Le schéma de certification "GDPR Carpa"

Les nombreux échanges entre la CNPD et les entreprises pendant la phase de préparation au RGPD, ont démontrés que celles-ci ont un intérêt particulier pour la certification sous RGPD.

Etant persuadée de la valeur ajoutée que la certification peut offrir, la CNPD a pris une approche particulièrement proactive en développant, conjointement avec les entreprises d’audit, un référentiel de certification basé sur le cadre d’évaluation international de conformité ISAE (« International Standard on Assurance Engagements »).

Ainsi, la CNPD a proposé le schéma dénommé « GDPR-CARPA » qui a été soumis à une première consultation publique en juin 2018 puis, après avoir intégrées les retours reçus au niveau national et européen, des travaux à une deuxième consultation en mai 2021.

La CNPD a orienté ses travaux selon deux piliers :

  • Le premier pilier concerne les critères de certification auxquels doit répondre une organisation qui souhaite que certains de ses traitements de données soient certifiés. 
  • Le deuxième pilier concerne les critères d’agrément auxquels doit répondre une organisation qui souhaite agir en tant qu’organisme de certification. 

Dans ce contexte elle a contribué en tant que lead-rapporteur, au Comité Européen pour la Protection des Données, à

  • la mise en place de procédures pour l’adoption des critères d’agrément des organismes de certification,
  • l’adoption des critères de certification et
  • l’adoption d’un label européen pour la certification.

La CNPD est par ailleurs la première autorité de protection des données à soumettre ses critères d’agrément à l’EDPB pour avis.

Dernière mise à jour