La certification données personnelles permet à une structure d’obtenir officiellement la preuve écrite qu’elle agit en conformité avec le référentiel prévu par le RGPD. La CNIL, en tant que tiers certificateur, peut délivrer cette certification.

Qu’est-ce que la certification données personnelles ? 

La certification données personnelles est un document officiel permettant d’attester de la bonne conduite d’une entité à l’égard des mesures prévues dans le règlement général sur la protection des données (RGPD). 

Qu’est-ce qu’une certification ? 

Une certification est un document attestant d’une capacité particulière ou de la mise en place de certaines normes, en adéquation avec un référentiel officiel. Pour la recevoir, un examinateur, qu’on appelle un tiers certificateur, vérifie la conformité des actions ou des mesures de l’entité avec les normes développées sur le référentiel.

Cet expert est une personne physique qui incarne une personne morale, généralement un organisme certifiant. Pour exercer ce rôle, il doit officiellement être déclaré apte par son organisme référent. Ce dernier fait lui-même l’objet de contrôles de la part de l’institution :

  • à l’origine du référentiel,
  • ou simplement chargée de l’inspecter.

Une certification se présente sous une forme écrite. Elle doit aussi comporter la signature des deux parties :

  • l’entité à la demande du certificat,
  • et le tiers certificateur qui valide ou non ce certificat. 

Certification données personnelles : définition et contenu 

La certification données personnelles prouve qu’une entité (personne physique ou morale) est en conformité avec le référentiel RGPD. En d’autres termes, c’est un document qui montre qu’un tiers certificateur a vérifié que les mesures et que les pratiques mises en place au sein de la structure concordent avec les lois énoncées dans le règlement général sur la protection des données (RGPD).

Les lois concernant cette certification se trouvent aux articles 42 et 43 du RGPD.

Comment obtenir cette certification ? 

L’obtention de la certification données personnelles dépend du tiers certificateur. Il vérifie en effet que les activités de l’entité concordent avec le référentiel de certification. L’élaboration du cadre de ce dernier relève des fonctions de la CNIL, la Commission nationale de l’informatique et des libertés

À qui faire la demande ? 

La certification peut se faire par un tiers certificateur. Il s’agit d’un organisme agréé par la CNIL. Toutefois, la CNIL peut aussi délivrer elle-même une certification quand le demandeur est une personne morale ou une personne physique.

Il existe également le comité français de l’accréditation, aussi appelé COFRAC. Cet organisme peut :

  • soit se charger de délivrer la certification,
  • soit nommer un tiers certificateur.

En résumé, la CNIL et le COFRAC utilisent le référentiel d’agrément ou d’accréditation pour autoriser les tiers certificateurs à délivrer la certification. La certification, quant à elle, se base sur le référentiel de certification qui présente les critères de la certification.

Conditions de la certification 

Pour obtenir la certification données personnelles, il convient de répondre à plusieurs conditions développées dans le référentiel de certification. Dans les exigences inscrites, on retrouve par exemple l’énumération d’épreuves écrites auxquelles devra se soumettre le candidat. Elles prennent la forme d’un QCM (questionnaire à choix multiple).