Qu’est-ce que la certification à des fins de confidentialité? Quelles garanties fournissent l’accréditation? Qui peut délivrer des certificats de traitement des données et qui peut le demander? Un seul produit, comme un logiciel de gestion des données personnelles de l’employé, peut être certifié conformément au RGPD?

Le DPA italien et Accredia, le seul organisme national d’accréditation des organismes de certification (OdC), fournissent des éclaircissements à ces FAQ.
Ces premières FAQ, dédiées aux aspects généraux et qui seront suivies d’autres plus spécifiques, ont été traitées dans le cadre d’une convention visant à l’échange d’informations sur les activités de certification et d’accréditation prévues par le règlement général européen sur la protection des données.

Le document fournit des clarifications utiles à tous les processeurs et contrôleurs de données, ainsi que dans le secteur des entreprises et que l’une des administrations publiques, qui souhaitent utiliser une certification afin de démontrer leur compromission dans le respect de l’obligation de protection des données personnelles et le respect du traitement requis par le RGPD.

Le RGPD institue des mécanismes de certification et des labels et marques de protection des données à caractère personnel et demande aux États membres de garantir que les organismes de certification qui délivrent la certification conformément à l’article 42, sont accrédités par l’autorité de contrôle compétente ou par l’organisme national d’accréditation, ou par les deux. Si l’accréditation est effectuée par l’organisme national d’accréditation conformément à la loi ISO/IEC 17065/2012, elles sont également appliquées aux exigences supplémentaires établies par l’autorité de contrôle concernée.

Par la certification, les responsables du traitement et les sous-traitants bénéficient de la certification d’un tiers indépendant afin de démontrer la conformité de leur exploitation au traitement.

FAQ SUR L’ACCRÉDITATION ET LA CERTIFICATION CONFORMÉMENT AU RGPD – PARTIE GÉNÉRALE