations de traitements faisant l’objet de la certification.
GDPR-CARPA : le premier schéma de certification sous le RGPD
La CNPD est à ce jour la seule autorité de supervision européenne à avoir développé elle-même un schéma de certification sous le RGPD. En tant qu’entité qui a élaboré les critères de certification, la CNPD est également propriétaire du schéma de certification.
Les nombreux échanges de la CNPD avec des acteurs de l’audit depuis l’entrée en application du RGPD en 2018 ont aidé à déterminer l’intérêt et le type de certification sous le RGPD qui pourrait être utile pour l’écosystème luxembourgeois. En consultation avec ces acteurs, elle a développé une première version de son schéma de certification. Ensuite, les critères de certification ont été examinés par ses homologues européens dans le cadre du mécanisme de cohérence européen et ont fait l’objet d’un avis émis par le Comité Européen sur la Protection des Données (CEPD).
Au niveau européen, la CNPD a joué un rôle moteur dans l’avancement des travaux du CEPD dans le domaine de la certification, notamment en tant que rapporteur pour les guidances ou pour permettre au CEPD d’émettre ces avis formels sur ce nouveau sujet.
Particularité unique de la certification GDPR-CARPA
Au Luxembourg, la CNPD a également comme rôle d’agréer les organismes de certification RGPD. Les critères d'agréments des organismes de certification, liés à la certification GDPR-CARPA, développés par la CNPD, se basent sur la norme ISAE 3000 (audit), ISCQ1 (contrôle qualité des organismes d’audit) et le standard ISO 17065 (accréditation d’organismes de certification). Ces critères d’agrément encadrent les travaux effectués par l'organisme de certification et le professionnel de l'audit.
Le caractère unique du schéma de certification de la CNPD est qu’il repose sur un rapport ISAE 3000 Type 2 qui permet d’émettre une opinion sur la bonne mise en œuvre du dispositif de contrôle dans la durée tout en engageant la responsabilité formelle de l’auditeur. Cela garantit un niveau d’exigence important, facteur décisif pour que les acteurs et surtout les personnes concernées se sentent en confiance concernant les traitements de leurs données personnelles couvert par la certification.