La certification RGPD, c'est pour bientôt !

ans un avis formel rendu le 10 octobre 2022[1], le Comité Européen de Protection des Données (CEPD) précise les modalités de mise en œuvre de la certification volontaire prévue à l’article 42 paragraphe 3 du Règlement général sur la protection des données (RGPD)[2]. Le Comité y détaille le champ d’application du mécanisme de certification et esquisse les critères d’évaluation.

Le mécanisme de certification Europrivacy a été développé par le Centre européen pour la certification et la protection des données (ECCP). La certification ne pourra être délivrée que par un organisme d’audit indépendant, préalablement agrée par le Comité Français d’Accréditation (COFRAC). La certification sera valable trois ans.

Champ d’application

La certification s’adresse à la fois aux responsables de traitement de données ainsi qu’aux sous-traitants. Elle s’applique aux responsables et aux traitements établis dans l’Union européenne ou dans l’Espace économique européen[3].Elle tend à couvrir un large champ d’activités. Sont cependant formellement exclus les traitements des données génétiques[4].

La certification portera sur les « mesures technologiques et organisationnelles mises en place pour sécuriser les données personnelles traitées »[5] conformément à l’article 5 du RGPD. Le candidat devra démontrer que les données conservées « sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »[6].Ces mesures seront évaluées au regard du contexte spécifique du domaine ou de la technologie dans lequel elles peuvent s’inscrire. En ce cas, le propriétaire du système de traitement devra fournir « une matrice informative » décryptant le particularisme[7].

Critères d’évaluation

Le schéma de certification vérifiera la « licéité du traitement des données pour chaque opération de traitement individuelle […] » et exigera l’existence « d’une base juridique telle que définie par l’article 6 du RGPD »[8].

Quand bien même il en serait exonéré par l’article 37 du RGPD, le candidat devra désigner un délégué à la protection des données[9].

De surcroît, il devra avoir mis en place des mesures permettant la consultation, la correction et l’effacement des données conservées en adéquation avec le chapitre 3 du RGPD[10].

Les critères de certifications devront par ailleurs « évaluer le risque pour les droits et libertés des personnes physiques du traitement des données impliqué » au regard de l’article 35 du RGPD[11]. Des « mesures techniques et organisationnelles garantissant la confidentialité, l’intégrité et la disponibilité des opérations de traitement » devront avoir été prévues[12].La violation des données devra être notifiée en temps utile et dans les limites prévues aux articles 33 et 34 du RGPD[13].

Si le candidat recourt au transfert de données vers des pays tiers ou des organisations internationales, il devra justifier de ses mécanismes de transferts. Ceux-ci devront prévoir des « garanties appropriées » satisfaisants aux conditions du chapitre 5 du RGPD[14].

Enfin, le candidat devra fournir un rapport d’évaluation sur la prise en compte et le respect des obligations et spécificités nationales de l’État membre avec lequel il entre en interaction. Le candidat devra étayer les mesures prises pour les respecter ou à défaut les correctifs en cours de déploiements[15].

Ces éléments devraient considérablement se préciser dans un futur proche. Nul doute en revanche que cette certification pourrait constituer pour les opérateurs économiques un avantage concurrentiel, gageant de leurs fiabilités.

Hoël Rival