Certifications: un angle du Règlement UE 2016/679 (dorénavant seulement RGDP) resté un peu dans l’ombre, défini (pour autant qu’il s’agisse d’une nouveauté significative de la nouvelle discipline sur la protection des données) sur lequel l’Autorité a senti le besoin, à travers les FAQ rédigées en collaboration avec Accredia et publiées il y a quelques jours (auxquelles se référeront les virgules, sauf indication contraire), de communiquer certains concepts de base aux citoyens et aux travailleurs.

Tout d’abord (nous appuyons ici) l’accréditation et la certification est indissociable: si un organisme de certification n’était pas accrédité, il ne pourrait pas certifier quoi que ce soit, et l’accréditation (en tant que « forme indépendante et faisant autorité d’attestation de l’impartialité, de la compétence et de l’adéquation des organismes d’évaluation de la conformité », FAQ. no. 2) n’aurait aucun sens, car sa fonction est, Il convient de garantir au marché que les organismes de certification répondent aux exigences requises.

Il s’agit de la création d’un véritable système de confiance, d’une certification « accréditée » dans la mesure où – il est expliqué dans la FAQ n. 1 – on fait la démonstration, de la part de l’organisme unique national d’accréditation, « de l’impartialité, de la compétence et de l’adéquation » d’un organisme de certification.

Dans l’ordre juridique italien avec l’article 2-septiesdecies du D. Lgs. 196/2003 (tel que modifié par D. Lgs. 101/2018) il a été établi que « l’organisme national d’accréditation visé à l’article 43, paragraphe 1, point b), du règlement est l’organisme national unique d’accréditation, établi en vertu du règlement (CE) no 765/2008 du Parlement européen et du Conseil du 9 juillet 2008. ; sans préjudice du pouvoir de l’Autorité d’assumer directement, par une décision publiée au Journal officiel de la République italienne et en cas de manquement grave à ses tâches par l’Organisme unique national d’accréditation, l’exercice de ces fonctions, y compris pour une ou plusieurs catégories de traitements ».

Un choix de continuité par rapport au passé a été opéré, même si – en vertu de l’article 43, paragraphe 1, du RGPD – il était possible que les organismes de certification soient accrédités « par l’un ou l’autre des organismes suivants » : l’autorité de contrôle et/ou l’organisme national d’accréditation. L’Italie a choisi Accredia comme organisme unique d’accréditation (FAQ. n. 5, sauf le recours à une situation de type exceptionnel, comme vu).

Donc, l’autorité de contrôle italienne n’accrédite pas les organismes de certification (comme l’Autorité spécifique dans l’introduction au document) mais, à bien voir (et même cela est spécifié par l’Autorité, FAQ n. 8), même pas les compétence (bien que l’article 42, paragraphe 5, du RGPD le permette) le pouvoir de certification ou de remplir la fonction d’organisme de certification.

Si, d’une manière générale, la certification est une attestation délivrée par un tiers (organisme de certification) concernant un objet (produit, procédé, service, personne ou système) soumis à une évaluation de conformité au regard des exigences d’une norme technique (standard) ou dans un cahier des charges spécifique, eh bien l’objet de la certification de l’article 42 RGPD est un traitement ou plusieurs traitements de données personnelles (FAQ n. 6).

Comme l’explique l’Autorité, étant donné que la définition du « traitement » des données à caractère personnel est très large, « L’objet de la certification peut également varier considérablement et ne peut comprendre qu’une seule opération de traitement (par ex. la conservation de données à caractère personnel) ou plusieurs opérations de traitement (par ex. collecte, conservation, mise à disposition) effectuées par le titulaire ou le sous-traitant », et dans la mesure où un ou plusieurs traitements constituent un « service » ou un « produit », « La certification peut concerner ce service ou ce produit (par ex. le service de gestion du personnel d’une entreprise) ».

Ce qui est certain, c’est que la certification dans le cadre du RGPD ne concerne pas/couvre un système de gestion : le choix est incontestable, juste la disposition de l’article 43, paragraphe 1, lett. b), qui rappelle la norme ISO 17065:2012.

Il ne faut donc pas confondre avec les normes avec lesquelles sont certifiés les systèmes de gestion (comme l’ISO 27001, qui se base sur la norme ISO 17021-1), tout comme ceux pour la certification du personnel (comme l’UNI 11697/2017, rappelé dans la FAQ n. 12, qui se base sur la norme ISO 17024), de même ne rentre pas parmi les certifications régies par l’article 42 GDPR. L’Autorité précise que la certification selon la norme UNI 11697/2017 « peut néanmoins constituer, comme d’autres titres, un outil précieux pour la démonstration de la possession et du maintien des connaissances, des aptitudes et des compétences par les professionnels ».

L’organisme/organisme qui choisit de se certifier doit définir l’objet spécifique de la certification qu’il voudra demander : l’Autorité rappelle que l’indication correspondante sera indiquée dans le certificat délivré par l’organisme de certification (FAQ n. 6), il devra y être clairement indiqué et il est (ajoute ici) dans l’intérêt principal du demandeur que l’indication soit cohérente avec la décision stratégique (il convient de le dire) prise.

Quant aux avantages d’une certification (FAQ n. 4), elle « représente un outil utile pour les responsables du traitement et les sous-traitants pour démontrer le respect des obligations, des garanties suffisantes et la conformité aux exigences de protection des données ». S’agissant des obligations et exigences fixées par la loi, la certification procure à l’organisation une infrastructure immatérielle, dessinée par le schéma, qui rend effectivement contraignant et opérationnel cet ensemble puissant d’accomplissements/mesures de sécurité dont l’obligation légale, souvent dans la pratique, ne s’est pas révélée assez convaincante.

L’approche fondamentale est une analyse et une évaluation constantes des risques, l’architrave est la responsabilité (accountability) du titulaire (ou du responsable), le but est de protéger les droits et les libertés des personnes physiques, la philosophie est celle de l’amélioration continue. Ainsi, la certification RGPD peut présenter un intérêt particulier pour les organisations qui souhaitent concrétiser et démontrer leur conformité pour consolider/développer leurs activités et/ou accroître la transparence et la réputation/confiance, comme par exemple : des entreprises actives dans les domaines du marketing, des TIC, des services socio-sanitaires, des prestataires de services établis dans des pays tiers, de nombreux organismes et organismes publics.

Réitéré avec la FAQ. n. 5 que la certification au titre du RGPD doit être délivrée sur la base de schémas de certification approuvés par l’autorité de contrôle compétente, il existe à ce jour deux schémas spécifiques (c’est-à-dire alignés/basés sur le RGPD), le schéma ISDP 10003 et Europrise (le premier italien, le deuxième allemand), qui attendent encore d’être approuvés par leurs autorités de contrôle respectives.

Qu’est-ce que ça veut dire ? Que dans l’intervalle les certifications délivrées déploieront une pleine validité dans le système de la réglementation technique et volontaire, pas dans celui de la réglementation de loi.

Toutefois, cela ne signifie pas que dans ce second système ils n’auront aucune valeur ou signification, il ne serait ni raisonnable ni équitable, étant/résultant (à plus forte raison, je veux dire) des évidences de la sollicitude, de la accountability des organisations certifiées, et une entreprise certifiée, sous réserve de tous les avantages inhérents à la certification, pourra néanmoins invoquer (afin de voir atténuée une éventuelle sanction administrative) la disposition de l’article 83, paragraphe 2, point k) (ou lett. d), si la certification est considérée comme une macro mesure de sécurité au sens de l’article 32), mais pas au sens de l’article 83, paragraphe 2, point j).

Un système de certification « mis au point pour être utilisé dans tous les États membres de l’Union européenne » est celui que l’on appelle « sceau européen » (FAQ n. 7) : à cet effet « le champ d’application des critères du schéma de certification et, plus généralement, son aptitude à faire office de certification européenne commune » est pris en considération.

La précision supplémentaire selon laquelle « le schéma et les critères doivent être adaptables pour tenir compte, le cas échéant, des différentes réglementations sectorielles nationales applicables aux traitements de données faisant l’objet de la certification » peut sembler redondante : les normes techniques sont conçues et rédigées pour répondre à des critères d’abstraction et de généralité (souvent déficients, plutôt, dans les législations publiques/étatiques), de manière à se rendre structurellement adaptables aux contextes les plus disparates, car c’est (depuis toujours) leur mission.

Avec la FAQ n. 11, l’Autorité explique comment une certification est sujette à des échecs, même avant son expiration (article 42, paragraphe 7 du RGPD). Ainsi, lorsque des manquements aux exigences de certification sont constatés, comme résultat de la surveillance (annuelle) ou pour toute autre raison, l’organisme de certification devra examiner la non-conformité et décider des mesures appropriées, qui peuvent consister à maintenir la certification sous certaines conditions, à suspendre la certification dans l’attente de mesures correctives, à réduire la portée de la certification ou à la retirer.

Celle-ci est ordonnée par l’organisme qui l’a délivrée « lorsque les conditions de certification ne sont pas ou ne sont plus remplies », pouvoir qui n’empêche pas l’autorité de contrôle, conformément à l’article 58, paragraphe 2, point h), du RGPD.

SOURCE: FEDERPRIVACY