Ce qu’il faut savoir sur la certification
La certification est un outil de conformité permettant de répondre aux besoins des professionnels qui souhaitent communiquer sur le niveau de protection des données offert par leurs produits, services, processus ou systèmes de données.
Qu’est-ce que c’est la certification ?
La certification permet d’établir qu’un produit, un service, un processus ou un système de données a été évalué conforme aux critères d’un référentiel. Ces critères ont été approuvés au préalable par la CNIL ou par le Comité européen de la protection des données. L’évaluation est effectuée par un tiers certificateur qui doit lui-même être agrée.
La certification est donc un outil de responsabilisation (accountability ou redevabilité) car elle permet aux entreprises, administrations, associations, etc., de disposer d’éléments qui leur permettront de démontrer le respect du RGPD en justifiant de leur conformité à des critères précis. Ces critères prennent en compte les obligations qui incombent aux responsables du traitement et aux sous-traitants et peuvent également intégrer des exigences dont le but est de :
- valoriser certaines pratiques plus protectrices des données ;
- guider les professionnels dans leur mise en conformité au RGPD ;
- assurer la cohérence entre les évaluations réalisées par différents organismes certificateurs et ;
- apporter davantage de transparence auprès des personnes dont les données font l’objet d’un traitement.
À l’instar du code de conduite, la certification est un outil juridiquement contraignant pour ceux qui choisissent de s’engager dans cette démarche. Ainsi, le candidat à la certification s’engage à :
- respecter les critères approuvés par la CNIL (ou par le Comité européen de protection des données (CEPD) dans le cas de la certification européenne) ;
- maintenir cette conformité aux critères pendant toute la durée de validité de son certificat ;
- se soumettre à la vérification régulière effectuée par l’organisme certificateur.
Le contrôle de conformité aux critères de la certification est systématiquement réalisé dès le départ. L’organisme certificateur effectuera cette évaluation en utilisant une méthodologie d’évaluation préétablie. À l’issue de cet examen, ceux qui auront réussi à démontrer leur conformité aux critères de certification se verront délivrer un certificat.
Qui peut élaborer les critères d’une certification ?
Deux cas sont possibles :
- la CNIL peut décider d’élaborer les critères d’une certification ;
- les critères d’une certification peuvent aussi être élaborés par une entité publique ou privée qui sera la propriétaire du mécanisme de certification. Cela peut être une organisation spécialisée dans l’évaluation en matière de protection des données personnelles, une association de défense des consommateurs, une fédération sectorielle, un organisme représentant des catégories de responsables de traitement ou de sous-traitants, etc.
Dans tous les cas, les critères d’une certification, même élaborés par un organisme privé, doivent être approuvés par la CNIL (ou par le CEPD) pour en faire une certification au sens du RGPD ou de la loi Informatique et Libertés.
En outre, ils doivent être régulièrement révisés par leur propriétaire afin de prendre compte, par exemple, l’évolution de la réglementation ou de l’état de l’art en matière de sécurité des données.
Quels sont les avantages de la certification ?
La certification permet de :
- s’engager volontairement à respecter un socle commun d’exigences en matière de protection des données dans un cadre juridiquement contraignant ;
- être en capacité de démontrer sa conformité au RGPD sur un périmètre précis, celui de la certification obtenue ;
- communiquer auprès du grand public et de ses partenaires à partir d’une marque de confiance ;
- répondre aux besoins des micros, petites et moyennes entreprises en valorisant le résultat d’une démarche de mise en conformité au RGPD.
Quelle est la différence entre la certification nationale et européenne ?
Les certifications s’inscrivant dans le cadre du RGPD ou de la loi Informatique et Libertés font l’objet d’une approbation au niveau national ou au niveau européen :
- par la CNIL lorsque la certification bénéficie d’une reconnaissance nationale. Pour les certifications s’inscrivant dans le cadre du RGPD, elles sont, au préalable, soumises à l’avis du CEPD qui veille à l’application cohérente du RGPD au travers des outils de la conformité nationaux ;
- par le CEPD lorsque la certification bénéfice d’une reconnaissance européenne. Les certifications sont alors directement applicables dans l’ensemble des membres de l’Union européenne car les spécificités de chaque droit national sont pris en compte par la certification.