Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448 - 251

des hébergeurs de données de
santé, certification des organismes
de formation, certification des
produits et services, etc.).
L'accréditation est une procédure
précisément encadrée au niveau
européen par un règlement dédié4.

Quels sont les apports
des dispositifs de
certification ?
Alice Pezard, Conseiller honoraire
à la Cour de cassation, avocat et
arbitre, a ainsi souligné que les
dispositifs de certification constituent un élément fondamental de
la confiance et de la transparence,
tant dans certains produits que
dans des processus globaux tels
que des systèmes et des services.
Inspirée des pays anglo-saxons,
la certification s'inscrit également
dans un processus de mise en
conformité (mais ne garantit pas
la conformité), en accord avec
le principe d'accountability qui
irrigue le RGPD. A cet égard,
il serait d'ailleurs intéressant,
souligne Alice Pézard, de voir
comment un tribunal appréhenderait un organisme certifié mais
non conforme sur un aspect
précis. S'agissant des données
à caractère personnel, la quête
de confiance des organismes et
des personnes pourrait placer la
certification au cœur des outils de
la conformité.
Dans ce contexte, le législateur
français, mais aussi européen,
s'est tourné vers des dispositifs
de certification comme outil
de conformité. En France, la
Cnil a ainsi acquis une nouvelle
compétence en matière de
certification de personnes et peut
désormais adopter des référentiels de certification et agréer les
organismes chargés de délivrer
cette certification. Néanmoins,
en raison du caractère transfrontalier des échanges, il est utile de
s'interroger sur la mise en œuvre
de référentiels de certification au
plan européen, qu'Alice Pezard

considère comme étant envisageables voire souhaitables.
Cette question de la certification, lorsqu'elle concerne les
données à caractère personnel,
conduit à s'intéresser tout d'abord
aux dispositions du RGPD, qui
encouragent au développement
de la certification comme outil
de conformité, même si cette
certification ne connaît pas encore
de réalité pratique. Elle conduit
également à s'intéresser à la certification des hébergeurs de données
de santé, prévue par des dispositions législatives, et dont la mise en
œuvre pratique permet de tirer des
leçons sur la question de la certification et des données.

La certification,
nouvel outil de
conformité prévu par
le RGPD
Le RGPD prévoit que «  les États
membres, les autorités de contrôle,
le comité et la Commission
encouragent, en particulier au
niveau de l'Union, la mise en place
de mécanismes de certification
en matière de protection des
données  »5. Il s'agit notamment,
pour les responsables de traitement
et les sous-traitants, de démontrer
que leurs opérations de traitement
sont effectuées dans le respect
du RGPD6. Lorsque ces acteurs
ne sont pas soumis au RGPD, une
certification pourrait permettre
de démontrer qu'ils fournissent
des garanties appropriées dans le
cadre des transferts de données
à caractère personnel vers des
destinataires situés en dehors de
l'Union européenne. Par ailleurs,
pour les personnes concernées
par un traitement, ce dispositif aurait vocation à favoriser la
transparence, et «  permettre aux
personnes concernées d'évaluer
rapidement le niveau de protection
des données offert par les produits
et services en question »7.
Le
législateur
européen
n'a
cependant pas encore souhaité
donner à la certification un caractère
EXPERTISES Juillet-Août 2019

trop important. En effet, le texte
prévoit que la certification soit une
démarche volontaire. De plus, le
fait de disposer d'une certification
ne diminue pas la responsabilité
du responsable du traitement ou du
sous-traitant en ce qui concerne le
respect du RGPD8. Il est également
précisé que cela est sans préjudice
des missions et des pouvoirs des
autorités de contrôle.
Pour sa part, le Comité européen
de la protection des données
(CEPD) a récemment adopté des
lignes directrices concernant la
certification et l'identification
de critères de certification, ainsi
que concernant l'accréditation
des organismes de certification9.
La
Commission
européenne
a également publié une étude
conséquente sur les mécanismes
de certification, comparant les
dispositions du RGPD aux dispositifs existants au niveau mondial10.
Dans l'attente de la prise en
charge du sujet par les autorités de
protection des données, certains
organismes certificateurs ont
anticipé les recommandations
des autorités et proposent des
programmes
de
certification
relatifs à la protection des données
personnelles,
en
s'appuyant
sur des référentiels qu'ils ont
élaborés sur la base du RGPD.
Ces référentiels ne sont pas et ne
doivent pas être confondus avec
la certification prévue par l'article
42 du RGPD tant que les autorités
n'ont pas accrédité d'organisme
conformément aux dispositions
de cet article. Ils constituent à tout
le moins des initiatives notables
en vue de la mise en place d'un
écosystème de confiance et
de réflexion sur les outils de
conformité.
Sandra Di Giovanni, responsable
innovation AFNOR Certification,
a notamment illustré ces dispositifs en présentant la certification « AFAQ Protection des données
personnelles » développée par cet
organisme. Il s'agit d'une certification portant sur les systèmes

251
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448
