Transition vers le RGPD : des labels à la certification
Avec l’entrée en application prochaine du règlement européen à la protection des données (RGPD), la CNIL met en place un nouvel outil de conformité, la certification, et met progressivement fin à son activité de labellisation.
Le Règlement européen et le projet de loi actuellement en discussion au Parlement invitent les autorités de protection des données à développer les mécanismes de certification en matière de protection des données, afin d’assister les responsables de traitement dans leurs démarches de conformité.
Les certifications seront délivrées par des organismes certificateurs agréés par la CNIL ou accrédités par l’organisme national d’accréditation (COFRAC). La CNIL aura en outre pour mission d’élaborer ou d’approuver les référentiels de certification qui seront utilisés par les certificateurs, ainsi que, le cas échéant, les référentiels d’agrément.
Compte tenu de cette orientation européenne et afin de concentrer ses efforts et ressources sur la mise en œuvre de ce nouveau dispositif, la CNIL va progressivement cesser son activité de labellisation.
Que deviennent les labels actuels à l’entrée en application du règlement ?
La CNIL prévoit de ne plus délivrer de nouveau label après le 25 mai 2018.
Les labels émis avant l’entrée en application du règlement restent valables jusqu’à leur date d’échéance mais n’emportent pas tous de conséquence sur le plan de la conformité RGPD. Seuls les labels Gouvernance et Formation dont les référentiels ont été mis à jour pour tenir compte du RGPD, pourront offrir à leurs bénéficiaires un tel argument de conformité.
Après la fin de validité de ces labels, leurs titulaires pourront ensuite se tourner vers un organisme certificateur afin d’obtenir une certification dans un domaine équivalent.
Que deviennent les dossiers de labellisation en cours d’instruction ?
La CNIL poursuit l’analyse des demandes de labellisation reçues.
Toutefois, et afin d’être en mesure de traiter l’ensemble des dossiers d’ici le 25 mai 2018, la Commission ne pourra plus traiter les demandes de labellisation reçues à compter du 30 mars 2018.
Quand les premières certifications seront-elles possibles ?
Les référentiels de certification seront élaborés après une phase de consultation publique, approuvés par la CNIL et publiés sur son site. Il appartiendra ensuite aux candidats de se rapprocher des certificateurs, qui procèderont à l’instruction de leurs demandes.
Les travaux sur les premiers référentiels ont déjà débuté. Une certification de Délégués à la Protection des Données est ainsi en cours d’élaboration : des organismes de certification agréés par la CNIL délivreront des certifications de DPO, sur la base d’un référentiel rédigé par la CNIL. Parallèlement, des travaux sont menés en matière de certification de formation RGPD avec le COFRAC.