Protection des données personnelles : lancement de la certification « GDPR-CARPA »

La Commission nationale pour la protection des données (ci-après, la « CNPD ») a présenté le 28 juin 2022 les premiers critères nationaux de certification[1] d’activités de traitements de données à caractère personnel dits « GDPR-CARPA » applicables sous l’empire Règlement Générale sur la Protection des Données[2] (ci-après, « RGPD »).

Cette certification offre aux entreprises la possibilité de faire certifier par un organisme de certification tiers, tout ou partie de leurs opérations de traitement de données à caractère personnel afin de pouvoir attester d’un haut niveau de conformité au RGPD concernant ces traitements.

Cette certification non-sectorielle propose des critères « suffisamment flexibles pour être pertinents pour une panoplie d’opérations de traitement dans plusieurs secteurs »[3]. Elle a également vocation à s’appliquer aussi bien aux responsables de traitements qu’aux sous-traitants.

Une fois la certification obtenue, celle-ci a une durée de trois années, pendant lesquelles les entreprises dont les traitements seront certifiés pourront s’en prévaloir par l’utilisation d’un logo dédié. Pour plus d’information sur le schéma de certification GDPR-CARPA, consulter la : page dédiée sur le site de la CNPD.

Les organismes de certification autorisés à délivrer la certification GDPR-CARPA sont agréés par la CNPD et cette dernière en publiera prochainement la liste sur son site internet. Pour plus d’information sur l’agrément des organismes de certification, consulter la : page dédiée sur le site de la CNPD.

Enfin, si elles ne recherchent pas la certification, les entreprises pourront néanmoins s’inspirer des critères de certification énoncés pour orienter leur travail en matière d’accountability (principe de responsabilité, énoncé à l’article 5, paragraphe 2 du RGPD).