Dans sa délibération du 22 septembre [1], la CNIL décrit les modalités d’agrément des organismes de certification capables de déclarer qu’une organisation respecte le RGPD (article 42). Elle fixe, surtout, les exigences à satisfaire pour être en mesure de certifier la conformité au règlement.
Ce référentiel s’adresse donc aux organismes certificateurs mentionnés à l’article 8 de la loi Informatique et Libertés [2] qui souhaitent obtenir un agrément leur permettant de certifier la conformité aux principes de protection des données personnelles selon les critères d’un mécanisme de certification approuvés au titre de l’article 42 du RGPD.
La partie 6 du référentiel fixe les exigences que l’organisme certificateur doit respecter pour obtenir, puis conserver, son agrément.
Parmi ces exigences, l’on retrouve :
L’organisme de certification candidat déposera un dossier de demande d’accréditation auprès du Comité français d’accréditation (ci-après le « COFRAC »). L’organisme de certification devra être en mesure de démontrer au COFRAC sa conformité aux exigences précitées et la durée de cet agrément sera celle de l’accréditation délivrée par le COFRAC.
[1] Délibération n° 2022-095 du 22 septembre 2022 portant adoption des exigences du référentiel d’agrément des organismes de certification pour les mécanismes de certification approuvés au titre de l’article 42 du règlement général sur la protection des données
[2] Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés