La certification est un outil de conformité consistant à faire valider par un organisme indépendant le respect du cahier des charges d’une organisation par une entreprise aux fins de garantir qu’un produit, une organisation ou une personne répond à certaines exigences; en l’occurence, elle permet à l’organisation de communiquer sur le niveau de protection des données offert par leurs produits, services, processus ou systèmes de données.
Bien que sur la base du volontariat, il s’agit d’un outil juridiquement contraignant pour ceux qui choisissent de s’engager dans cette démarche.
Conformément à l’article 42 du RGPD, les États membres, les autorités de contrôle, le comité et la Commission doivent encourager, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement.
Les certifications s’inscrivant dans le cadre du RGPD ou de la loi Informatique et Libertés font l’objet d’une approbation au niveau national ou au niveau européen:
- par la CNIL lorsque la certification bénéficie d’une reconnaissance nationale. Pour les certifications s’inscrivant dans le cadre du RGPD, elles sont, au préalable, soumises à l’avis du CEPD qui veille à l’application cohérente du RGPD au travers des outils de la conformité nationaux ;
- par le CEPD lorsque la certification bénéfice d’une reconnaissance européenne. Les certifications sont alors directement applicables dans l’ensemble des membres de l’Union européenne car les spécificités de chaque droit national sont pris en compte par la certification.
La demande de certification doit être faite auprès d’un organisme certificateur disposant chacun de leur propre procédure de certification à sélectionner parmi la liste des organismes agréés pour intervenir sur la certification recherchée.
Quelques pistes de lecture sur le sujet:
- Sophie Nerbonne, « RGPD-La CNIL accompagne les professionnels dans leur mise en conformité », Banque et Droit, Hors-Série, mars 2019, pp. 32-34.
- Lorraine Maisnier-Boché, Farid Bouguettaya, « La certification : nouvel outil d’accountability et de confiance », Expertises des systèmes d’information, n°448, juillet 2019, pp. 250-254.
- Alexandra Iteanu, « Microsoft et Health Data Hub, retour sur la certification HDS », Expertises des systèmes d’information, n°463, décembre 2020, pp. 432-433.