Les nombreux échanges entre la CNPD et les entreprises pendant la phase de préparation au RGPD, ont démontrés que celles-ci ont un intérêt particulier pour la certification sous RGPD.
Etant persuadée de la valeur ajoutée que la certification peut offrir, la CNPD a pris une approche particulièrement proactive en développant un référentiel de certification basé sur le cadre d’évaluation international de conformité ISAE (« International Standard on Assurance Engagements »).
Ainsi, la CNPD a proposé le schéma dénommé « GDPR-CARPA » qui a été soumis à une première consultation publique en juin 2018 puis, après avoir intégrées les retours reçus au niveau national et européen, des travaux à une deuxième consultation en mai 2021.
La CNPD a orienté ses travaux selon deux piliers :
- Le premier pilier concerne les critères de certification auxquels doit répondre une organisation qui souhaite que certains de ses traitements de données soient certifiés.
- Le deuxième pilier concerne les critères d’agrément auxquels doit répondre une organisation qui souhaite agir en tant qu’organisme de certification.
Dans ce contexte elle a contribué en tant que lead-rapporteur, au Comité Européen pour la Protection des Données, à
- la mise en place de procédures pour l’adoption des critères d’agrément des organismes de certification,
- l’adoption des critères de certification et
- l’adoption d’un label européen pour la certification.
La CNPD est par ailleurs la première autorité de protection des données à soumettre ses critères d’agrément à l’EDPB pour avis fin 2020. Elle est également la première autorité de protection des données à soumettre des critères de certification (GDPR-CARPA) à l’EDPB pour avis fin 2021.
Les critères de certification GDPR-CARPA ont été adoptés par la CNPD le 13 mai 2022.
GDPR-CARPA : le premier et unique schéma de certification sous le RGPD
La CNPD est à ce jour la seule autorité de supervision européenne à avoir développé elle-même un schéma de certification sous le RGPD. En tant qu’entité qui a élaboré les critères de certification, la CNPD est également propriétaire du schéma de certification.
Les nombreux échanges de la CNPD avec des acteurs de l’audit depuis l’entrée en application du RGPD en 2018 ont aidé à déterminer l’intérêt et le type de certification sous le RGPD qui pourrait être utile pour l’écosystème luxembourgeois. En consultation avec ces acteurs, elle a développé une première version de son schéma de certification. Ensuite, les critères de certification ont été examinés par ses homologues européens dans le cadre du mécanisme de cohérence européen et ont fait l’objet d’un avis émis par le Comité Européen sur la Protection des Données (CEPD).
Au niveau européen, la CNPD a joué un rôle moteur dans l’avancement des travaux du CEPD dans le domaine de la certification, notamment en tant que rapporteur pour les guidances ou pour permettre au CEPD d’émettre ces avis formels sur ce nouveau sujet.
Particularité unique de la certification GDPR-CARPA
Au Luxembourg, la CNPD a également comme rôle d’agréer les organismes de certification RGPD. Les critères d'agréments des organismes de certification, liés à la certification GDPR-CARPA, développés par la CNPD, se basent sur la norme ISAE 3000 (audit), ISCQ1 (contrôle qualité des organismes d’audit) et le standard ISO 17065 (accréditation d’organismes de certification). Ces critères d’agrément encadrent les travaux effectués par l'organisme de certification et le professionnel de l'audit.
Le caractère innovant et unique de ce schéma de certification de la CNPD est qu’il repose sur un rapport ISAE 3000 Type 2 qui permet d’émettre une opinion sur la bonne mise en œuvre du dispositif de contrôle dans la durée tout en engageant la responsabilité formelle de l’auditeur. Cela garantit un niveau d’exigence important, facteur décisif pour que les acteurs et surtout les personnes concernées se sentent en confiance concernant les traitements de leurs données personnelles couvert par la certification.
Champ d’application de la certification GDPR-CARPA
La certification GDPR-CARPA est conçue pour fournir aux responsables du traitement et aux sous-traitants un haut niveau de conformité au RGPD et une assurance qu’ils appliquent des mesures techniques et organisationnelles pour se conformer à leurs obligations RGPD pour leurs opérations de traitements faisant l’objet de la certification. Il constitue un élément qui permet aux responsables du traitement et aux sous-traitants de démontrer la conformité de ces opérations de traitement certifiées avec le RGPD.
L’objectif de GDPR-CARPA est de soutenir les responsables du traitement et les sous-traitants dans leur obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que le traitement dans son champ d’application est effectué conformément à leur obligation de responsabilité en vertu du RGPD.
Critères non sectoriels
Les critères de certification GDPR-CARPA sont conçus pour être suffisamment flexibles pour être pertinents pour une panoplie d’opérations de traitement dans plusieurs secteurs. Chaque entité peut définir et mettre en œuvre les mesures qui conviennent le mieux à sa situation et à son secteur spécifiques pour se conformer aux critères.
Limitation du champ d’application du schéma de certification
- Bien que des éléments de sécurité de l’information aient été intégrés dans le schéma, ils ne constituent pas le focus de ce mécanisme de certification. GDPR-CARPA ne certifie pas la sécurité du traitement dans son champ d’application, mais se concentre plutôt sur la responsabilité des responsables du traitement/sous-traitants qui doivent mettre en œuvre un système de gouvernance leur permettant de définir et de mettre en œuvre des mesures de gestion de la sécurité de l’information pour l’activité de traitement dans son champ d’application. Afin d’avoir une assurance sur les mesures de sécurité de l’information mises en œuvre, d’autres certifications et cadres appropriés en matière de sécurité de l’information devraient être envisagés.
- Seuls les responsables du traitement et les sous-traitants établis au Luxembourg, sous la supervision de la CNPD, peuvent demander une certification GDPR-CARPA.
Exclusion du champ d’application de la certification
GDPR-CARPA ne convient pas:
- pour certifier le traitement des données à caractère personnel ciblant spécifiquement les mineurs de moins de 16 ans;
- pour les certifications des activités de traitement dans le cadre d’un contrôle conjoint;
- pour les activités de traitement dans le cadre de l’article 10 du RGPD;
- pour les entités qui n’ont pas désigné un DPD (article 37 du RGPD). Il convient de noter que les entités sont libres de désigner un DPD, même dans le cas où elles ne sont pas légalement obligées de le faire.
Quelles sont les principales étapes pour l’obtention d’une certification GDPR-CARPA
Critères de certification: règles générales à suivre par les organisations candidates à une certification GDPR-CARPA
Les critères de certification GDPR-CARPA contiennent les règles à suivre par les entités qui demandent la certification CARPA. Ces entités doivent veiller à ce que leurs mesures internes soient conçues, mises en œuvre et opérées de manière à leur permettre d’atteindre les exigences énoncées dans ces critères de certification. Lors de leur audit de certification, les organismes de certification vérifieront si la conception, la mise en œuvre et le fonctionnement de ces mesures sont conformes aux exigences définies par les critères de certification.
L’organisme de certification structure ses tâches d’évaluation comme suit:
- Conception et mise en œuvre: L’auditeur examinera la conception/description documentée d’une mesure (par exemple sous la forme d’une procédure) et vérifiera si elle fonctionnera en théorie comme l’exigent les critères de certification: L’auditeur tentera de déterminer s’il est conçu de façon à se conformer aux critères de certification.
- Efficacité opérationnelle: Après avoir examiné la conception et la mise en œuvre d’une mesure, l’auditeur va tester l’efficacité opérationnelle de cette mesure en vérifiant si le contrôle ou la mesure fonctionne dans la pratique comme il se doit et comme documenté, par l’observation, l'évaluation, l’échantillonnage, les entretiens, l’interaction, par exemple avec une interface, etc.
Si un critère n’est pas applicable à un contexte spécifique au sein de l’entité, l’organisme de certification le documentera en indiquant les raisons pour lesquelles il n’est pas applicable.
En outre, les lignes directrices officielles publiées par l’EDPB peuvent servir de support afin de mieux comprendre les exigences du RGPD et de fournir des orientations en ce qui concerne la mise en œuvre de ces exigences du RGPD. Ces lignes directrices peuvent, par exemple, soutenir la conception et la mise en œuvre pratique des mesures organisationnelles et techniques, mais il convient de noter que dans le cadre de la certification GDPR-CARPA, les entités doivent se conformer strictement aux critères de certification pour obtenir la certification.
Organisation des critères de certification GDPR-CARPA
Les critères sont organisés en 3 sections:
Section I:
- S'applique aux entités agissant en tant que responsables du traitement et sous-traitants
- Contient des critères concernant la gouvernance de la protection des données
Section II:
- S'applique aux entités agissant en tant que responsables du traitement
- Couvrant les principes de protection des données, les droits des personnes concernées et les critères de gouvernance liés à la sécurité du traitement
Section III:
- S'applique aux entités agissant en tant que sous-traitants
- Contenant principalement des critères pour les obligations contractuelles (avec le responsable du traitement), la gouvernance en matière de sécurité du traitement, la sous-traitance
Quelle est la durée de validité d’un certificat GDPR-CARPA?
La durée de validité d’un certificat est de 3 ans, sous réserve d’un audit complet annuel réussi.
Quels organismes de certification peuvent délivrer une certification GDPR-CARPA?
La certification GDPR-CARPA ne peut être accordée que par des organismes de certification agréés par la CNPD. La liste des organismes de certification agréés sera publiée sur le site Web de la CNPD.
Responsabilité d’un organisme ayant obtenu un certificat RGPD-CARPA
Les critères de certification GDPR-CARPA et le rapport d’assurance ISAE 3000 ont été conçus pour soutenir un système de certification tel que décrit à l’article 42 du RGPD. En vertu du RGPD, il est indiqué que les entités (responsables du traitement et sous-traitants) peuvent s’appuyer sur la certification pour démontrer leur conformité à certains éléments du RGPD. Toutefois, il est également indiqué que la certification en vertu du présent article (42) ne réduit pas la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du RGPD et est sans préjudice des tâches et des pouvoirs des autorités de contrôle compétentes en vertu de l’article 55 ou 56.