Comment se déroule la procédure de certification ?

Comment se déroule la procédure de certification ?

Pour le demandeur, la certification se déroule en trois étapes :

1. Envoi de la demande à l’organisme certificateur

La demande doit être envoyée à l’organisme certificateur agréé pour la certification recherchée. Le candidat doit notamment préciser l’objet qu’il souhaite faire certifier, par exemple, un service de consultation et de gestion d’un compte bancaire en ligne. L’organisme certificateur apprécie la recevabilité de cette demande (l’objet de la demande peut-il être certifié ? l’objet à certifier est-il compatible avec les critères de la certification demandée ?) puis commence à instruire la demande.

2. Évaluation de la demande

L’organisme certificateur procède à l’évaluation de l’objet à certifier en se référant aux critères approuvés par la CNIL (ou le CEPD). En fonction de ces critères, cette évaluation peut se dérouler en deux phases avec :

• une analyse documentaire et des entretiens réalisés à distance ;
• une visite sur site dans les locaux du demandeur qui permettra de vérifier l’application des mesures de protection des données.

Ces modalités d’évaluation sont précisées par l’organisme certificateur dès le début de l’instruction de la demande.

3. Délivrance du certificat

A l’issue de l’évaluation, lorsque l’organisme certificateur conclut au respect des critères pour l’objet à certifier, le demandeur se voit délivrer un certificat.

Exemple : l’organisme certificateur attestera que le service de consultation et de gestion de comptes « MaBanqueSurLeNet » de l’organisme « MaBanque » a été évalué conforme aux critères de la certification « Service – secteur bancaire » par un organisme certificateur agréé.

À l’issue de ces 3 étapes, un système de surveillance de la conformité est mis en place par l’organisme certificateur. Il s’appliquera pendant toute la durée de validité du certificat. Selon la certification retenue, cela peut prendre la forme d’une évaluation complémentaire réalisée chaque année.

En cas de modification substantielle des traitements, de changement affectant les informations figurant sur le certificat, ou bien en cas d’événement susceptible de remettre en cause le résultat des précédentes évaluations, l’organisme certificateur peut décider de conduire une évaluation supplémentaire à tout moment selon les conditions prévues par sa procédure de certification.

Comment devenir organisme certificateur agréé en matière de protection des données ?

Pour exercer une activité d’organisme certificateur, il est nécessaire de démontrer son indépendance, l’absence de conflit d’intérêt et son expertise. Seuls les organismes certificateurs agréés sont habilités à certifier sur la base de critères approuvés par la CNIL (ou par le CEPD).

L’agrément requiert également le développement par l’organisme certificateur d’une méthodologie d’évaluation des critères de certification. Cette méthodologie sera celle utilisée pour l’évaluation de chaque candidat à la certification. Analysée lors de l’agrément, elle garantit l’application cohérente et systématique des critères de la certification, quel que soit l’organisme certificateur. L’organisme certificateur doit donc faire une demande d’agrément pour chaque mécanisme de certification afin qu’il soit autorisé à délivrer des certificats.

L’évaluation de l’organisme certificateur est réalisée sur la base des exigences d’un référentiel d’agrément approuvé par la CNIL. Cet agrément peut être délivré par la CNIL ou par le Comité français d’accréditation (Cofrac) lorsque la délibération portant adoption des exigences du référentiel d’agrément le prévoit. Une convention signée le 20 mai 2020 entre la CNIL et l'organisme national d'accréditation fixe les modalités de cette coopération.

La procédure à suivre pour les organismes certificateurs qui souhaitent solliciter un agrément sera précisée pour chaque mécanisme de certification.

Réaliser une demande d’agrément auprès de la CNIL