Un atelier des autorités de contrôle des États membres de l’UE pour la protection des données personnelles sur l’application du mécanisme d’accréditation des organismes de certification se tient à Madrid, en Espagne. Des représentants de la division juridique de l’Inspection nationale de la protection des données ont participé à cet atelier.
Le Comité européen de la protection des données (CEPD) a indiqué que des mécanismes de certification efficaces peuvent contribuer à assurer un meilleur respect du règlement général sur la protection des données (RGPD), une plus grande transparence pour les personnes concernées et le développement de relations interentreprises, telles que la coopération entre les responsables du traitement des données et les sous-traitants. Le considérant 100 du préambule du GDPR souligne que les mécanismes de certification pourraient aider les personnes concernées à évaluer le niveau de protection des données de produits ou services spécifiques (pour démontrer la conformité avec le GDPR lors du traitement des données personnelles). La certification est un processus volontaire et est examinée plus en détail aux articles 42 à 43 du GDPR.
Afin de garantir la fourniture adéquate de services de certification, les autorités de contrôle de la protection des données à caractère personnel élaborent (et, en accord avec le CEPD, approuvent) des critères pour l’accréditation des organismes de certification. Dans les États membres, l’accréditation des organismes de certification est effectuée soit par les bureaux nationaux d’accréditation, soit par les autorités de protection des données (seules ou en coopération avec les bureaux nationaux d’accréditation). Actuellement, un seul État membre en Europe – le Luxembourg – a accrédité des organismes de certification en vertu du GDPR, et des processus d’accréditation sont en cours dans quatre autres pays. Actuellement, 12 autorités de contrôle de la protection des données personnelles ont adopté des critères pour l’accréditation des organismes de certification. Les critères élaborés par l’Inspection nationale de la protection des données (SDPI) ont été soumis au CEPD, mais le processus d’harmonisation n’est pas encore achevé.
Afin de garantir une pratique uniforme en matière d’accréditation des organismes de certification, les autorités de protection des données en Espagne se sont réunies pour discuter des aspects les plus difficiles de l’évaluation de l’accréditation des organismes de certification ou des mécanismes de certification dans la pratique, tels que l’identification de la cible de l’évaluation, l’extension du champ d’application des certificats nationaux, l’évaluation des critères d’accréditation, etc. Il s’agit de la première réunion de ce type des autorités de contrôle de l’UE. Au total, 35 représentants de 21 autorités de contrôle de la protection des données ont participé à la réunion.
L’un des thèmes de l’atelier était la « Coopération entre les autorités de contrôle ». L’atelier a abordé différents aspects de cette coopération dans quatre groupes de travail. L’un de ces groupes était modéré par Margarita Valčiukė de la SACI.
Comme le précise Mme Valčiukė : « la certification des contrôleurs/traiteurs de données est un outil important pour accroître la confiance dans les services et les produits offerts par ces acteurs du marché. Les certificats délivrés en vertu du GDPR montrent que l’activité certifiée ou une partie de celle-ci est conforme aux attentes de l’autorité de contrôle de la protection des données et aux exigences du GDPR. Il s’agit d’un processus encourageant mais difficile, dans le cadre duquel les entités souhaitant obtenir une accréditation ou une certification sont soumises à une évaluation très approfondie (de leurs activités, de la compétence de leur personnel, de leur indépendance et d’autres aspects).