La certification, un outil de démonstration de la conformité au RGPD
Une certification facultative mais vivement encouragée
Le RGPD invite les États membres de l’Union européenne, les autorités de contrôle (la CNIL en France), le Comité européen de la protection des données (CEPD) et la Commission européenne à encourager, en particulier au niveau de l’Union européenne, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques (RGPD, art. 42, § 1). La démarche de la certification reste cependant volontaire.
La certification, un outil d’accountability
Pour pouvoir obtenir une certification, les organismes traitant des données personnelles devront respecter un référentiel élaboré par les certificateurs. Ces référentiels - s’apparentant à un cahier des charges - reprennent les grands principes du RGPD, et notamment les obligations incombant au responsable du traitement et/ou au sous-traitant en termes de sécurité des données ou de respect des droits des personnes. Les organismes devront donc adapter et mettre à niveau leurs traitements de données pour prendre en compte les dispositions du RGPD. La certification apparaît alors comme un moyen de démontrer sa conformité et constitue une sorte de « présomption » de conformité à cet égard.
Quelle est la procédure de délivrance d’une certification ?
Qui peut demander une certification ?
Tout responsable du traitement et sous-traitant peut demander une certification. Pour autant, l’obtention d’une certification ne les décharge pas de leurs obligations aux termes du RGPD (RGPD, art. 42, § 3 et 4).
L’approche du RGPD est large quant aux traitements ou activités pouvant faire l’objet d’une certification. Sur ce point, le CEPD précise d’ailleurs que si des opérations de traitement peuvent faire l’objet d’une certification, il en va de même d’un ensemble d’opérations pouvant constituer ou non un produit, dès lors que l’objectif est la démonstration de la conformité.
Dans la même veine, la loi Informatique et libertés dispose que la CNIL peut certifier des personnes, des produits, des systèmes de données ou des procédures. La CNIL prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises (L. n° 78-17, 10 janv. 1978, art. 8 ). Elle peut agréer, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation (COFRAC) ou décider, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret. La CNIL élabore ou approuve les critères des référentiels de certification et d’agrément.
La Commission peut également certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités, de la conformité à la loi Informatique et libertés de processus d’anonymisation des données, notamment en vue de la réutilisation d’informations publiques mises en ligne.
Le responsable du traitement ou le sous-traitant, qui soumet son traitement au mécanisme de certification, devra fournir à l’organisme de certification ou à l’autorité de contrôle toutes les informations ainsi que l’accès à ses activités de traitement, qui sont nécessaires pour mener la procédure d’audit en vue de l’obtention d’une certification (RGPD, art. 42, § 6).
Qui délivre une certification ?
Une autorité ou un organisme de certification
Le choix retenu par le RGPD est l’attribution d’une certification par une partie tierce. Ainsi, la certification peut être délivrée par l’autorité de contrôle compétente (la CNIL, en France) ou par des organismes de certification qui devront alors être agréés. Un organisme de certification est, selon les lignes directrices du CEPD, un organisme tiers d’évaluation de la conformité qui effectue des mécanismes de certification ( Lignes directrices CEPD no 4/2018, 4 déc. 2018 ). Parmi les nouvelles compétences de la CNIL issues de la loi Informatique et libertés modifiée figure en effet la possibilité de certifier des personnes, des produits, des systèmes de données ou des procédures pour reconnaître leur conformité au RGPD, mais aussi d’agréer des organismes certificateurs (L. n° 78-17, 10 janv. 1978, art. 8 ).
En matière de compétences du délégué à la protection des données, la CNIL a publié deux référentiels : un référentiel d’agrément pour les organismes qui délivreront la certification de DPO et un référentiel de certification des compétences du DPO, sur la base duquel les organismes agréés par la CNIL délivreront la certification de DPO ( Délib. CNIL no 2018-317, 20 sept. 2018 ). Ce second référentiel établit une liste de 17 critères permettant de déterminer les savoir-faire et compétences exigés d’un DPO.
Remarque
La certification n’est pas obligatoire pour exercer les fonctions de DPO. Ce n’est pas non plus un préalable nécessaire à la désignation auprès de la CNIL. Inversement, il n’est pas exigé d’être désigné en tant que DPO pour être candidat à la certification des compétences du DPO. La certification permet simplement de prouver qu’une personne physique répond aux critères du RGPD en matière de savoir-faire et de compétences attendus d’un DPO.
Les organismes de certification disposant d’un niveau d’expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l’autorité de contrôle pour qu’elle puisse exercer au besoin les pouvoirs qui lui sont dévolus (RGPD, art. 43, § 1).
Quelle est la procédure d’agrément des organismes de certification ?
Les organismes certificateurs devront être préalablement agréés par :
- l’autorité de contrôle (la CNIL, en France) ;
- ou l’organisme national d’accréditation (le COFRAC en France).
Les organismes de certification doivent apporter des garanties à l’autorité de contrôle compétente pour être agréés. Ainsi, ils doivent démontrer notamment leur indépendance et leur expertise au regard de l’objet de la certification, mettre en place des procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labels et de marques en matière de protection des données, établir des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée et démontrer que leurs tâches et leurs missions n’entraînent pas de conflit d’intérêts (RGPD, art. 43, § 2).
L’agrément est délivré pour une durée maximale de 5 ans et pourra être renouvelé dans les mêmes conditions tant que l’organisme de certification satisfait aux exigences requises (RGPD, art. 43, § 4).
Remarque
Les organismes chargés de délivrer les certifications relatives aux compétences du DPO sont accrédités, pendant toute la durée de leur agrément par la CNIL, par un organisme d’accréditation membre de l’IAF (International Accreditation Forum) au regard de la norme ISO/IEC 17024 : 2012 « Évaluation de la conformité – Exigences générales pour les organismes de certification procédant à la certification de personnes » pour un dispositif particulier de certification de personnes. Par ailleurs, l’organisme de certification élabore et met en œuvre un dispositif de certification de personnes pour le DPO en conformité avec la norme ISO/IEC 17024 : 2012, les exigences fixées par référentiel d’agrément d’organismes de certification des compétences du DPO ainsi que les exigences fixées par le référentiel de certification des compétences du DPO ( Délib. CNIL no 2018-318, 20 sept. 2018 ).
Fin des labels CNIL, précurseurs de la certification
Avant l’adoption du RGPD, la CNIL attribuait déjà des labels à des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement de données à caractère personnel. Il s’agissait des labels « Procédures d’audit de traitements », « Formation », « Coffre-fort numérique » et « Gouvernance ». En 6 ans, ce sont près de 123 labels qui ont été délivrés par la CNIL (CNIL, rapp. d’activité 2017).
Depuis le 25 mai 2018, la CNIL ne délivre plus de nouveau label et n’en examine plus depuis le 30 mai 2018. Les labels émis avant l’entrée en application du règlement restent valables jusqu’à leur date d’échéance. Après la fin de validité de ces labels, leurs titulaires peuvent ensuite se tourner vers un organisme certificateur afin d’obtenir une certification dans un domaine équivalent.
Remarque
Afin de remplacer le label « Formation » et tenir compte du nouveau cadre de la formation professionnelle lié à l'entrée en application du RGPD, la CNIL s'apprête à lancer une certification « Prestataires de formation à la protection des données à caractère personnel », sur la base du volontariat. Un logo permettra d'identifier facilement les prestataires ayant obtenu cette certification. La CNIL a adopté les critères du référentiel de certification des prestataires de formation à la protection des données par délibération du 3 décembre 2020 ( Délib. CNIL no 2020-139, 3 déc. 2020 : JO, 16 févr. 2021).
Quels sont les critères pour obtenir la certification ?
Une certification est délivrée par les organismes de certification ou par l’autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente ou par le CEPD dans le cadre d’une certification commune, le label européen de protection des données (RGPD, art. 42, § 5).
Le CEPD, dans ses lignes directrices sur la certification, précise d’ailleurs que ces critères devront être formulés de façon claire et compréhensible pour permettre leur application pratique ( Lignes directrices CEPD no 1/2018, 25 mai 2018, p. 16). Ils devront également être uniformes et vérifiables afin de faciliter l’évaluation des opérations de traitements, adaptés au public visé (B2B/B2C), prendre en compte et si possible être interopérable avec d’autres standards (ex. : ISO), être flexibles et s’adapter aux différents types d’organisations.
De plus, les éléments suivants devront être pris en considération lors de l’élaboration de ces critères :
- la licéité du traitement (RGPD, art. 6 ) ;
- les principes applicables aux traitements de données à caractère personnel (RGPD, art. 5 ) ;
- le respect des droits des personnes concernées (RGPD, art. 12 à 23) ;
- l’obligation de notification en cas de violation de données personnelles (RGPD, art. 33 ) ;
- la prise en compte des principes de Privacy by Design et de Privacy by Default (RGPD, art. 25 ) ;
- la nécessité ou non de mener une analyse d’impact relative à la protection des données (RGPD, art. 35 ) ;
- la mise en place de mesures techniques et organisationnelles (RGPD, art. 32 )
L’élaboration de ces critères est essentielle pour permettre aux organismes d’être accrédités et donc de pouvoir délivrer une certification (RGPD, art. 42, § 5). Ces critères seront publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle les transmettront au CEPD. Ce dernier consignera dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les mettra à la disposition du public par tout moyen approprié (RGPD, art. 43, § 6).
Remarque
Le CEPD a rendu, le 1er février 2022, son premier avis sur les critères de certification. Il s’est prononcé sur le schéma de certification de traitements de données à caractère personnel GDPR-CARPA qui lui avait été soumis par l’autorité luxembourgeoise (la Commission nationale pour la protection des données, ou CNPD) ( Avis no 01/2022 du CEPD, 1er févr. 2022 ).
Quelle est la durée de validité de la certification ?
La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de 3 ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d’être satisfaites. A défaut, la certification sera retirée par les organismes de certification ou par l’autorité de contrôle compétente (RGPD, art. 42, § 7).
Les organismes de certification devront communiquer aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée (RGPD, art. 43, § 5).
La certification en tant que mécanisme de transfert de données en dehors de l’UE
Les mécanismes de certification pourront être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants, qui ne sont pas soumis au RGPD, fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale. Ces responsables du traitement ou sous-traitants devront prendre l’engagement contraignant et exécutoire, au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées (RGPD, art. 42, § 2). Le CEPD a publié la version finale de ses lignes directrices en matière de certification comme outil de transfert de données. Il vient ainsi expliciter comment utiliser ce nouvel outil de transfert instauré par le RGPD ( Lignes directrices CEPD no 07/2022, 14 févr. 2023, version 2.0, 14 févr. 2023).
Attention aux sanctions !
Le non-respect des obligations relatives à la certification (RGPD, art. 42 et 43 ) est sanctionné d’une amende administrative de la CNIL pouvant s’élever à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’organisme concerné (le responsable du traitement, le sous-traitant ou l’organisme de certification) (RGPD, art. 83, § 4).
Une certification peut être suspendue provisoirement lorsque le non-respect des dispositions du RGPD ou de la loi Informatique et libertés entraîne une violation des droits et libertés et que le président de la Commission considère qu’il est urgent d’intervenir (L. n° 78-17, 10 janv. 1978, art. 21 ).
Le retrait d’une certification ou l’injonction, à l’organisme certificateur concerné, de refuser une certification ou de retirer la certification accordée peut être prononcée lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du RGPD ou de la loi Informatique et libertés (L. n° 78-17, 10 janv. 1978, art. 20 ).
Lorsqu’un organisme de certification a manqué à ses obligations ou n’a pas respecté les dispositions du RGPD ou de la loi Informatique et libertés le président de la CNIL peut, le cas échéant, après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer le retrait de l’agrément qui a été délivré à cet organisme (L. n° 78-17, 10 janv. 1978, art. 23 ).