Dans le cadre de la mise en œuvre des mécanismes de certification et des labels ou marques en matière de protection des données, en vertu de l’article 43, paragraphe 1, du RGPD, les États membres sont tenus de garantir que les organismes de certification qui délivrent la certification au titre de l’article 42, paragraphe 1, sont agréés par l’autorité de contrôle compétente ou l’organisme national d’accréditation, ou les deux.
Un agrément est délivré par la CNPD dans le cadre de l’article 15 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données qui confère à la CNPD le pouvoir d’agréer les organismes de certification visés à l’article 43, paragraphe 1er, du RGPD.
Objectif de l'agrément
L’agrément a pour valeur et but d’attester avec l’autorité nécessaire les compétences des organismes de certification, ce qui permet d’instaurer la confiance envers le mécanisme de certification.
Devenir organisme de certification agréé par la CNPD
En vue de la délivrance de certifications conformément à l’article 43 du RGPD, un organisme doit obtenir un agrément comme organisme de certification délivré par la CNPD.
L’obtention d’un tel agrément est soumis au respect, par l’organisme candidat, des critères d’agrément de la CNPD.
La délivrance de l’agrément requiert, au préalable, un audit par la CNPD. La CNPD ne peut délivrer des agréments qu’aux organismes établis sur le territoire luxembourgeois.
Rôle d’un organisme de certification
Un organisme de certification a pour activité de délivrer, d’examiner, de renouveler et de retirer les certifications sur la base d’un mécanisme de certification et de critères approuvés.
Un mécanisme de certification et des critères de certification doivent exister pour que l’organisme de certification puisse être agréé conformément à l’article 43 du RGPD. Le périmètre, et le type des critères de certification choisis déterminent de façon significative les procédures de certification.
Exigences d’agréments d’organismes de certification
La CNPD a adopté deux sets de critères d’agrément pour des organismes de certification :
- Luxembourg accreditation requirements of certification bodies (art 43(1)(a)) – Set Alpha. La CNPD transmet la liste des critères d’agréments sur demande (email: certification@cnpd.lu).
Ce set de critères d’agrément s’applique aux organismes de certification qui désirent émettre des certificats pour le schéma de certification GDPR-CARPA.
Une particularité des critères d’agrément désignés « Set Alpha » repose sur la capacité de l’organisme de certification candidat à être en mesure d’émettre des rapports d’assurance ISAE 3000 (Assurance Engagements Other than Audits or Reviews of Historical Financial Information) tel que défini par l’International Auditing and Assurance Standards Board (IAASB). - Luxembourg accreditation requirements of certification bodies (art 43(1)(a)) – Set Bêta.
Ce set de critères d’agrément s’applique aux organismes de certification qui désirent émettre des certificats pour des schémas de certifications autres que GDPR-CARPA qui n’exigent pas l’émission de rapports ISAE 3000 mentionnés plus haut.
Processus d'agrément
Chaque agrément d’organisme de certification est lié à un schéma de certification spécifique. Si un organisme souhaite certifier sous plusieurs schéma, l’obtention de l’agrément spécifique à chaque schéma de certification est requis.
L’agrément d’un organisme de certification se déroule en 3 étapes :
- Etape 1 : Analyse de la demande d’agrément préalable;
Cette étape a l’objectif pour la CNPD d’évaluer dans une première approche la maturité de l’organisme candidat quant à sa capacité d’implémentation des critères d’agrément.
Si la CNPD juge que le niveau de maturité est suffisant, elle émet un avis préalable favorable et la demande d’agrément sera examinée en détail dans l’étape 2.
Si le niveau de maturité est jugé trop faible (p.ex : dossier incomplet, exigences non traitées ou que partiellement traitées, procédures et/ou documents requis non disponibles), la procédure d’agrément s’arrêtera à cette étape 1 et la demande d’agrément est rejetée.
A cet effet, la CNPD insiste sur la nécessité pour l’organisme candidat de transmettre uniquement son dossier de candidature lorsqu’il estime que sa maturité est élevée quant à l’implémentation des exigences d’agrément.
- Etape 2 : Audit complet de la demande d’agrément)
L’audit de l’organisme de certification débute après l’acceptation de la demande d’agrément. Un rapport d’audit initial pouvant indiquer des points à corriger sera, le cas échéant, émis. Dans ce cas, un délai sera fixé pour permettre à l’organisme candidat d’implémenter les mesures adéquates.
Si le rapport d’audit initial identifie des problèmes majeurs dont le délai de résolution estimé dépasse les 4 mois, la CNPD arrête la procédure d’agrément. Une nouvelle demande d’agrément pourra être introduite par l’organisme candidat après qu’il ait procédé aux corrections nécessaires.
Si l’organisme dispose déjà d’un agrément de la CNPD mais souhaite étendre son périmètre pour y inclure un autre schéma de certification RGPD, il pourra introduire une demande d’agrément pour critères additionnels.
- Etape 3 : Délivrance de l’agrément
Une fois que l’organisme demandeur a pris en compte avec succès toutes les mesures adéquates, la CNPD lui délivre son agrément.
L’organisme de certification est tenu à respecter les droits et obligations qui en découlent. Il est soumis à un audit de surveillance annuel résultant en un rapport d’audit de surveillance.
Un agrément d’organisme de certification est valide pour une durée de 5 ans. Si l’organisme souhaite reconduire son agrément pour une nouvelle période de 5 ans alors un audit de renouvellement sera requis et qui résultera en un rapport d’audit de renouvellement.
En pratique :
- Avant de transmettre son dossier, l’organisme candidat est invité à effectuer une auto-évaluation de sa capacité et de sa maturité à répondre aux critères d’agrément. Cette phase est sous le contrôle de l’organisme candidat lui-même ; la CNPD n’intervient pas dans cette phase. Nous conseillons vivement aux organismes qui souhaitent se faire agréer à contacter la CNPD avant d’entreprendre des démarches avancées.
- L’organisme candidat remplit le formulaire de candidature d’organisme de certification pour le schéma de certification de son choix et le transmet à la CNPD.
- Pour le schéma de certification GDPR-CARPA, l’organisme candidat remplit le formulaire suivant : GDPR-CARPA Application form for accreditation
- Pour tout autre schéma de certification, l’organisme candidat remplit le formulaire suivant : Application form for accreditation
- Avec l’envoi de sa candidature, l’organisme candidat verse le montant de la redevance due. Ce montant est dépendant de l’étape de la procédure d’agrément et est fixé par le règlement N.7/2020 du 3 avril 2020 de la CNPD fixant le montant et les modalités de paiement des redevances dans le cadre de ses pouvoirs d’autorisation et de consultation.
Veuillez trouver la procédure relative à l’agrément des organismes de certification adoptée par la Commission nationale au lien ci-après :
Délai pour l’obtention d’un agrément
Le délai pour l’obtention d’un agrément est dépendant de la maturité de l’organisme candidat quant à son implémentation des critères d’agrément. La CNPD s’efforce à limiter le délai de la procédure à une période de 6 mois après l’introduction de la demande d’agrément.
Redevances
Pour tout organisme de certification établi sur le territoire luxembourgeois qui souhaite être agrée par la CNPD en application de l'article 43 du RGPD et sur base des critères d’agrément publiés par la CNPD, le montant de la redevance à verser à la CNPD dépend de l’étape de la procédure d’agrément et est fixée dans le règlement N°7/2020 du 3 avril 2020 de la CNPD fixant le montant et les modalités de paiement des redevances dans le cadre de ses pouvoirs d’autorisation et de consultation.