Plusieurs jours se sont passés depuis l’application du RGPD et nous recevons toujours autant de questions concernant les labels et les certifications. Où en est-on ? Qu’est-ce qui est prévu et pour quand ?
Plus de délivrance de labels, place aux certifications
Depuis le 22 mars, la société Optimex Data est fière de figurer parmi les deux seules entreprises labellisées « RGPD » par la CNIL pour ses formations de sensibilisation, sur le Règlement Général sur la Protection des Données et de Délégué à la protection des données (DPO).
Toutefois, la CNIL a eu l’occasion de le rappeler, elle ne délivrera plus de nouveau label après le 25 mai 2018 mais les labels obtenus avant cette date restent valables jusqu’à leur date d’expiration.
Le RGPD met en place un mécanisme de certification (articles 42 et s.) afin de démontrer que les opérations de traitement effectuées par les organismes respectent le règlement. Les certifications annoncées par la CNIL vont ainsi lentement remplacer les labels sur un mécanisme de délivrance fondamentalement différent.
Les organismes de certification et les phases de consultation publiques
Le modèle retenu pour la délivrance des certificats n’est pas celui qui était prévu avec les labels sous l’ère de la loi Informatique et Libertés. En effet, ce n’est plus la CNIL qui va délivrer les certifications mais ce sont des organismes indépendants qui auront reçu un agrément par la CNIL ou le COFRAC (Comité français d’accréditation).
Ensuite, comme pour les labels, les candidats se rapprocheront de ces organismes afin de démontrer qu’ils respectent les exigences des référentiels élaborés, après une phase de consultation publique, approuvés par la CNIL et publiés sur son site.
La certification de Délégué à la protection des données (DPO) et les certifications à venir
La première certification à venir est la certification DPO. Elle permettra à un délégué ou futur délégué à la protection des données d’attester de ses connaissances spécialisées du droit et des pratiques en matière de protection des données conformément à l’article 37 du RGPD.
Les référentiels concernant la certification DPO et les agréments d’organismes sont actuellement en cours d’élaboration et font l’objet d’une phase de consultation publique accessible directement depuis site Internet de la CNIL.
La proposition de la CNIL prévoit que la délivrance de la certification DPO sera sanctionnée par un examen écrit puis oral permettant d’évaluer le niveau de connaissance du candidat sur la protection des données.
Concernant les autres certifications, très peu d’informations existent mais nous pouvons imaginer, en accord avec l’esprit du Règlement, que des certifications en matière de registre des traitements et politiques internes (article 24.3), de logiciel informatique et applications (article 25. 3 du RGPD), de sous-traitance (article 28.5), de sécurité (article 32.3) ou encore de transfert en dehors de l’Union (article 46.2 f) seront envisagées.
Optimex Data suit de très près ce sujet. S’il vous intéresse autant que nous, n’hésitez pas à vous abonner à notre newsletter (nous n’utiliserons votre adresse e-mail que pour vous informer sur l’actualité en lien avec la protection des données et nos services proposés).
Pour en savoir plus, visitez notre page sur formations labellisées par la CNIL et notre catalogue des formations.
Newsletter
Souscrivez & suivez notre actualité.
Erreur : Formulaire de contact non trouvé !
Conformément à la loi « Informatique et Libertés » du 6 janvier 1978 modifiée, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer par courrier en joignant un justificatif d’identité (OPTIMEX Formation, 51 avenue du 22 août 1944, 38350, La Mure). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.