Certification RGPD : de quoi s’agit-il et quels bénéfices ?

Le règlement général sur la protection des données (Règlement no 2016/679, ou RGPD) prône la mise en place de mécanismes de certification afin de permettre aux responsables de traitement et aux sous-traitants de démontrer que leurs opérations de traitement de données personnelles respectent les obligations imposées par le texte. Ainsi, en application de l’article 42, paragraphe 3, du RGPD, la certification est un processus volontaire qui contribue à démontrer le respect du RGPD.

Le RGPD ne définit pas le terme « certification ». L’Organisation internationale de normalisation (ISO) donne une définition universelle de la certification : il s’agit d’une « assurance écrite (sous la forme d’un certificat) donnée par une tierce partie qu’un produit, service ou système est conforme à des exigences spécifiques »

Dans le cadre du RGPD, la certification a été développée comme outil de responsabilisation (d’accountability ») dont la consécration répond à une attente forte des professionnels. Les mécanismes de certification sont en effet utiles lors de la sélection de nouveaux partenaires commerciaux/fournisseurs, en particulier ceux qui agissent en tant que sous-traitants et souhaitent démontrer qu’ils respectent un niveau adéquat de protection des données. En outre, l’existence d’une certification est un élément pris en compte par les autorités de contrôle pour décider s’il y lieu ou non d’imposer une amende administrative et pour décider du montant de cette amende. Enfin, la certification est un vecteur de transparence à l’égard des individus qui sont ainsi informés de la manière dont leurs données personnelles sont utilisées dans le cadre des services qui leur sont fournis. Autrement dit, la certification offre de nombreux avantages aux entreprises, tels qu’une vérification de leur conformité au RGPD pour les traitements concernés, une atténuation des risques juridiques, financiers et de dommage réputationnel en cas de non-conformité et une confiance accrue de leurs partenaires.

Que change la décision du Comité Européen de Protection des Données (CEPD) du 11 octobre dernier ?

Quatre ans après l’entrée en application du RGPD, le CEPD a adopté le premier schéma de certification européen conforme au RGPD, développé par l’European Centre for Certification and Privacy/Europrivacy. Il a été approuvé le 11 octobre 2022 et c’est dans l’immédiat, le seul référentiel permettant à une organisation de faire reconnaitre par un tiers de confiance (autorité de certification ou autorité nationale de protection des données) un niveau de conformité opposable au sens du RGPD.

Le mécanisme de certification Europrivacy a été créé en étroite collaboration avec les différentes autorités de contrôle nationales. Il est continuellement géré et mis à jour par le Centre européen pour la certification et la protection des données (ECCP) basé au Luxembourg, et son Comité international d'experts en protection des données afin d’y intégrer les évolutions réglementaires et la jurisprudence les plus récentes. La certification Europrivacy s'appuie sur le RGPD et la doctrine du Comité Européen de la Protection des Données (CEPD). Celui-ci peut être utilisé pour de nombreuses catégories d’activités de traitement de données et être adapté en fonction du secteur et des technologies utilisées, y compris lorsqu’il s’agit de nouvelles technologies telles que l’intelligence artificielle, la blockchain et l’Internet des objets. La certification Europrivacy prend également en considération les spécificités locales des législations nationales des pays de l’UE le cas échéant.

Quelle feuille de route pour obtenir cette certification ?

L’organisation doit décrire clairement les opérations de traitement comprises dans l’objet de la certification et indiquer quels sont les éléments fondamentaux, c’est-à-dire les données, les processus et les infrastructures techniques, qui seront évalués et ceux qui ne le seront pas. La certification est délivrée par un organisme de certification agréé (qui doit être préalablement accréditée par l’autorité de protection d’un des Etas membres de l’Union européenne et/ou par l’organisme national d’accréditation, le COFRAC en France. Le mécanisme de certification et des critères de certification doivent exister pour que l’organisme de certification puisse être agréé conformément à l’article 43) ou par une autorité de contrôle compétente qui va vérifier le respect le respect de l’ensemble des critères du schéma de certification pour les traitements concernés.

Des documents justificatifs sont nécessaires pour démontrer la conformité, en particulier des rapports écrits qui non seulement reprennent les critères du référentiel de certification, mais décrivent également la manière dont ils sont respectés et qui, si ces critères n’étaient pas respectés au départ, décrivent les rectifications et les mesures correctives ainsi que leur pertinence, expliquant ainsi les motifs pour lesquels la certification doit être délivrée et maintenue

En pratique, il est conseillé de faire auditer les traitements concernés par l’un des partenaires d’Europrivacy (« europrivacy certification implémenter ») par rapport au schéma de certification, afin de procéder en amont de la soumission du dossier aux actions de remédiation qui s’imposent pour que l’ensemble du cahier des charges soit satisfait. Le dossier est ensuite préparé avec l’aide du partenaire et présenté à l’autorité de certifiions qui délivrera la certification pour une durée de trois années.

Prochaine étape, la certification comme mécanisme de transfert

La certification dispose également depuis le 16 juin dernier de « lignes directrices sur la certification en tant qu’outil au service des transferts », adoptées par le Comité européen de protection des données, en application de l'article 46, paragraphe 2, point f), du RGPD qui a introduit des mécanismes de certification approuvés en tant que nouvel outil permettant de transférer des données à caractère personnel vers des pays tiers en l’absence d’accord d’adéquation, ce qui va permettre de compléter la panoplie des outils de transferts disponibles pour les organisations et entreprises internationales.

Les schémas de certification approuvés en application de l’article 42, paragraphe 3 pourront donc également être enrichis pour être utilisés comme mécanisme de transfert, pour autant qu’ils répondent aux conditions supplémentaires posées par l’article 46, paragraphe 2, point f), du RGPD telles qu’interprétées par le CEPD.

Fabrice Naftalski, Avocat Associé, EY société d’avocats,
EY Global Data Protection Law Leader