La certification

19 décembre 2018

La certification constitue un véritable sceau de confiance, qui résulte d’une initiative de la CNIL ou d’un secteur professionnel.

La certification

C’est une procédure par laquelle un organisme d’évaluation externe appelé également tiers certificateur va donner l’assurance écrite qu’une personne, un produit, un processus ou un service est en conformité avec les exigences données dans un référentiel. La loi donne à la CNIL un pouvoir de certification plus étendu que celui prévu par le RGPD en ce qui concerne la certification  de personnes (exemple le référentiel de certification des compétences du DPO). La CNIL peut directement certifier des organismes et  agréer des organismes certificateurs ou, selon les cas, choisir de collaborer avec le Comité Français d’Accréditation (COFRAC). La certification est contraignante, elle donne lieu à un contrôle régulier, par le tiers certificateur, du respect du référentiel via  des audits et des examens et doit être renouvelée.

Qu’est-ce que la certification ?

La certification est la procédure, prévue par les articles 42 et 43 du Règlement général sur la protection des données (RGPD), permettant à un professionnel de demander à un organisme  tiers d’attester de la conformité de son produit, processus, service ou de ses compétences à des caractéristiques décrites dans un référentiel donné.

L’organisme tiers, aussi appelé tiers certificateur, doit justifier de son indépendance et de son impartialité. Pour ce faire, le RGPD prévoit deux types de procédures :

  • L’obtention d’un agrément auprès de la CNIL après avoir démontré so indépendance et son expertise sur la base d’un référentiel établi par la CNIL.
  • L‘obtention d’une accréditation, auprès du Comité français de l’accréditation (COFRAC). L’impartialité et la compétence du tiers sont également évaluées sur la base d’un référentiel d’accréditation constitué des exigences prévues dans la norme ISO 17065 ainsi que des exigences supplémentaires établies par la CNIL.

Le RGPD et la loi Informatique et Liberté prévoient deux types de référentiels :

  1. Le référentiel d’agrément ou d’accréditation qui est utilisé par la CNIL ou par le COFRAC pour évaluer des organismes certificateurs.
  2. Le référentiel de certification qui est utilisé par les organismes certificateurs pour évaluer des produits, procédés, services ou encore des personnes.

A quoi sert la certification ?

Un organisme qui a obtenu la certification d’un produit ou d’un service peut utiliser celle-ci pour démontrer que l’opération de traitement concernée par la certification respecte le règlement.

Exemples :

  • L’application par un sous-traitant d’un mécanisme de certification lui permettra de justifier auprès de ses donneurs d’ordre de garanties suffisantes quant à la mise en œuvre de mesures techniques et opérationnelles conformes aux exigences du RGPD.
  • Un organisme qui souhaite mettre en œuvre un traitement dans une logique de conception et protection des données par défaut pourra utilement s’appuyer sur un mécanisme de certification.

Une demande de certification peut être formulée par tout organisme souhaitant démontrer que les traitements de données qu’il met en œuvre par le biais d’un de ses produit ou service sont conformes au RGPD. Il est néanmoins nécessaire qu’un référentiel de certification approprié existe. 

La loi Informatique et Libertés a complété les dispositions du RGPD en permettant à la CNIL de certifier des personnes. A ce titre, elle a adopté deux référentiels en matière d’agrément et de certification relatifs aux compétences des délégués à la protection des données (DPO).

Exercer une activité de certificateur en matière de protection des données ?

La procédure à suivre variera selon le schéma de certification déterminé au niveau national (accréditation par le COFRAC ou agrément par la CNIL) pour le traitement concerné. Dans toutes ces hypothèses, le service des Outils de la conformité de la CNIL pourra vous guider dans votre projet relatif à la certification.

Pour toute question contactez le service des outils de la conformité.

Quel calendrier pour les lignes directrices européennes ?

Les lignes directrices relatives aux mécanismes d’accréditation et de certification sont actuellement en cours d’élaboration par le Comité européen de la protection des données (CEPD). La version finale des lignes directrices du CEPD relatives à l’accréditation devrait être adoptée en décembre 2018, et celle relative à la certification devrait être adoptée en janvier 2019.

La CNIL communiquera toutes les informations utiles sur son site internet lorsque ces mécanismes seront opérationnels.

 

Les mots clés associés à cet article