La Commission nationale pour la protection des données (ci-après, la « CNPD ») a présenté le 28 juin 2022 les premiers critères nationaux de certification[1] d’activités de traitements de données à caractère personnel dits « GDPR-CARPA » applicables sous l’empire Règlement Générale sur la Protection des Données[2] (ci-après, « RGPD »).
Cette certification offre aux entreprises la possibilité de faire certifier par un organisme de certification tiers, tout ou partie de leurs opérations de traitement de données à caractère personnel afin de pouvoir attester d’un haut niveau de conformité au RGPD concernant ces traitements.
Cette certification non-sectorielle propose des critères « suffisamment flexibles pour être pertinents pour une panoplie d’opérations de traitement dans plusieurs secteurs »[3]. Elle a également vocation à s’appliquer aussi bien aux responsables de traitements qu’aux sous-traitants.
Une fois la certification obtenue, celle-ci a une durée de trois années, pendant lesquelles les entreprises dont les traitements seront certifiés pourront s’en prévaloir par l’utilisation d’un logo dédié. Pour plus d’information sur le schéma de certification GDPR-CARPA, consulter la : page dédiée sur le site de la CNPD.
Les organismes de certification autorisés à délivrer la certification GDPR-CARPA sont agréés par la CNPD et cette dernière en publiera prochainement la liste sur son site internet. Pour plus d’information sur l’agrément des organismes de certification, consulter la : page dédiée sur le site de la CNPD.
Enfin, si elles ne recherchent pas la certification, les entreprises pourront néanmoins s’inspirer des critères de certification énoncés pour orienter leur travail en matière d’accountability (principe de responsabilité, énoncé à l’article 5, paragraphe 2 du RGPD).
[1] La certification GDPR-CARPA, intitulée « GDPR-CERTIFIED ASSURANCE REPORT-BASED PROCESSING ACTIVITIES CERTIFICATION CRITERIA (GDPR-CARPA) VERSION 1 /2022 » a été adoptée par décision de la CNPD du 13 mai 2022.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[3] Extrait de la page dédiée au schéma de certification "GDPR CARPA" sur le site de la CNPD