La Cnil, les procédures de certification et les codes de conduite du RGPD

Dans un communiqué en date du 19 décembre, la Cnil présente la certification et les codes de conduite prévus par le RGPD. Elle en profite pour rappeler qu'elle a progressivement abandonné ses procédures de labellisation au profit des certifications.

La certification

L'essentiel de la certification est rappelé de manière synthétique par la Commission :

"La certification est la procédure, prévue par les articles 42 et 43 du Règlement général sur la protection des données (RGPD), permettant à un professionnel de demander à un organisme  tiers d’attester de la conformité de son produit, processus, service ou de ses compétences à des caractéristiques décrites dans un référentiel donné.
L’organisme tiers, aussi appelé tiers certificateur, doit justifier de son indépendance et de son impartialité. Pour ce faire, le RGPD prévoit deux types de procédures :

  • L’obtention d’un agrément auprès de la CNIL après avoir démontré so indépendance et son expertise sur la base d’un référentiel établi par la CNIL.

  • L‘obtention d’une accréditation, auprès du Comité français de l’accréditation (COFRAC). L’impartialité et la compétence du tiers sont également évaluées sur la base d’un référentiel d’accréditation constitué des exigences prévues dans la norme ISO 17065 ainsi que des exigences supplémentaires établies par la CNIL.

Le RGPD et la loi Informatique et Liberté prévoient deux types de référentiels :

  • Le référentiel d’agrément ou d’accréditation qui est utilisé par la CNIL ou par le COFRAC pour évaluer des organismes certificateurs.
  • Le référentiel de certification qui est utilisé par les organismes certificateurs pour évaluer des produits, procédés, services ou encore des personnes."

Les codes de conduite

À nouveau la Cnil résume la notion de code ce conduite :

" Ils sont élaborés par les acteurs professionnels (fédérations, organisations professionnelles). Ils traduisent une application concrète de la réglementation sur la protection des données à un secteur d’activité donné et se composent de bonnes pratiques (durée de conservation, mention d’information, modes opératoires…). Un organisme peut librement adhérer à un code de conduite. Le RGPD prévoit qu’un organisme tiers sera chargé de contrôler le respect d’un code ce qui confère à cet outil de conformité un caractère contraignant. Les codes de conduites peuvent être européens ou nationaux, dans ce dernier cas la CNIL validera leur contenu avant de les publier. "

"Le code de conduite est un outil de  conformité prévu par les articles 40 et 41 du Règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD).
Cet outil est destiné à faciliter la bonne application des dispositions du règlement, compte tenu des spécificités des traitements effectués dans un secteur et des besoins spécifiques des micros, petites et moyennes entreprises.
"

En savoir plus

Voir le communiqué de la Cnil "La certification et les codes de conduite" sur son site.
Voir pour rappel l'article "Transition vers le RGPD : des labels à la certification" du 23 février 2018.

Toutes nos actualités sur les Données à caractère personnel ou plus spécifiquement sur le RGPD.

Didier FROCHOT