Le RGPD a établi le cadre relatif à l’élaboration des critères de certification. Ceux-ci doivent se baser sur les principes et règles du RGPD. La procédure de certification quant à elle doit suivre les exigences fondamentales telles que définies dans les articles 42 et 43 du règlement
Lors de l’élaboration des critères, il convient de se concentrer sur le caractère vérifiable, l’importance et la pertinence des critères de certification destinés à démontrer le respect du règlement.
Les critères de certification devraient être formulés de manière à être clairs et compréhensibles et à pouvoir être appliqués dans la pratique.
Lors de l’élaboration des critères de certification, il est tenu compte, des aspects de conformité suivants en fonction du ou des types de traitements visés :
- la licéité du traitement (art. 6)
- les principes du traitement des données (art. 5)
- les droits conférés aux personnes concernées (art. 12 à 23)
- l’obligation de notifier les violations de données(art. 33)
- l’obligation de protection des données dès la conception et par défaut, (art. 25)
- si une analyse d’impact relative à la protection des données, (art. 35)
- les mesures techniques et organisationnelles mises en place (art 32).
La mesure dans laquelle ces considérations sont prises en compte dans les critères peut varier en fonction de la portée de la certification, de son périmètre, des types d’opération(s) de traitement et du secteur d’activité auquel s’applique le traitement.
Quels éléments peuvent être certifiés au titre du RGPD?
Le comité européen de la protection des données considère que le RGPD offre des possibilités très larges quant aux éléments susceptibles d’être certifiés, pour autant que l’accent soit mis sur la démonstration du respect de ce règlement par les responsables traitement et les sous-traitants pour ce qui a trait à leurs opérations de traitement (article 42, paragraphe 1).
De ce fait, la certification au titre du RGPD n’est pas possible pour
- des produits ou services si la notion de responsable de traitement ou de sous-traitant y est absente
- une organisation ou un système de management de la protection des données seul car une telle certification ne porterait pas sur des opérations de traitement.
Lors de l’évaluation d’une opération de traitement, il y a lieu de prendre en compte les trois éléments fondamentaux suivants, le cas échéant:
- les données à caractère personnel (champ d’application matériel du RGPD);
- les systèmes techniques: les infrastructures, telles que le matériel et les logiciels, utilisées pour traiter les données à caractère personnel; et
- les processus et les procédures liés au(x) opération(s) de traitement.
Ces trois éléments fondamentaux sont pertinents pour la conception des procédures et des critères de certification. La mesure dans laquelle ils sont pris en compte peut varier en fonction de l’objet de la certification. Par exemple, dans certains cas, certains composants peuvent être ignorés s’ils ne sont pas jugés pertinents par rapport à l’objet de la certification.
Les lignes directrices 1/2018 de l'EDPB expliquent en détail les éléments pouvant être certifiés au titre du RGPD.
Redevances
La demande d’approbation par la CNPD de critères de certification est soumise au versement d’une redevance par le propriétaire du schéma de certification à la CNPD. Le montant de cette redevance dépend de l’étape de la procédure d’approbation et est fixée dans le règlement N°7/2020 du 3 avril 2020 de la CNPD fixant le montant et les modalités de paiement des redevances dans le cadre de ses pouvoirs d’autorisation et de consultation.
Si un organisme souhaite développer un schéma de certification et le soumettre pour adoption à la CNPD, il est conseillé de contacter l’autorité de contrôle dès la phase de lancement de son projet.