Tout savoir sur la certification RGPD : définition, démarches, organismes…

La certification RGPD, un outil de crédibilité et de confiance

La certification, de manière générale, est un outil qui permet de vérifier et de prouver qu’un produit ou un service est conforme à un ensemble donné de critères (ce que l’on appelle un “référentiel”). C’est un outil de responsabilisation qui vous permet de vous engager pleinement dans une démarche de conformité, mais aussi un outil de communication auprès des tiers : partenaires, fournisseurs, utilisateurs, clients…

En l’occurrence, la certification RGPD sert à démontrer que l’objet (produit, service, traitement) que vous souhaitez certifier est conforme au RGPD, règlement général sur la protection des données. On parle aussi parfois d’attestation de conformité. Ce sont deux termes synonymes.

Le périmètre de la certification RGPD peut être très variable. La certification RGPD peut concerner un seul traitement ou bien toute une organisation ! Elle peut être délivrée pour un site internet, un système d’information, un logiciel ou encore une application mobile. Si votre entreprise édite deux logiciels A et B, vous pouvez très bien demander une certification pour les 2 logiciels ou pour 1 seul.

Précisons aussi qu’une personne, un Data Protection Officer par exemple, peut demander à obtenir une certification pour ses compétences. La certification RGPD concerne donc non seulement les produits ou services, mais aussi les hommes.

Qui délivre les certifications RGPD ?

La CNIL n’a pas un rôle de certificateur. Ce n’est pas la CNIL qui délivre les certifications RGPD. En revanche, la CNIL est l’autorité qui :

• Fixe ou approuve les critères de conformité qui servent à faire les évaluations. 
• Délivre les agréments aux organismes de certification.

Les évaluations sont réalisées par des organismes tiers agréés par la CNIL.

La certification RGPD est-elle obligatoire ?

La réponse est non. Aucune entreprise n’est tenue d’obtenir un certificat RGPD. Il s’agit d’une démarche volontaire.

En revanche, les organisations qui souhaitent obtenir un certificat RGPD doivent respecter les critères définis par la CNIL, mettre tout en œuvre pour maintenir la conformité et enfin se soumettre à des contrôles réguliers. Ces contrôles visent à vérifier que la conformité se maintient dans le temps. Ils sont effectués par les organismes tiers certificateurs.

Comment obtenir une certification RGPD ?

La première étape consiste à définir ce que vous souhaitez certifier : un logiciel, un traitement de données en particulier…C’est ce que l’on appelle l’objet de la certification. Précisons d’ailleurs que tout ne peut pas faire l’objet d’une certification RGPD.

La deuxième étape consiste à comparer et choisir un organisme de certification RGPD. La CNIL a publié la liste de tous les organismes tiers agréés.

La troisième étape consiste à envoyer la demande à l’organisme certificateur sélectionné.

La quatrième étape est le contrôle de conformité en lui-même. Il est effectué par l’organisme de certification RPGD que vous avez choisi. L’évaluation se déroule généralement en deux phases : dans un premier temps, une immersion documentaire et des entretiens individuels (visio) ; dans un deuxième temps, une visite et un contrôle sur place. Mais les modalités de l’évaluation peuvent varier d’un organisme à l’autre.

La dernière étape est la délivrance de l’attestation de conformité RGPD…si les critères de conformité sont respectés bien entendu.

Comme nous le disions plus haut, une fois l’attestation reçue, vous devrez vous soumettre à des contrôles réguliers de la part de l’organisme certificateur pour maintenir le bénéfice de la certification. Les modalités de ce contrôle varient en fonction de l’objet de la certification et de l’organisme de certification.

Les certificats RGPD sont-ils reconnus au niveau européen ou seulement français ?

Il existe deux catégories de certificats RGPD : 

• Les certificats reconnus uniquement au niveau français. Cela concerne les certifications délivrées par des organismes agréés par la CNIL.
• Les certificats reconnus au niveau européen. Cela concerne les certifications délivrées par des organismes agréés par la CEPD, le Comité européen de la protection des données.

Si vous souhaitez un certificat RGPD valable au niveau européen, vous devez vous rapprocher d’un organisme certifié par le CEPD.

La mise en conformité RGPD est un sujet plus large que la certification RGPD

Obtenir un certificat RGPD, c’est très bien. Cela démontre votre sérieux et rassure vos parties prenantes. Mais c’est bien plus qu’un enjeu de communication. La mise en conformité RGPD est un passage obligé si votre entreprise, vos produits ou services utilisent des données à caractère personnel. 

La mise en conformité au RGPD doit être envisagée comme un changement de culture plus que comme un simple projet ponctuel. C’est pour cette raison qu’elle ne peut pas se réduire à une démarche de certification.

Rappelons que les sanctions prévues en cas de non-conformité de vos traitements avec le RGPD sont très lourdes. L’amende peut s’élever à 4% du chiffre d’affaires annuel ou 20 millions d’euros. Ce n’est donc pas un sujet à prendre à la légère. 

La certification RGPD s’applique en général à un produit en particulier, voire à un traitement en particulier : un transfert de données par exemple. C’est très bien, mais il faut que toute votre organisation soit conforme au RGPD. Pour cela, il faut inscrire la mise en conforme dans une perspective plus globale. Pour cela, il existe un acteur clé à activer : le Data Protection Officer ou DPO.