C’est dans trois mois que le Règlement général sur la protection des données (RGPD) sera appliqué. En effet, c’est le 25 mai que ce texte débutera vraiment sa carrière, deux ans après son approbation dans l’Union européenne. À cette date, il faudra donc que toutes les entités collectant, traitant et faisant circuler des données à caractère personnel soient d’équerre avec les dispositions de la loi.
Si vous êtes à la tête d’une entreprise ou d’une association qui manipule des données personnelles concernant des personnes européennes, vous devez faire en sorte que votre structure soit en conformité. Mais attention ! Il faut savoir qu’à l’heure actuelle, il n’existe pas de certification officielle vous permettant de garantir votre respect du RGPD.
CC Helloquence
Aucune certification RGPD
C’est la discrète piqûre de rappel que vient d’administrer la Commission nationale de l’informatique et des libertés (Cnil) vendredi 23 février dans une publication intitulée : « Transition vers le RGPD : des labels à la certification ». Car à mesure que l’échéance du 25 mai s’approche, des tentatives d’escroquerie risquent de se multiplier en profitant de la confusion autour du RGPD.
Dans une précédente actualité, nous indiquions que des sociétés disent proposer des prestations pour garantir la conformité d’une activité au RGPD, se présentant comme labellisées ou mandatées par la CNIL. La commission prévient : elles ne sont pas forcément qualifiées et pourraient même préparer une escroquerie. Face à ce problème, la CNIL a lancé une campagne #StopArnaque.
Comment se passera la certification ?
« Les certifications seront délivrées par des organismes certificateurs agréés par la Cnil ou accrédités par l’organisme national d’accréditation », explique la Cnil. « Les référentiels de certification seront élaborés après une phase de consultation publique, approuvés par la Cnil et publiés sur son site ». Bonne nouvelle : les travaux en la matière ont débuté. La mauvaise, c’est qu’il faudra du temps pour les achever.
Par exemple, il est prévu une certification de Délégués à la Protection des Données (DPO) est ainsi en cours d’élaboration : « des organismes de certification agréés par la CNIL délivreront des certifications de DPO, sur la base d’un référentiel rédigé par la Cnil », explique l’autorité. Le DPO doit être le référent, dans chaque entité, sur tout ce qui a trait aux questions de protection des données personnelles.
« Les certifications seront délivrées par des organismes certificateurs agréés par la Cnil ou accrédités par l’organisme national d’accréditation »
Et parce que la Cnil ne peut pas tout faire seule sur la certification, c’est aussi elle qui doit fixer un cadre global, c’est-à-dire « élaborer ou approuver les référentiels de certification qui seront utilisés par les certificateurs, ainsi que, le cas échéant, les référentiels d’agrément ». L’autorité est aussi impliquée dans des travaux sur une « certification de formation RGPD » avec l’organisme national d’accréditation.
Il convient de noter que la Commission nationale de l’informatique et des libertés a publié fin novembre un outil qui propose aux entreprises de les aider à se préparer au RGPD. Le logiciel sert lorsque des traitements informatiques peuvent faire courir un risque élevé aux personnes. En effet, dans certaines circonstances, il est obligatoire de mener une analyse d’impact.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
