Comment faire approuver un mécanisme de certification ?

09 septembre 2024

Votre organisme a créé un mécanisme de certification et souhaite en faire approuver les critères par la CNIL, s’il est national, ou par le Comité européen de la protection des données (CEPD) si c’est un projet européen.

Comment la CNIL vous accompagne ?

Les services de la CNIL accompagnent les propriétaires d’un mécanisme de certification, dans le cadre d’une demande de conseil, dès la phase d’élaboration. Le service des outils de la conformité est à vos côtés pour toute question relative à la procédure d’approbation ou à la méthodologie d’élaboration applicable à la certification au sens du RGPD, contactez le service des outils de la conformité de la CNIL.

Un premier échange vous permettra de vous assurer que la nature et le périmètre du mécanisme de certification envisagé sont bien conformes aux dispositions du RGPD et aux lignes directrices approuvées par le CEPD. Dans la mesure où le porteur du mécanisme de certification est la plume des critères et que l’élaboration de cet outil nécessite plusieurs mois, cette phase d’accompagnement en amont est essentielle afin de s’assurer d’une bonne orientation de ces travaux, à la fois en terme de périmètre de la certification que de précision des critères. Il est nécessaire d’anticiper le fait que cette étape d’accompagnement peut prendre plusieurs mois et nécessiter de nombreux échanges, cette durée étant en fonction de la qualité du dossier.

Comment faire approuver un mécanisme de certification national ?

Après saisine de la CNIL via le téléservice, un accusé réception vous sera envoyé si, après première analyse, votre dossier est complet. Un délai de quatre mois, prolongeable de deux mois, court à compter de l’envoi de celui-ci. 

  • Si votre dossier concerne un mécanisme de certification prévus par la loi Informatique et Libertés, les services de la CNIL instruiront votre demande qui sera soumise à l’approbation de la Commission ;
  • Si votre dossier s’inscrit dans le cadre de l’article 42 du RGPD, les services de la CNIL communiqueront votre dossier aux autres autorités de protection des données européennes lors de l’instruction. Un délai supplémentaire de plusieurs mois sera nécessaire pour permettre l’échange d’informations entre le porteur du mécanisme de certification, la CNIL et ses homologues européens.

Enfin, la CNIL approuvera votre projet.

Soumettre un mécanisme de certification à la CNIL 

Comment faire approuver un mécanisme de certification européen?

Dans le cas de la certification européenne, les premières étapes d’approbation des critères de la certification sont identiques à celles d’une certification nationale. En revanche, l’approbation finale est réalisée par le CEPD.

L’évaluation des critères de la certification par le CEPD portera plus particulièrement sur leur adaptation aux lois nationales afin que les organismes certificateurs puissent intervenir dans chaque état de l’Union européenne.

À noter : Les mécanismes de certification approuvés par le CEPD seront disponibles sur le site web du CEPD.