Formations 

Blog Données personnelles

  1. Accueil
  2. Blogs
  3. Données personnelles
  4. La CNIL fixe les exigences pour les orga...

La CNIL fixe les exigences pour les organismes certificateurs du RGPD

Dans sa délibération du 22 septembre [1], la CNIL décrit les modalités d’agrément des organismes de certification capables de déclarer qu’une organisation respecte le RGPD (article 42). Elle fixe, surtout, les exigences à satisfaire pour être en mesure de certifier la conformité au règlement.

Ce référentiel s’adresse donc aux organismes certificateurs mentionnés à l’article 8 de la loi Informatique et Libertés [2] qui souhaitent obtenir un agrément leur permettant de certifier la conformité aux principes de protection des données personnelles selon les critères d’un mécanisme de certification approuvés au titre de l’article 42 du RGPD.

La partie 6 du référentiel fixe les exigences que l’organisme certificateur doit respecter pour obtenir, puis conserver, son agrément.

Parmi ces exigences, l’on retrouve :

  • des exigences générales (p. ex. : s’agissant du domaine juridique et contractuel ou encore de la gestion de l’impartialité) ;
  • des exigences structurelles (p. ex. : concernant l’organisation et la direction) ;
  • des exigences relatives aux ressources (p. ex. : le personnel de l’organisme de certification) ;
  • des exigences relatives aux processus (p. ex. : concernant la demande de certification, son évaluation ou la décision de certification) ;
  • des exigences du système de management (p. ex. : sur la documentation générale du système de management ou des audits) ;
  • enfin, d’autres exigences supplémentaires, comme le fait que l’organisme de certification ait l’obligation d’établir des procédures destinées mettre à jour les méthodes d’évaluation.

L’organisme de certification candidat déposera un dossier de demande d’accréditation auprès du Comité français d’accréditation (ci-après le « COFRAC »). L’organisme de certification devra être en mesure de démontrer au COFRAC sa conformité aux exigences précitées et la durée de cet agrément sera celle de l’accréditation délivrée par le COFRAC.

[1Délibération n° 2022-095 du 22 septembre 2022 portant adoption des exigences du référentiel d’agrément des organismes de certification pour les mécanismes de certification approuvés au titre de l’article 42 du règlement général sur la protection des données

[2Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

  ⇐ Précédent
Suivant ⇒