Les certificats peuvent indiquer si les produits et services informatiques répondent aux exigences du RGPD. Le RGPD fournit à cet égard les bases d’une procédure européenne uniforme d’accréditation et de certification. Mais cinq ans après l’adoption du RGPD par le Parlement européen, il n’existe toujours pas un seul organisme de certification accrédité capable de délivrer un véritable certificat RGPD. Certes, de nombreuses entreprises prétendent être « conformes au RGPD », mais une preuve juridiquement sûre ne peut être apportée que par une certification qui procède au contrôle selon les critères du RGPD. Il existe également des sceaux et des certifications qui veulent garantir que des normes minimales sont respectées.
En Allemagne, les organismes de certification sont désormais accrédités par le Deutsche Akkreditierungsstelle GmbH (DAkkS) en collaboration avec les autorités indépendantes de surveillance de la protection des données, conformément à l’article 39 de la loi fédérale sur la protection des données. En 2022, les premiers organismes devraient avoir suivi l’ensemble du processus.
Sommaire
Longue phase d’examen pour le programme de certification
Sebastian Meissner, directeur général de l’organisme de certification de protection des données Europrise, basé à Bonn, explique à heise online que la certification selon le RGPD était déjà une priorité absolue au niveau européen en 2016, par exemple auprès du Comité européen de protection des données (EDSA). Mais c’est surtout la phase d’examen du programme de certification qui a « contre toute attente duré si longtemps », explique Meissner.
La raison de ce retard réside dans le fait qu’il a fallu définir pour la première fois les exigences auxquelles un organisme de certification devait répondre. Les normes de l’Organisation internationale de normalisation (ISO) n’étaient en effet pas suffisantes. Le processus de concertation entre la DAkkS et les autorités de surveillance de la protection des données de l’État fédéral et des Länder a duré jusqu’en 2019. Lorsqu’ils ont défini ensemble les exigences, le processus d’accréditation n’a fait que commencer :
Entre autres, la DAkkS vérifie le respect des normes ISO 17065, la norme pour les organismes de certification, et ISO 1767, la norme pour la certification de produits. L’autorité compétente en matière de protection des données vérifie en outre les aspects spécifiques à la protection des données.
Actuellement, c’est l’autorité de surveillance de la protection des données du Land de Rhénanie-du-Nord-Westphalie qui joue le rôle de chef de file en Allemagne. En effet, une poignée d’entreprises ayant leur siège en Rhénanie-du-Nord-Westphalie ont déposé auprès d’elle leurs programmes de certification pour le processus d’accréditation. Un porte-parole de l’autorité a déclaré à heise online : « Nous espérons qu’au premier semestre 2022, les premiers organismes de certification sur le marché seront accrédités et pourront effectuer des certifications chez leurs clients ».
Premier obstacle franchi
Europrise a soumis à l’autorité de surveillance de la protection des données de Rhénanie-du-Nord-Westphalie un projet de catalogue de critères qui se concentre sur le traitement des données de commande. « En septembre, nous avons été les premiers en Allemagne à recevoir un retour positif de l’autorité de contrôle compétente sur notre catalogue de critères », se réjouit Meissner.
Pour Europrise, l’autorité de surveillance a en principe déjà donné son feu vert. « Chez nous, les droits des personnes concernées et, de manière générale, la perspective des personnes concernées ont toujours occupé une place importante », explique Meissner. Il en sera de même à l’avenir. Parallèlement, la protection des données gagnera en importance grâce à la conception et aux préréglages des technologies.
Le feu vert de l’autorité de surveillance de la protection des données de Rhénanie-du-Nord-Westphalie ne concerne qu’une partie de la procédure d’accréditation. En effet, il faut encore obtenir l’avis nécessaire du Comité européen de la protection des données (EDSA) dans le cadre de la procédure dite de cohérence. Un groupe de travail de l’EDSA s’occupe actuellement de cette question. Meissner attend un avis de la plénière de l’EDSA en mars 2022.
L’accréditation proprement dite de l’organisme de certification par la DAkkS et l’autorité de surveillance de la protection des données aura lieu par la suite. Ce n’est qu’à ce moment-là que le catalogue pourra être validé pour une certification RGPD en Allemagne. Pour une validation à l’échelle européenne, une décision séparée est à nouveau nécessaire.
Parallèlement, la procédure d’accréditation proprement dite peut être lancée auprès de la DAkkS, qui s’adresse en principe à tout sous-traitant et à tout responsable de traitement. La caractéristique essentielle de toute procédure de certification approuvée est la preuve du respect du RGPD.
Europrise prévoit une certification RGPD pour le traitement des données de commande
Au centre des exigences juridiques chez Europrise se trouve la relation entre le sous-traitant et le responsable du traitement ainsi que d’autres sous-traitants. Dans ce domaine, un examen des contrats est d’abord effectué. Mais pour la certification, les certificateurs regardent également comment les obligations contractuelles ont été mises en œuvre et exigent à cet effet une preuve des mesures techniques et organisationnelles qui ont été prises. Le thème du transfert de données à caractère personnel vers des pays tiers ainsi que les obligations de confidentialité particulières, par exemple pour les médecins, peuvent également jouer un rôle.
La base de la certification RGPD chez Europrise sera en premier lieu le RGPD, complété par la législation nationale pertinente en matière de protection des données. La jurisprudence de la Cour de justice des Communautés européennes, les directives de l’EDSA et les publications de la Conférence sur la protection des données jouent un rôle central dans l’interprétation des dispositions pertinentes.
Europrise s’appuie également sur le modèle standard de protection des données (SDM) des autorités de surveillance, ainsi que sur les certifications et les procédures du domaine de la sécurité informatique, telles que la norme ISO/IEC 27001 et le BSI-Grundschutz de l’Office fédéral allemand de la sécurité des technologies de l’information (BSI). En ce qui concerne l’état de l’art, Europrise se réfère au guide de l’ENISA et de TeleTrusT.
TÜViT veut proposer une certification pour tous les services informatiques
La société TÜV Informationstechnik GmbH (TÜViT) d’Essen est également déjà dans les starting-blocks. Elle fait valoir auprès de ses clients qu' »un certificat peut être un avantage concurrentiel, surtout en ce qui concerne l’acquisition de nouveaux clients ». Elle ambitionne de pouvoir proposer une certification RGPD pour le traitement des données par les services de traitement de l’information. Cela signifie qu’elle ne prévoit pas de se spécialiser dans des domaines d’application avec des questions juridiques détaillées ou des systèmes spécifiques.
Les critères se sont basés sur les directives de la conférence sur la protection des données de l’État fédéral et des Länder concernant le RGPD et les normes ISO correspondantes. La question de savoir si et comment les données peuvent être transférées vers des pays tiers est également abordée. Dans un premier temps, TÜViT souhaite se concentrer sur le marché allemand. En 2020, le programme de certification et le catalogue de critères ont été soumis à la DAkkS, qui a donné son feu vert à cet effet en été 2021. Début décembre, l’autorité de surveillance de la protection des données du Land de Rhénanie-du-Nord-Westphalie donnera un premier feedback sur l’étendue éventuelle du programme de certification prévu et ses critères de contrôle.