Certifier un produit ou service conforme au RGPD

Certifier un produit ou un service comme étant conforme au cadre juridique de la protection des données est un procédé qui suscite l’intérêt de nombreux professionnels désireux de communiquer sur le respect de la vie privée de leurs dispositifs.

Or, si cette possibilité est bien offerte par la loi informatique et libertés et par le RGPD, aucun mécanisme de certification n’a pour l’instant été approuvé par la CNIL ou par le Comité européen de la protection des données (CEPD) de sorte que ce procédé reste aujourd’hui inappliqué.

Certains travaux récents des deux institutions précitées laissent toutefois suggérer que ce mécanisme pourrait être rapidement effectif si bien qu’une mise au point sur ce procédé s’impose.

 

La certification, en droit et en pratique

Les textes applicables consacrent le principe d’une certification très large puisque tout produit ou service peut faire l’objet d’une certification dès lors que celui-ci présente des enjeux en lien avec la protection des données.

En pratique, il s’agira donc de confronter un dispositif aux critères imposés par l’un des référentiels par la CNIL ou par le CEPD.

La certification pourra par ailleurs être effectuée à l’échelle nationale ou européenne lorsque le dispositif de certification a fait l’objet d’une approbation par le CEPD.

Si la procédure devrait varier en fonction des organismes certificateurs, le processus devrait a minima comporter les étapes suivantes :

-      la recevabilité du dispositif objet de la demande de certification est appréciée par l’organisme agréé avant son instruction. Seront ainsi écartées les demandes qui ne correspondent manifestement pas aux critères de la certification demandée;

-      l’organisme certificateur procède à l’évaluation du dispositif en se référant aux critères de la certification concernée. L’évaluation portera sur évidemment sur le dispositif objet de la demande de certification comme sur l’effectivité des processus de protection de données mis en œuvre par le demandeur;

-      enfin, lorsque l’organisme certificateur conclut au respect des critères, un certificat est délivré au demandeur. À charge ensuite pour celui-ci de maintenir sa conformité aux critères de certification pendant toute la durée de validité du certificat et de se soumettre à d’éventuelles vérifications ultérieures par l’organisme agréé.

 

Pourquoi vouloir certifier un produit ou un service ?

Nombreuses sont les raisons pouvant pousser un professionnel à s’engager dans une démarche de certification.

En effet, si l’obtention d’un certificat constitue évidemment un excellent gage de fiabilité pour le produit en cause, le procédé est très généralement bénéfique pour l’ensemble de l’organisation.

Outre les bénéfices liés à la satisfaction à l’un des référentiels adoptés par les autorités en charge de garantir l’application du RGPD, la démarche témoigne également d’un important niveau de conformité au sein de l’organisme puisque le processus induit un examen approfondi des mesures permettant de démontrer le respect du régime juridique de la protection des données.

L’obtention d’une certification permet ainsi de faire valoir la bonne conformité de la marque aux partenaires, aux personnes concernées par le traitement de leurs données, ou encore au grand public.

Enfin, lorsque le dispositif objet de la demande de certification est susceptible d’induire l’existence de transferts de données hors de l’Union européenne, son obtention peut s’avérer particulièrement précieuse puisqu’elle est susceptible d’autoriser ces transferts sans avoir à recourir à des dispositifs plus contraignants.

Une telle solution pourrait s’avérer particulièrement pertinente pour une organisation qui souhaiterait commercialiser un produit ou un service hors de l’UE dans la mesure où le principe en la matière est l’interdiction de tout transfert de données hors de l’Union européenne.

Enfin, dans l’attente de l’adoption de référentiels permettant de faire un produit ou un dispositif, il est possible pour toute personne physique de s’engager dans une démarche de certification des compétences de délégué à la protection des données puisque plusieurs organismes ont d’ores et déjà été agréés.

Pour partager cet article sur les réseaux sociaux

Je souhaites réserver un appel !