Certification RGPD : Après le marathon, place au sprint ?

Cet article invité a été rédigé par notre formateur Kenny Willems

En 2020, avec « certification marathon« , j’ai publié une première analyse sur le déploiement (lent) de la certification RGPD. Depuis, beaucoup de choses ont changé et il est grand temps de faire un nouveau point sur la situation.

Où en sommes-nous aujourd’hui ? 🥳

En 2020, j’espérais que l’année suivante, nous fêterions la première certification. J’aurais aussi parié que SeriSe serait le premier organisme accrédité à franchir la ligne avec un sceau européen. Il s’avère que je ne suis pas un bon devin… Il aura fallu trois ans de plus (c’est-à-dire presque six ans après l’entrée en vigueur du RGPD) pour que le schéma Europrivacy, quasi homonyme, voit le jour.

Aujourd’hui, le registre de certification de l’EDPB compte cinq schémas.

Après quelques recherches, voici un aperçu : (en NL)

Qu’est-ce qui ressort ? 🔎

Le marathon est bien réel. Le passage au marché entre la demande et la première certification reste difficile. Les autorités, qui ont la tâche légale de promouvoir la certification, devraient raccourcir leurs procédures pour stimuler davantage le marché.

Périmètre : Europrivacy est pour l’instant le seul sceau européen qui s’applique aussi bien aux responsables du traitement qu’aux sous-traitants. EuroPriSe a décidé il y a quelques années de scinder stratégiquement son schéma et ne dispose actuellement que du sceau pour le schéma des sous-traitants. BC5701 et AUDITOR ont tous deux exprimé leur ambition de faire passer leur schéma national à un sceau européen.

Focus : La plupart des schémas sont généraux et couvrent un large éventail de processus, produits ou services. Mais il est possible de développer des schémas spécifiques, comme la certification de protection des données pour les services de Cloud européens (AUDITOR), qui cible spécifiquement les fournisseurs de services Cloud. Europrivacy opte pour un modèle hybride où l’on peut ajouter des extensions aux critères de base, comme l’ePrivacy, l’IA et d’autres marchés.

Outil de transfert : En théorie, un schéma de certification pourrait constituer une garantie adéquate pour les transferts internationaux (cf. article 46.2.f du GDPR). L’EDPB a déjà publié en 2022 des lignes directrices (07-2022) pour promouvoir cette idée. Il est toutefois remarquable qu’aucun schéma (et par extension, aucun code de conduite) ne propose encore de solution adéquate. Étant donné que la voie de la certification est déjà complexe, et qu’il faudrait probablement encore plus d’évaluations pour qu’elle serve également de mécanisme de transfert, il semble que ce soit une décision stratégique.

Nombre d’organismes accrédités et certificats délivrés : On constate différents modèles économiques. Tandis qu’EuroPriSe agit à la fois en tant que propriétaire de schéma et organisme de certification, Europrivacy sépare le propriétaire du schéma (ECCP) de ses partenaires qui l’appliquent.

La cybersécurité comme catalyseur ? 🔮

Bien que le marché commence tout juste à se développer et qu’il reste à voir quelle valeur sera réellement accordée à un tel certificat, la certification demeure un outil puissant. Il est important que les premiers certificats aient enfin été délivrés et que ce sujet prenne de plus en plus d’importance.

En janvier 2024, le premier schéma sous la Cybersecurity Act a été publié. Cette certification s’intègre parfaitement dans la démonstration de conformité en matière de cybersécurité pour la Cyber Resilience Act, la NIS-2 et même l’AI Act. En juillet 2024, l’EDPB a envoyé une mise à jour à l’ENISA pour la création d’un groupe de travail ad hoc conjoint visant à étudier comment la protection des données pourrait être intégrée dans les schémas EUCS. Étant donné que la certification est plutôt obligatoire dans ce cadre, il est probable que les organisations envisagent également de se doter d’une certification GDPR.

Prêt pour le business case ? 🤔

Cherches-tu aujourd’hui des moyens de démontrer ta conformité et de gagner en confiance ? Alors la certification RGPD est devenue une option valable. Mais est-ce la bonne solution ? Pour le savoir, il est recommandé de bien préparer un business case. Voici quelques critères à prendre en compte.

Principaux avantages :

• Démonstration de conformité et renforcement de la confiance ↗️
• Avantage concurrentiel (USP) ↗️
• Réduction des risques de non-conformité ↘️
• Catalyseur pour améliorer la maturité globale en matière de RGPD ↗️
• Facilite la tâche du DPO

Principaux inconvénients :

• Le respect d’un cadre de politiques, procédures et documents spécifiques peut compliquer les futures modifications
• Maintenance élevée : chez Europrivacy, la certification est valable trois ans, mais nécessite un audit de surveillance chaque année intermédiaire. Merci @Kris Somers pour cette précision.
• Même en présumant la conformité, la surveillance par une autorité ne diminuera pas de manière spectaculaire
• En cas de violation claire couverte par le certificat, cela pourrait peser plus lourdement dans la détermination de la sanction
• Risque de dommages à la réputation en cas de retrait du certificat
• Coût élevé : €€€ = mise en œuvre + certification initiale + audit de surveillance annuel + frais de maintenance (p.ex. publication dans le registre)
• Si l’objet de l’évaluation change fréquemment, il est possible que l’auditeur revienne plus tôt que prévu
• Comparer le marché peut être utile : Europrivacy est relativement commercial et propose, par exemple, un « Welcome pack » d’une valeur de 6000 €, qui ne comprend même pas encore la certification.

Alternatives :

• Continuer sans certification…
• Publier un résumé d’une DPIA
• Rejoindre un code de conduite (ou prendre l’initiative d’en créer un dans votre secteur)
• Publier un résumé d’un rapport d’audit basé sur un schéma de certification, sans aller jusqu’à la certification

En résumé, réfléchissez bien avant de vous lancer. Assurez-vous que la certification est l’outil adéquat et que vous êtes prêt à vous engager sur les plans contractuel et légal.

Que faire si mon organisation n’a ni l’ambition ni les moyens de se certifier ? 🤔

Obtenir un certificat n’a pas toujours besoin d’être un objectif. La plupart des schémas sont disponibles gratuitement et peuvent contribuer à d’autres initiatives.

L’utilisation d’un schéma GDPR pourrait par exemple constituer une bonne méthode pour évaluer objectivement vos processus internes, produits et services. Contrairement à l’approche classique d’un système de gestion, cela introduit l’organisation à l’audit basé sur les produits. Cela peut également aider dans les démarches de diligence raisonnable des sous-traitants.

De plus, une telle méthode d’évaluation permet de mieux définir les attentes du DPO à l’égard de certaines activités de traitement. Elle peut également aider les équipes de développement et les responsables des achats à trouver la bonne approche pour se conformer au GDPR.

Envie d’en savoir plus ? Inscrivez-vous à la formation d’audit RGPD du DPI !

Curieux de savoir comment fonctionne la certification RGPD et ce qu’elle peut signifier pour vous ? Participez à la formation d’audit RGPD de l’Institut de Protection des Données, où je clôturerai la semaine le vendredi.

Ma contribution commencera par une courte introduction aux concepts de certification et d’accréditation, mais se concentrera principalement sur la pratique, où les participants évalueront un produit fictif à l’aide d’un schéma GRGPD.

La prochaine session aura lieu du 4 au 8 novembre 2024 à Elewijt. Il reste encore quelques places disponibles, ne tardez pas !

En espérant vous y voir bientôt !

Kenny