Qu'est-ce qu'une certification RGPD et le sceau européen de protection des données ?
Le RGPD fixe trois conditions principales pour qu'une certification RGPD soit reconnue et ait une validité dans le cadre du RGPD :
- Le champ d'application de la certification doit être axé sur les activités de traitement des données. Par conséquent, les certifications de systèmes de gestion, telles que ISO/IEV 27001 et 27701, ne sont pas éligibles au titre du RGPD.
- Les critères doivent avoir été approuvés par le Comité européen de protection des données.
- La certification doit être délivrée par un organisme de certification qui a reçu une accréditation au titre de l'article 43 du RGPD. 43 RGPD.
Le RGPD distingue deux catégories de certifications :
- Critères de certification nationaux applicables uniquement dans l'un des États membres de l'UE/EEE.
- Le sceau européen de protection des données dont les critères sont reconnus par les 30 États membres de l'UE et de l'EEE.
La liste des critères officiellement reconnus (critères nationaux et label européen) est publiée sur le site web de du CEPD.
Pourquoi envisager une certification officielle RGPD ?
Une certification RGPD apporte plusieurs avantages
Voir les avantagesComment choisir sa certification RGPD ?
Vous devez tenir compte des critères suivants :
1. Le système de certification est-il officiellement reconnu par le CEPD ?
Si ce n'est pas le cas, votre certification sera purement informative et n'aura aucune valeur juridique au regard du RGPD.
2. Le système de certification s'applique-t-il à la fois aux responsables du traitement et aux sous-traitants ?
Sinon, vous risquez d'utiliser deux schémas différents lorsque vous agissez en tant que contrôleur et lorsque vous agissez en tant que sous-traitants.
3. Vos activités de traitement des données sont-elles limitées à un seul pays de l'UE/EEE ?
Si oui, vous pouvez opter pour une certification nationale. Dans le cas contraire, vous devez opter pour le label européen de protection des données.
4. Est-il conforme aux obligations du RGPD ?
Si les critères que vous utilisez n'évaluent qu'une partie des obligations (c'est-à-dire qu'ils n'évaluent pas la légalité du traitement ou des transferts transfrontaliers de données), vous risquez de vous retrouver avec une certification trompeuse comportant des angles morts en termes de conformité.
5. Pouvez-vous choisir entre plusieurs prestataires de services ?
Si ce n'est pas le cas, vous risquez de vous retrouver dans une situation de blocage, avec des coûts non compétitifs et une qualité de service moindre.
6. Quelle est la portée géographique de la certification en termes de reconnaissance ?
Vous pouvez également utiliser la méthode d'évaluation officielle du système de certification RGPD présentée sur le site web du Centre européen pour la certification et la protection de la vie privée : https://eccpcentre.com/csam
Comment obtenir une certification RGPD ?
En principe, une certification RGPD se concentrera sur votre conformité à la loi.
La première chose à faire, indépendamment de toute certification, est de vous assurer que vous êtes en conformité avec le RGPD. Vous pouvez concentrer vos efforts sur vos activités prioritaires de traitement des données.
Une fois que vous avez sélectionné les activités de traitement des données que vous souhaitez certifier, il existe deux approches principales :
- Recours à des prestataires de services qualifiés
- Le préparer soi-même
Dans les deux cas, vous devez documenter la conformité du traitement de données sélectionné avec les critères. Vous pouvez faire appel à des fournisseurs de solutions qualifiés pour accélérer et faciliter le processus de documentation.
Une fois la conformité documentée, vous devez demander des offres et sélectionner un organisme de certification qualifié pour vérifier votre conformité.
Après avoir audité et vérifié la conformité de la cible d'évaluation, l'organisme de certification décidera de délivrer un certificat de conformité valable pour trois ans, renouvelable.
Dans le cas du label européen de protection des données Europrivacy, les certificats sont publiés dans le registre de certificats Europrivacy en ligne qui permet de vérifier la validité et l'authenticité des certificats délivrés.
Quel est le montant à investir et quel est le retour sur investissement ?
L'effort le plus important se situe avant le début de la certification, en s'assurant que le traitement des données est conforme au règlement. L'investissement requis pour une certification varie en fonction de plusieurs facteurs :
- Si vous externalisez la documentation relative au respect des critères officiels ;
- Si vous avez le choix entre plusieurs prestataires de services ;
- La complexité du traitement de vos données ;
- Le PIB par habitant de votre pays.
Si un traitement de données est bien documenté avec les critères, le travail de l'organisme de certification peut durer moins d'une semaine par certificat. La meilleure approche consiste à demander des offres à des prestataires de services qualifiés.
Une certification permet de réduire considérablement et efficacement les risques juridiques, financiers et de réputation. Le site web d'Europrivacy propose un outil permettant d'évaluer les économies et le retour sur investissement de votre certification RGPD : https://europrivacy.com/en/resource/gdpr-estimator
Avantages d'une certification RGPD
Documenter, démontrer et communiquer votre conformité
Réduire les risques juridiques, financiers et de réputation
Valoriser la conformité avec un avantage concurrentiel
Contribuer à mieux protéger les données à caractère personnel et les droits des personnes concernées
Évaluer l'adéquation des mesures techniques et organisationnelles en place
Faciliter les transferts de données (article 46 du RGPD)
Respecter la protection des données dès la conception et par défaut (article 25 du RGPD)
Réduire les risques avec les responsables du traitement des données (article 28 du RGPD)
Ressources en ligne
Programmes officiels de certification RGPD
→ Site officiel d'Europrivacy : https://europrivacy.com
→ Académie en ligne Europrivacy : https://academy.europrivacy.com
→ Site web de la communauté et des ressources Europrivacy : https://community.europrivacy.com
→ Lliste des partenaires officiels d'Europrivacy (metteurs en œuvre, organismes de certification et fournisseurs de solutions) : https://europrivacy.com/en/partners/list
→ Registre officiel des certificats Europrivacy : https://europrivacy.com/en/resource/registry
→ Règlement RGPD : https://eur-lex.europa.eu/eli/reg/2016/679/oj
→ Site web du Conseil européen de la protection des données : https://www.edpb.europa.eu/edpb_fr