Le 12 octobre 2022, la CNPD a délivré à la société à responsabilité limitée EY PFS Solutions l’agrément dans le contexte du système de certification « GDPR-CARPA », élaboré par la CNPD. Il s’agit du tout premier agrément attribué par la CNPD à un organisme de certification au Luxembourg et en Europe. EY PFS Solutions, établie au Luxembourg, peut dès lors réaliser des certifications RGPD (Règlement Général sur la Protection des Données) sur base du mécanisme de certification « GDPR-CARPA » pendant la durée de validité de l’agrément qui est de 5 ans.
A travers l’outil de la certification, les entreprises, administrations, associations et autres organismes établis au Luxembourg ont la possibilité de démontrer que leurs opérations de traitement de données à caractère personnel respectent le RGPD. Elle offre ainsi aux responsables de traitements et aux sous-traitants un haut niveau de conformité au RGPD pour leurs opérations de traitements de données, faisant l’objet de la certification.
La mise en place de mécanismes de certification a pour but de favoriser la transparence et le respect du RGPD et de permettre aux personnes concernées d’être informé sur le niveau de protection des données de l’organisation qui traite leurs données personnelles. Des mécanismes de certification RGPD peuvent également être utiles dans les relations commerciales entre entreprises, par exemple entre le responsable du traitement et son sous- traitant. Ces acteurs peuvent ainsi bénéficier d’une attestation indépendante d’un tiers aux fins de démontrer que leurs opérations de traitement de données respectent le règlement européen.
Le caractère unique et innovant du schéma de certification de la CNPD est qu’il repose sur un rapport ISAE 3000 Type 2 qui permet d’émettre une opinion sur la bonne mise en œuvre du dispositif de contrôle dans la durée, tout en engageant la responsabilité formelle de l’auditeur. Cela garantit un niveau d’exigence important, facteur décisif pour que les acteurs et surtout les personnes concernées se sentent en confiance concernant les traitements de leurs données personnelles couverts par la certification.