On parle de certification RGPD pour définir la conformité d’un produit ou d’un service dans l’informatique aux normes européenne RGPD (règlement général sur la protection des données). Elle est officiellement appelée règlement UE 2016/679.
De plus en plus d’utilisateurs de produits et de services sont aujourd’hui très regardants sur cet outil d’accréditation. Outre les produits et les services, la certification RGPD est indiquée pour les sites web, les logiciels et même les systèmes d’information et data. En clair, vous gagnerez à justifier d’une certification, que ce soit pour un produit virtuel ou physique. C’est un moyen de rassurer votre clientèle quant à la qualité de vos offres et au respect des de la vie privée des utilisateurs.
Parler de la certification, c’est aussi évoquer indirectement la Commission nationale de l’informatique et des libertés (CNIL). En effet, c’est l’agrément de cette commission qui permet aux organismes de délivrer cette homologation.
Voici ici, des réponses aux questions que vous vous posez sur le règlement européen, au fonctionnement de celle-ci et aux informations relatives aux données personnelles.
Comprendre la certification RGPD selon la CNIL
La certification est un outil de vérification et de responsabilisation permettant de prouver le bon fonctionnement de la protection des données personnelles. Il s’agit des normes prévues dans le règlement général sur la protection des données (RGPD). Elles servent de référentiel pour attester de la conformité du produit ou du service en question. Un règlement et un cadre ont donc été établi par l’Union Européenne concernant les différentes règles et droits pour assurer le bon fonctionnement.
D’un autre côté, elle peut être perçue comme un outil de communication. À travers cet outil, vous passez un message clair aux partenaires, clients, fournisseurs et autres collaborateurs de votre marque concernant les droits et la protection. Par exemple, vous pouvez faire comprendre que la protection des données personnelles ou data est conforme et en sécurité pour la vie privée des utilisateurs.
Elle est aussi appelée certificat de conformité et son champ d’application est assez large et s’applique à de nombreux domaines comme l’informatique, la proposition de service etc. En clair, vous pouvez obtenir cet outil de conformité juste pour un service, produit ou traitement de votre entreprise. Il peut s’agir, par exemple, d’un site internet, d’un logiciel, d’une application mobile ou autres.
Vous pouvez aussi l’obtenir pour toute votre organisation en respectant différents critères. Dans ce cas, vous demanderez une certification pour l’ensemble des offres de votre firme. Pour information, cette attestation de conformité n’est pas exclusivement réservée aux entreprises. Pour un particulier en l’occurrence, un data protection officer (DPO), la certification RGPD peut être utile. Vous pouvez alors faire la demande de cette accréditation juste après votre formation au métier du DPO. Ce sera un moyen d’attester de vos compétences acquises au cours de votre formation.
Il faut aussi préciser que les certificats RGPD sont disponibles en deux catégories. La première, c’est celle des certifications que délivrent les organismes agréés par la CNIL (Commission nationale de l’informatique et des libertés). Ces attestations sont valables exclusivement en France. Par contre, si vous souhaitez avoir un certificat reconnu à l’échelle européenne, il faudra vous tourner vers un organisme agréé par le comité européen de la protection des données (CEPD).
Délivrance de la certification RGPD : rôle de la CNIL
Contrairement à ce que beaucoup de personnes pourraient penser, ce n’est pas la CNIL qui délivre la certification. Le rôle de cette commission est tout autre. De façon concrète, la CNIL définit ou approuve les éléments à prendre en compte pour attester de la conformité du produit, service ou traitement aux droits RGPD.
La Commission nationale de l’informatique et des libertés est aussi l’autorité habilitée à délivrer un agrément aux organismes de certification RGPD. Précisons qu’à défaut de l’agrément de la CNIL, l’autorisation de la CEPD fait foi. Un organisme agréé par la CEPD peut aussi délivrer une certification.
Il importe aussi de notifier que la certification n’est pas obligatoire mais conseillée pour la protection des données de vos clients. Ainsi, la CNIL (Commission nationale de l’informatique et des libertés) ne prévoit aucune obligation pour les entreprises ou pour les particuliers (les DPO) pour la demande de cet outil et formation. La démarche doit être volontaire.
Par contre, la Commission nationale de l’informatique et des libertés (CNIL) prévoit des critères et un cadre bien précis à respecter pour recevoir cette certification. Ce sont en effet, des démarches visant à assurer la conformité du produit et son cadre, du service ou du traitement aux normes du RGPD. De même, le DPO ou l’entreprise qui détient cette certification doit se soumettre à des contrôles de façon régulière pour un cadre plus règlementé et une meilleure sécurité. Ce sont les organismes tiers certificateurs qui sont habiletés à réaliser ces contrôles. L’idée, c’est de s’assurer que la conformité avec les droits RGPD est assurée dans le temps, proposant ainsi un règlement plus strict pour une meilleure protection.
La CNIL note également que les organisations doivent prendre en compte un certain nombre de facteurs pour déterminer si la certification est nécessaire, notamment :
– La complexité et la sensibilité des données traitées
– La taille de l’organisation
– Le niveau de risque associé aux activités de traitement
Les entreprises doivent utiliser ces informations pour prendre une décision éclairée quant à la nécessité de poursuivre la certification RGPD.
Les étapes pour l’obtention d’une certification RGPD
Vous n’avez pas besoin de passer un examen, ni même de suivre une formation particulière pour obtenir la certification RGPD. Il vous suffit de respecter les étapes définies par la CNIL dans le cadre établi et le tour est joué. Elles sont valables aussi bien pour la certification d’un DPO que pour celle d’une entreprise.
La certification commence par l’objet de certification. Il est question du produit, du service ou du traitement des données personnelles pour lequel vous cherchez à avoir le certificat. C’est à vous de définir l’objet en question tout en vous assurant de sa conformité avec ce que prévoit la décision de la CNIL. À cet effet, il faut signifier que ce ne sont pas tous les produits/services qui peuvent faire l’objet d’une certification RGPD.
Lorsque vous avez l’objet de certification, recherchez l’organisme qui pourra vous permettre d’avoir l’outil. Sur le site de la CNIL, vous trouverez une liste exhaustive de tous les organismes agréés CNIL Commission nationale de l’informatique et des libertés) pour cette certification. Une fois que votre choix est fait, il vous revient simplement d’envoyer une demande au certificateur retenu.
Avant de vous délivrer le certificat, l’organisme que vous avez contacté fera un contrôle de conformité de l’objet d’accréditation. En général, le certificateur fait l’évaluation en deux étapes. La première, c’est la consultation de la documentation relative au produit/service ou au traitement en question. À ce niveau, le certificateur peut aussi organiser des entretiens individuels en visio avant de prendre sa décision.
La deuxième étape pour le contrôle de conformité, c’est la visite sur place. Moyennant une rémunération, l’organisme de certification se déplacera vers vous pour effectuer un contrôle sur place.
Lorsque toutes ces étapes sont respectées et que les critères de conformité et le cadre sont bien respectés, le certificateur vous délivrera l’attestation de conformité. Bien entendu, il ne faudra pas oublier que l’obtention de cette attestation vous oblige à vous soumettre à des contrôles réguliers sur les données et autres. Le certificateur s’assurera ainsi que l’objet de la certification convient aux droits des données personnelles sur la durée. Il est à noter que ces contrôles sont payants. Renseignez-vous donc auprès du certificateur que vous avez choisi afin de vous faire une idée précise du budget à prévoir.
Enfin, si les résultats des contrôles ne sont pas concluants, il faudra entreprendre des travaux de mise en conformité pour continuer à en profiter.
Pour conclure, l’obtention de la certification RGPD peut être un processus complexe et chronophage, mais il est important pour toute organisation qui traite des données clients, notamment pour la marque d’une entreprise. La CNIL fournit des conseils détaillés sur la façon d’évaluer votre conformité et propose des modèles et des listes de contrôle pour vous aider dans ce processus. Avec le bon certificateur, vous pouvez obtenir la reconnaissance officielle de votre conformité directement par l’organisme en question. Avec cet article, vous connaissez désormais le règlement et le fonctionnement lié à la RGPD.