Le Luxembourg est le premier pays à légiférer sur les ressources spatiales, mais c’est aussi le premier pays à instaurer un mécanisme de certification dans la galaxie juridique du RGPD. La CNDP l’a adopté le 13 mai 2022.
La bataille du 21ème siècle passe avant tout par l’appropriation des données, raison pour laquelle l’Europe met en place un cadre juridique pertinent pour la protection de ses données.
Dans les faits majeurs de l’actualité, on se rappellera Max Schrems, un militant actif dans le domaine de la protection des données, qui obtint déjà en 2015 l’invalidation par la Cour de justice de l’Union européenne, de l’accord baptisé Safe Harbor. Cet accord encadrait le transfert des données des internautes européens vers les Etats-Unis et leur utilisation par les entreprises américaines.
Entre-temps, avec les péripéties qui ont conduit à l’adoption du RGPD, les acteurs du monde économique auront la possibilité de passer par des organismes de certification tiers pour se conformer au RGPD, plus précisément à l’article 42. Convaincu de l’intérêt pour le Luxembourg, le CNPD a joué un rôle moteur dans les travaux européens portant sur cette matière.
Cette certification est suffisamment large dans ses critères pour englober, du responsable du traitement jusqu’au sous-traitant, une panoplie de secteurs et est valable pendant trois ans.
Comment cela fonctionne ?
Le CNPD a fait le pari d’une approche basée sur l’ISAE, l’International Standard on Assurance Engagements, et a schématisé le GDPR-CARPA.
Deux axes sont ainsi développés : les critères de certification et les critères d’agrément (normes ISAE 3000 – audit -, ISCQ1 – contrôle des organismes d’audit – et le standard ISO 17065 – accréditation d’organismes de certification).
Un rapport ISAE 3000 Type 2 permet d’émettre une opinion sur la mise en œuvre du dispositif du contrôle, garantissant ainsi un niveau important d’exigence et de confiance. La CNPD publiera une liste des organismes autorisés à délivrer la certification GDPR-CARPA.
Cependant, il est bon de rappeler que ce nouvel outil luxembourgeois a deux limites non négligeables :
- Le champ d’application ne certifie pas la sécurité du traitement en tant que tel, mais vise à responsabiliser les responsables du traitement qui devront mettre en œuvre des procédures pour encadrer la gestion de la sécurité de l’information. Une nouvelle réflexion devrait se poursuivre pour des certifications en matière de sécurité de l’information.
- Une certification GDPR-CARPA ne peut être demandée que pour les entreprises au Luxembourg ! Les efforts luxembourgeois dans cette matière visent bien entendu à rendre plus attractif son écosystème économique.
Le GDPR-CARPA ne convient pas au traitement des données ciblant les mineurs de moins de 16 ans, le traitement dans le cadre d’un contrôle conjoint, les activités liées à l’article 10 du RGPD et les entités sans délégué à la protection des données (article 37 du RGPD).
La CNDP délivrera un agrément à l’organisation de certification dans le cadre de l’article 15 de la loi du 1er aout 2018 portant organisation de la Commission nationale pour la protection des données. Un audit sera réalisé pour vérifier si l’organisation en question respecte les critères d’agrément. L’agrément a une validité de cinq ans et un audit de surveillance annuel doit être respecté. Cette procédure ne se fait pas du jour au lendemain malheureusement. Comptez environ six mois pour le délai de procédure après l’introduction de la demande. Une redevance est à verser pour tout organisme qui souhaite être agréé par la CNPD en application de son règlement N°7/2020 du 3 avril 2020.
L’organisation de certification agréée par la CNPD viendra vérifier la conception théorique d’une mesure et contrôlera son application effective sur le terrain dans un second temps. Si l’évaluation est positive, vous obtiendrez votre certificat.
Pour aller plus loin :
https://cnpd.public.lu/fr/professionnels/Certification/gdpr-carpa
https://cnpd.public.lu/fr/professionnels/Certification/agrement
https://edpb.europa.eu/accreditationcertificationbodies
https://www.cc.lu/toute-linformation/actualites/actualites-juridiques
