Le Règlement européen de protection des données adopté le 27 avril dernier[1] marque une évolution vers une co-régulation du marché de la donnée. Pour cela, il encourage les organisations et leurs représentants professionnels à mettre en place des mécanismes de certification, des labels et des marques qui seront consignés dans un registre tenu par le Comité[2].
La certification est un processus volontaire et transparent.
La certification et les labels permettent de démontrer la conformité et de limiter les amendes
La certification ne diminue par la responsabilité du responsable du traitement ou du sous-traitant en cas de violation du Règlement et n’interdit pas un contrôle ou une sanction de la CNIL.
Néanmoins, l’application de mécanismes de certification approuvés pourra servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement.
De même l’application par un sous-traitant d’un mécanisme de certification approuvé pourra servir à démontrer le respect des obligations incombant au responsable du traitement.
Enfin, il sera tenu compte, dans chaque cas d’espèce, de mécanismes de certification approuvés pour décider s’il y a lieu d’imposer une amende administrative et pour décider de son montant.
A titre d’exemple, la délivrance d’un label à une entreprise pourra présumer du respect des exigences relatives à la protection des données dès la conception et protection des données par défaut (Privacy by Design). Ces mécanismes devraient notamment prendre en compte les besoins spécifiques des micro, petites et moyennes entreprises.
La certification ou les labels pourront servir à encadrer les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale.
Les schémas de certification approuvés pourront aussi donner des lignes directrices sur l’évaluation des risques d’impact en termes de probabilité et de gravité et sur l’identification des meilleures pratiques visant à atténuer le risque.
La Commission pourra adopter des actes délégués aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification.
Durée de la certification, du label ou de la marque
La certification sera délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et pourra être renouvelée dans les mêmes conditions tant que les exigences applicables continueront d’être satisfaites. La certification sera retirée, s’il y a lieu, par les organismes de certification ou par l’autorité de contrôle compétente lorsque les exigences applicables à la certification ne seront pas ou plus satisfaites.
Qui délivrera la certification, le label ou la marque ?
Une certification sera délivrée par les organismes de certification agréés[3] ou par l’autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente ou par le Comité. Lorsque les critères seront approuvés par le Comité, cela pourra donner lieu à un label européen de protection des données.
Les organismes de certification devront notamment démontrer leur indépendance et leur expertise en matière de certification, avoir mis en place des procédures en vue de la délivrance, de l’examen périodique et du retrait des certifications, des labels et des marques, avoir établi des procédures et des structures pour traiter les réclamations tout en garantissant leur transparence et démontré l’absence de conflit d’intérêts.
L’autorité de contrôle compétente ou l’organisme national d’accréditation pourra révoquer l’agrément d’un organisme de certification si les conditions d’agrément ne sont pas ou ne sont plus réunies ou si l’organisme de certification ne respecte pas le Règlement.
Exemple de certifications en matière de protection des données et de la vie privée
Il existe un grand nombre de certification, labels et marques dans le monde faisant plus ou moins référence à la protection des données et de la vie privée, offrant des garanties de protection et d’indépendance très disparates.
Les labels de la CNIL et d’EuroPriSe ont en commun de proposer des garanties de transparence et d’indépendance et d’avoir directement ou indirectement pour référentiel les directives européennes de protection des données et de la vie privée[4].
Les labels CNIL[5]
A la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements la Commission délivre un label à des produits ou à des procédures tendant à la protection des données à caractère personnel ; la CNIL peut aussi déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d’un label.
Les labels CNIL se basent notamment sur le respect de la loi française dite « informatique et libertés ».
La Cnil réfléchit aussi à la définition d’un label pour inciter les éditeurs d’applications mobiles d’e-santé à mieux informer les utilisateurs sur l’utilisation de leurs données personnelles.
Dans tous les cas, la CNIL devra adapter les référentiels de ses labels aux exigences du Règlement.
Enfin, le projet de loi numérique prévoit d’étendre le champ de certification de la CNIL. Celle-ci pourra certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la loi numérique de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne.
L’une des dispositions du projet de loi numérique indique que le service de coffre-fort numérique pourra bénéficier d’une certification établie selon un cahier des charges proposé par l’autorité nationale de la sécurité des systèmes d’information (ANSSI) après avis de la Commission nationale de l’informatique et des libertés (CNIL) et approuvé par arrêté du ministre chargé du numérique. Les modalités de la certification par l’État seront définies par décret en Conseil d’État pris après avis de la CNIL.
Exemple d’un label basé sur un référentiel européen : le label EuroPriSe[6]
A l’origine EuroPriSe était un projet mené par l’autorité de protection des données du Schleswig-Holstein (état allemand), avec 8 partenaires européens et supporté par la Commission Européenne. Depuis 2014, EuroPriSe est un organisme privé comprenant en son sein, un comité d’experts internationaux reconnus.
La certification EuroPriSe peut être délivrée pour des produits et services IT ainsi que pour des sites internet.
Le label est la garantie que les données traitées lors de l’utilisation d’un produit ou d’un service IT ou d’un site internet[7] , le sont en conformité avec les règles européennes de protection des données et de la vie privée. Il est également tenu compte d’exigences issues des législations nationales des états membres.
Le label est valable deux ans.
La procédure comprend deux étapes :
Une double évaluation menée par un expert juridique et par un expert en sécurité IT, tous deux accrédités pour trois ans et une décision rendue par une autorité de certification indépendante.
EuroPriSe devrait logiquement suivre le processus d’accréditation prévu par le nouveau Règlement.
[1] Règlement UE 2016/679
[2] Le comité se compose du chef d’une autorité de contrôle de chaque État membre et du Contrôleur européen de la protection des données, ou de leurs représentants respectifs.
[3] Les organismes de certification sont agréés pour 5 ans par l’autorité de contrôle compétente ou par l’organisme national d’accréditation conformément aux standards internationaux (cf. règlement (CE) no 765/2008, norme EN-ISO/IEC 17065/2012) sur la base de critères approuvés par l’autorité de contrôle ou par le Comité.
[4] Directive 95/46/EC and Directive 2002/58/EC
[5] https://www.cnil.fr/fr/comment-obtenir-un-label-cnil
[6] https://www.european-privacy-seal.eu/EPS-en/About-EuroPriSe
[7] Parties accessibles au public
