La certification représente un nouvel outil qui répond aux besoins des professionnels souhaitant démontrer que leurs opérations de traitement respectent le règlement général sur la protection des données (RGPD).
La mise en place de mécanismes de certification peut favoriser la transparence et le respect du RGPD et permettre aux personnes concernées d’être informé sur le niveau de protection des données de l’organisation qui traite leurs données personnelles.
Des mécanismes de certification RGPD peuvent également être utiles dans les relations commerciales entre entreprises, par exemple entre le responsable du traitement et son sous- traitant. Ces acteurs peuvent ainsi bénéficier d’une attestation indépendante d’un tiers aux fins de démontrer que leurs opérations de traitement respectent le RGPD.
Quelles sont les caractéristiques principales de la certification?
La certification est
- un processus volontaire qui contribue à démontrer le respect du RGPD. Le règlement n’introduit pas de droit ou d’obligation de certification pour les responsables du traitement et les sous-traitants.
- un outil de responsabilisation ("accountability"). Elle permet aux entreprises, administrations, associations et autres organismes de démontrer leur respect du RGPD.
- un outil juridiquement contraignant contrairement à, par exemple, une certification ISO portant sur les systèmes de management
Quels sont les avantages de la certification?
- La certification permet aux différents organismes de démontrer leur conformité au RGPD.
- La certification peut renforcer la confiance des clients et autres parties prenantes d'un organisme et contribuer ainsi à renforcer son image de marque. En cela, la certification peut constituer un avantage concurrentiel et l’opportunité de se différencier dans son marché.
- Le respect des mécanismes de certification approuvés est un facteur que les autorités de contrôle peuvent considérer comme une circonstance atténuante au cas où elles devraient décider à la suite d’une enquête de prononcer des mesures correctrices ou une amende administrative et pour décider du montant de l’amende.
Qui peut élaborer des critères de certification ?
Un schéma de certification peut être élaboré par une autorité de contrôle comme la CNPD ou par une entité publique ou privée comme par exemple
- une organisation spécialisée dans l’évaluation en matière de protection des données personnelles,
- une association de défense des consommateurs,
- une fédération sectorielle,
- un organisme représentant des catégories de responsables de traitement ou de sous-traitants
L’entité ayant élaborée des critères de certification est désignée comme le propriétaire du schéma de certification.
Les critères d’une certification doivent dans tous les cas être approuvés par l’autorité de contrôle ou par l’EDPB pour en faire une certification au sens du RGPD.
Comme pour les certifications « classiques », les schémas de certification doivent être régulièrement révisés par leur propriétaire afin de prendre en compte l’évolution de la réglementation