Qu’est-il possible de faire certifier ?
Il est possible de faire certifier un produit, un service, un processus ou un système de données. La certification peut concerner un ou plusieurs traitements de données personnelles ou un ensemble d’opérations qui participent à ces traitements.
Quel peut être l’objet de la certification ?
Avant de faire la demande d’une certification, une entreprise, une administration, une association (etc.) doit commencer par définir ce qu’elle souhaite faire certifier, c’est l’objet de la certification.
Exemple 1 :
Une banque propose à ses clients un service en ligne qui leur permet de consulter et gérer leurs comptes. Elle souhaite faire certifier ce service. Pour cela, tous les traitements de données mis en œuvre dans le cadre de ce service feront l’objet d’une évaluation (par exemple, l’adhésion au service, l’usage du site internet et de l’application mobile par l’utilisateur, l’échange des données avec la banque, les traitements relatifs à la gestion des comptes, etc.).
Exemple 2 :
Une entreprise de commerce en ligne souhaite uniquement faire certifier le processus d’authentification qui permet l’accès à son service. Dans ce cas, seules les opérations d’authentification qui participent au traitement relatif à l’usage du site internet et de l’application mobile seront évaluées. Le certificat sera explicite quant à l’objet de la certification : « processus d’authentification du service MonMagasinSurLeNet » et l’entreprise devra veiller à ce que toutes ses communications au sujet de cette certification soient sans ambiguïté sur l’objet de la certification.
Exemple 3 :
Un fabriquant de meuble utilise un logiciel « métier » pour la gestion de sa clientèle. Pour cette application, la PME dispose d’une licence acquise auprès d’un éditeur de logiciel. L’éditeur de cette application peut faire certifier son logiciel (produit). Dans ce cas, les fonctionnalités de son application, les méthodes mises en œuvre pour sa conception et les instructions d’usage à l’intention des utilisateurs feront l’objet d’une évaluation. Le certificat délivré à l’éditeur sera explicite sur le fait que l’objet de la certification est ce logiciel. En particulier, la PME qui utilise ce logiciel dans cet exemple ne pourra se prévaloir d’avoir obtenu une certification pour son processus de gestion de la clientèle, sauf si elle a effectivement obtenu elle-même une certification pour ce processus.
Une grande variété de certifications est rendue possible par le RGPD et la loi Informatique et Libertés. Toutefois, la certification n’est disponible que lorsque l’objet à certifier est éligible à un des mécanismes de certification approuvé par la CNIL ou par le Comité européen de la protection des données (CEPD). Le 1er mécanisme de certification applicable en France a été approuvé par le CEPD le 10 octobre 2022 : il s’agit du label européen de protection des données Europrivacy. Celui-ci s’adresse aux responsables de traitement et aux sous-traitants qui sont établis sur le territoire de l’Union européenne.
Dans tous les cas, ce sont les critères d’une certification qui fixent le niveau des exigences que le demandeur doit atteindre pour obtenir un certificat. La définition de ces critères est encadrée par le RGPD et les lignes directrices adoptées par le CEPD qui fournissent des explications et des exemples pratiques pour leur élaboration.
La loi Informatique et Libertés donne à la CNIL un pouvoir de certification plus étendu que celui prévu par le RGPD car elle permet la certification des compétences d’une personne. Ainsi, toute personne peut candidater à la certification des compétences du délégué à la protection des données adoptée par la CNIL.
Quelles sont les garanties apportées par un certificat quant à la conformité au RGPD d’une entreprise ?
L’attestation de conformité (le certificat) délivrée par l’organisme certificateur apporte l’assurance que l’entreprise, l’administration, l’association, etc. qui a candidaté à la certification a fourni à l’évaluateur les éléments permettant de démontrer le respect de chaque critère du référentiel. Ces preuves sont constituées de documents mais aussi de pratiques constatées lors de l’évaluation. Elles sont consignées par l’organisme certificateur dans un rapport d’évaluation. Le certificat résume donc le résultat de cette évaluation au moyen d’une attestation de conformité aux critères d’un référentiel donné pour l’objet certifié.
La certification constitue un élément qui peut être utilisé pour démontrer la conformité au RGPD des traitements de données associés à un produit, un service, un processus ou un système de données. En effet, pour réaliser son évaluation, l’organisme certificateur s’appuie sur des critères qui ont fait l’objet d’une approbation par la CNIL ou la CEPD. Ceux-ci sont donc conçus pour apporter des garanties qui tendent à démontrer le respect du RGPD et de loi Informatique et Libertés.
Toutefois, un référentiel de certification ne traduit pas les obligations du RGPD en critères de manière exhaustive, notamment pour permettre une évaluation ciblée, accessible aux micro, petites et moyennes entreprises. L’évaluation réalisée ne concerne également que les traitements de données en lien avec l’objet à certifier. Par conséquent, un organisme auquel une certification a été délivrée reste susceptible de se voir sanctionner par la CNIL pour un manquement au RGPD ou la loi. En ce sens, l’article 83 du RGPD prévoit que la certification peut constituer une circonstance aggravante ou atténuante dûment prise en compte pour décider s'il y a lieu d'imposer une amende administrative et pour décider de son montant.
Est-ce que la certification constitue une démarche administrative obligatoire ?
Non.
La certification est une démarche volontaire permettant d’obtenir un sceau de confiance.
Pour l’organisme qui soumet son traitement à la certification, celle-ci présente l’intérêt de démontrer, à l’appui de l’évaluation réalisée par un organisme certificateur, que les critères de protection des données personnelles du référentiel approuvé par la CNIL (ou le CEPD) sont respectés.
Par exemple, la certification constitue un signe positif pour les personnes dont les données personnelles sont traitées (clients d’un service, utilisateur d’un produit, employés soumis au processus de traitement des ressources humaines, etc.). La certification constitue aussi un outil de confiance supplémentaire dans la relation entre le responsable de traitement et le sous-traitant, car elle permet à ce dernier de démontrer l’existence de garanties suffisantes conformément aux exigences de l’article 28 du RGPD.
C’est uniquement pour certaines catégories de traitements de données personnelles que la réglementation peut rendre obligatoire une certification.
