Les 4 vérités sur la certification RGPD

De e-glop
Révision datée du 18 février 2020 à 11:47 par BeTa (discussion | contributions) (Page créée avec « Traduction libre de l'article original en anglais publié le 28 janvier 2020 par Irene KAMARA sur [https://iapp.org/news/a/four-gdpr-certification-myths-dispelled/ le site... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)

Traduction libre de l'article original en anglais publié le 28 janvier 2020 par Irene KAMARA sur le site de l'IAPP.

Les premiers papiers de 2016 sur les mécanismes de certification relatifs au réglement européen sur la protection des données (RGPD) ont été accueillis avec tiédeur. Et cela s'explique par une forte attente d'un nouvel outil d'"accountability" mais aussi avec scepticisme, en particulier relativement à la relation de client qui préfigurait dans le texte entre des responsables de traitement (RT) et sous-traitants (ST) candidats d'une part et des organismes certificateurs d'autre part. Le guide de l'EDPB (le bureau européen sur la protection des données) n'a été publié dans sa version final qu'en juin 2019. Celui concernant la certification dans le contexte de transferts hors-UE se fait toujours attendre, et ce malgré la récente reconnaissance de l'utilité de tels mécanismes et les affaires en attente à la Cour de Justice de l'UE (voir l'advocate general opinion §342 exprimant les doutes sur la conformité du Privacy Shield [(accords d'adhésion volontaire UE-USA)] avec le RGPD).

Au niveau européen, il n'y a pas encore de "label" de conformité approuvé par l'EDPB, bien qu'aux niveaux nationaux, des choses commencent à apparaître. L'autorité de contrôle Luxembourgeoise a, par exemple, élaboré des critères de certification intéressants et un "mécanisme de certification" basé sur la norme internationale de certification de l'assurance, à l'origine destinée aux auditeurs de conformité et aux commissaires aux comptes. Les autres certifications existantes "pré-RGPD" n'ont pour l'instant jamais été approuvés par les autorités de contrôle nationales (ex: le référentiel SMDCP de Bureau Veritas parfois repris et amélioré par d'autres). Certains sont en cours de mise à jour et seront probablement proposés à l'approbation des autorités de contrôle. La lenteur du processus a pour cause des incertitudes liées à aux articles du RGPD traitant des aspects clefs des mécanismes de certification (exemple: la différence entre un label et une marque), combinées avec l'inexpérience européenne en matière de certification, en particulier en ce qui concerne la protection des données.

En partant de l'étude conduite par le Tilburg Institute for Law, Technology, and Society et TNO, sous la direction de la direction générale de la justice et des consommateurs de la Commission Européenne, mais aussi par les lignes directrices de l'EDPB, essayons de déconstruire certains mythes et redonner certaines vérités à propos de la certification RGPD et ses articles 42 et 43.

Mythe n°1: Puisque la certification RGPD est volontaire, alors cela n'a aucune conséquence légale

Bien que la certification RGPD soit volontaire, tel que cela est explicitement énoncé par l'article 42.3 du RGPD, signifiant qu'aucun RT ou ST n'a de devoir en matière de certification, cela de veut pas dire que la certification n'a aucune conséquence légale.

Une fois qu'un RT ou un ST est candidat à la certification auprès d'un organisme accrédité, il y a un lien contractuel (la convention de certification) qui est établi entre l'organisme et le RT/ST. Cette convention est un accord juridiquement opposable qui garantit notamment que le RT/ST continue à remplir les critères et les exigences de la certification accordée pendant toute sa durée de validité. Les obligations induites par la convention de certification sont indépendantes des obligations de conformité au RGPD du RT/ST, même si des points de convergences sont évidents, dépendant de la portée de la certification (par exemple, l'obligation de respecter l'obligation de tenue de registres de l'article 30 fait probablement partie de la plupart des certifications).

Mythe n°2: Les produits, systèmes et les personnes peuvent être certifiés

Comme expliqué dans l'étude, les termes de l'article 42.1 et 42.6 déterminent ce qui peut être certifié dans le cadre du RGPD et des mécanismes qui y sont dédiés : les activités de traitement. Dans ses lignes directrices 1/2018, l'EDPB a clarifié que les délégués à la protection des données (DPO) étaient exclus du champ d'application de l'article 42. Cela ne signifie pas qu'une certification des DPO ne puisse exister (voir, par exemple, les certifications Françaises et Espagnoles). Cela signifie par contre bien que ces certifications ne sont d'aucune contribution en ce qui concerne l'"accountability" des articles 42 et 43, et que cela ne peut être pris en considération lorsqu'une autorité de contrôle décidera de mettre à l'amende un RT/ST dans le cadre de l'article 83 du RGPD. En ce qui concerne les produits et les systèmes [de management], la situation n'est pas aussi simple qu'avec la certification du DPO. Les produits et les systèmes ne peuvent être certifiés en tant que tels comme étant conformes au RGPD, mais ils peuvent faire partie l'évaluation pour l'attribution de la certification des activités de traitement des données. Par exemple, un ST qui a candidaté à la certification pour son traitement de stockage de données a également besoin de présenter à l'organisme de certification que son système de management de la sécurité de l'information (SMSI) produit les garanties nécessaires pour un stockage sécurité des données. C'est là que la certification d'un SMSI peut être intéressant, bien que non obligatoire. Cela a également été rendu explicite dans un rapport de l'ENISA (l'agence européen de cybersécurité) sur les "recommandations relatives à la certification RGPD".

Mythe n°3: la certification RGPD signifie être conforme au RGPD

C'est un des raccourcis les plus communs. Une fois qu'un RT/ST a "certifié RGPD" un de ces traitements, il n'y a pas non plus de présomption de conformité avec les obligations légales. En d'autres termes, comme cela est le cas pour les autres cadres européens de conformité pour la sécurité des produits, quand un producteur a certifié qu'un de ses produits était conforme aux standards harmonisés, il est présumé qu'ils étaient globalement conformes.

Pour autant, dans le cadre du RGPD, la certification joue un autre rôle : celui d'aider le RT/ST dans son accountability par rapport aux mesures techniques et organisationnelles prises pour se conformer aux obligations légales du RGPD, en particulier vis-à-vis de son autorité de contrôle. L'appréciation, par un organisme certificateur (que ce soit l'autorité de contrôle elle même ou un organisme accrédité), de la conformité d'un traitement par rapport à un référentiel de certification ne constitue pas une appréciation définitive de conformité avec le RGPD. Cela démontre davantage qu'une organisation est organisée et a dédié un effort et des ressources conséquentes pour cela, ce qui constitue en soi un élément d'"accountability".

Mythe n°4: La conformité (certification) à des standards ISO est une conformité au RGPD

Enfin, prenons le temps de distinguer clairement les certifications d'un côté et les standards ISO de l'autre. Les standards techniques et de management, comme ceux développés par les organisations internationales ou Européennes incluant les très réputées standards relatifs à la sécurité de l'information que sont l'ISO/IEC 27001 ou la plus récente ISO/IEC 27701 sur les systèmes de management des informations personnelles, ne font pas nécessairement partie des mécanismes de certification RGPD. De tels standards sont essentiellement différents par nature : ils orientés systèmes de management et orientés par les risques. Néanmoins, de tels standards peuvent constituer des fondations très utiles pour les mécanismes de certification RGPD, du fait de l'étendue de leur application. De plus, par le fait qu'ils indiquent l'état de l'art en matière de sécurité de l'information dans leur domaine et qu'ils apportent une expérience de mise en conformité importante dans les organisations, ils représentent une forte valeur ajoutée dans le développement de nouveaux mécanismes de protection des données.