{"id":15546,"date":"2024-09-26T10:37:30","date_gmt":"2024-09-26T08:37:30","guid":{"rendered":"https:\/\/www.dp-institute.eu\/?p=15546"},"modified":"2024-09-26T11:25:10","modified_gmt":"2024-09-26T09:25:10","slug":"certification-gdpr-apres-le-marathon-place-au-sprint","status":"publish","type":"post","link":"https:\/\/www.dp-institute.eu\/fr\/certification-gdpr-apres-le-marathon-place-au-sprint\/","title":{"rendered":"Certification RGPD : Apr\u00e8s le marathon, place au sprint ?"},"content":{"rendered":"

Cet article invit\u00e9 a \u00e9t\u00e9 r\u00e9dig\u00e9 par notre formateur Kenny Willems<\/a><\/strong><\/em><\/p>\n

En 2020, avec \u00ab\u00a0certification marathon<\/a>\u00ab\u00a0, j\u2019ai publi\u00e9 une premi\u00e8re analyse sur le d\u00e9ploiement (lent) de la certification RGPD. Depuis, beaucoup de choses ont chang\u00e9 et il est grand temps de faire un nouveau point sur la situation.<\/p>\n

O\u00f9 en sommes-nous aujourd\u2019hui ? \ud83e\udd73<\/strong><\/h3>\n

En 2020, j\u2019esp\u00e9rais que l\u2019ann\u00e9e suivante, nous f\u00eaterions la premi\u00e8re certification. J\u2019aurais aussi pari\u00e9 que SeriSe serait le premier organisme accr\u00e9dit\u00e9 \u00e0 franchir la ligne avec un sceau europ\u00e9en. Il s\u2019av\u00e8re que je ne suis pas un bon devin… Il aura fallu trois ans de plus (c\u2019est-\u00e0-dire presque six ans apr\u00e8s l\u2019entr\u00e9e en vigueur du RGPD) pour que le sch\u00e9ma Europrivacy, quasi homonyme, voit le jour.<\/p>\n

Aujourd\u2019hui, le registre de certification de l\u2019EDPB compte cinq sch\u00e9mas.<\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

\"\"<\/a><\/p>\n

Apr\u00e8s quelques recherches, voici un aper\u00e7u : (en NL)<\/p>\n

\"\"<\/a><\/p>\n

 <\/p>\n

Qu\u2019est-ce qui ressort ? \ud83d\udd0e<\/strong><\/h3>\n

Le marathon est bien r\u00e9el. Le passage au march\u00e9 entre la demande et la premi\u00e8re certification reste difficile. Les autorit\u00e9s, qui ont la t\u00e2che l\u00e9gale de promouvoir la certification, devraient raccourcir leurs proc\u00e9dures pour stimuler davantage le march\u00e9.<\/p>\n

P\u00e9rim\u00e8tre<\/strong> : Europrivacy est pour l\u2019instant le seul sceau europ\u00e9en qui s\u2019applique aussi bien aux responsables du traitement qu\u2019aux sous-traitants. EuroPriSe a d\u00e9cid\u00e9 il y a quelques ann\u00e9es de scinder strat\u00e9giquement son sch\u00e9ma et ne dispose actuellement que du sceau pour le sch\u00e9ma des sous-traitants. BC5701 et AUDITOR ont tous deux exprim\u00e9 leur ambition de faire passer leur sch\u00e9ma national \u00e0 un sceau europ\u00e9en.<\/p>\n

Focus<\/strong> : La plupart des sch\u00e9mas sont g\u00e9n\u00e9raux et couvrent un large \u00e9ventail de processus, produits ou services. Mais il est possible de d\u00e9velopper des sch\u00e9mas sp\u00e9cifiques, comme la certification de protection des donn\u00e9es pour les services de Cloud europ\u00e9ens (AUDITOR), qui cible sp\u00e9cifiquement les fournisseurs de services Cloud. Europrivacy opte pour un mod\u00e8le hybride o\u00f9 l\u2019on peut ajouter des extensions aux crit\u00e8res de base, comme l\u2019ePrivacy, l\u2019IA et d\u2019autres march\u00e9s.<\/p>\n

Outil de transfert<\/strong> : En th\u00e9orie, un sch\u00e9ma de certification pourrait constituer une garantie ad\u00e9quate pour les transferts internationaux (cf. article 46.2.f du GDPR). L\u2019EDPB a d\u00e9j\u00e0 publi\u00e9 en 2022 des lignes directrices (07-2022) pour promouvoir cette id\u00e9e. Il est toutefois remarquable qu\u2019aucun sch\u00e9ma (et par extension, aucun code de conduite) ne propose encore de solution ad\u00e9quate. \u00c9tant donn\u00e9 que la voie de la certification est d\u00e9j\u00e0 complexe, et qu\u2019il faudrait probablement encore plus d\u2019\u00e9valuations pour qu\u2019elle serve \u00e9galement de m\u00e9canisme de transfert, il semble que ce soit une d\u00e9cision strat\u00e9gique.<\/p>\n

Nombre d\u2019organismes accr\u00e9dit\u00e9s et certificats d\u00e9livr\u00e9s<\/strong> : On constate diff\u00e9rents mod\u00e8les \u00e9conomiques. Tandis qu\u2019EuroPriSe agit \u00e0 la fois en tant que propri\u00e9taire de sch\u00e9ma et organisme de certification, Europrivacy s\u00e9pare le propri\u00e9taire du sch\u00e9ma (ECCP) de ses partenaires qui l\u2019appliquent.<\/p>\n

La cybers\u00e9curit\u00e9 comme catalyseur ? \ud83d\udd2e<\/strong><\/h3>\n

Bien que le march\u00e9 commence tout juste \u00e0 se d\u00e9velopper et qu’il reste \u00e0 voir quelle valeur sera r\u00e9ellement accord\u00e9e \u00e0 un tel certificat, la certification demeure un outil puissant. Il est important que les premiers certificats aient enfin \u00e9t\u00e9 d\u00e9livr\u00e9s et que ce sujet prenne de plus en plus d\u2019importance.<\/p>\n

En janvier 2024, le premier sch\u00e9ma sous la Cybersecurity Act a \u00e9t\u00e9 publi\u00e9. Cette certification s\u2019int\u00e8gre parfaitement dans la d\u00e9monstration de conformit\u00e9 en mati\u00e8re de cybers\u00e9curit\u00e9 pour la Cyber Resilience Act, la NIS-2 et m\u00eame l\u2019AI Act. En juillet 2024, l\u2019EDPB a envoy\u00e9 une mise \u00e0 jour \u00e0 l\u2019ENISA pour la cr\u00e9ation d\u2019un groupe de travail ad hoc conjoint visant \u00e0 \u00e9tudier comment la protection des donn\u00e9es pourrait \u00eatre int\u00e9gr\u00e9e dans les sch\u00e9mas EUCS. \u00c9tant donn\u00e9 que la certification est plut\u00f4t obligatoire dans ce cadre, il est probable que les organisations envisagent \u00e9galement de se doter d\u2019une certification GDPR.<\/p>\n

Pr\u00eat pour le business case ? \ud83e\udd14<\/strong><\/h3>\n

Cherches-tu aujourd\u2019hui des moyens de d\u00e9montrer ta conformit\u00e9 et de gagner en confiance ? Alors la certification RGPD est devenue une option valable. Mais est-ce la bonne solution ? Pour le savoir, il est recommand\u00e9 de bien pr\u00e9parer un business case. Voici quelques crit\u00e8res \u00e0 prendre en compte.<\/p>\n

Principaux avantages :<\/strong><\/p>\n

    \n
  • D\u00e9monstration de conformit\u00e9 et renforcement de la confiance \u2197\ufe0f<\/li>\n
  • Avantage concurrentiel (USP) \u2197\ufe0f<\/li>\n
  • R\u00e9duction des risques de non-conformit\u00e9 \u2198\ufe0f<\/li>\n
  • Catalyseur pour am\u00e9liorer la maturit\u00e9 globale en mati\u00e8re de RGPD \u2197\ufe0f<\/li>\n
  • Facilite la t\u00e2che du DPO<\/li>\n<\/ul>\n

    Principaux inconv\u00e9nients :<\/strong><\/p>\n

      \n
    • Le respect d\u2019un cadre de politiques, proc\u00e9dures et documents sp\u00e9cifiques peut compliquer les futures modifications<\/li>\n
    • Maintenance \u00e9lev\u00e9e : chez Europrivacy, la certification est valable trois ans, mais n\u00e9cessite un audit de surveillance chaque ann\u00e9e interm\u00e9diaire. Merci @Kris Somers pour cette pr\u00e9cision.<\/li>\n
    • M\u00eame en pr\u00e9sumant la conformit\u00e9, la surveillance par une autorit\u00e9 ne diminuera pas de mani\u00e8re spectaculaire<\/li>\n
    • En cas de violation claire couverte par le certificat, cela pourrait peser plus lourdement dans la d\u00e9termination de la sanction<\/li>\n
    • Risque de dommages \u00e0 la r\u00e9putation en cas de retrait du certificat<\/li>\n
    • Co\u00fbt \u00e9lev\u00e9 : \u20ac\u20ac\u20ac = mise en \u0153uvre + certification initiale + audit de surveillance annuel + frais de maintenance (p.ex. publication dans le registre)<\/li>\n
    • Si l\u2019objet de l\u2019\u00e9valuation change fr\u00e9quemment, il est possible que l\u2019auditeur revienne plus t\u00f4t que pr\u00e9vu<\/li>\n
    • Comparer le march\u00e9 peut \u00eatre utile : Europrivacy est relativement commercial et propose, par exemple, un \u00ab\u00a0Welcome pack\u00a0\u00bb d’une valeur de 6000 \u20ac, qui ne comprend m\u00eame pas encore la certification.<\/li>\n<\/ul>\n

      Alternatives :<\/strong><\/p>\n

        \n
      • Continuer sans certification…<\/li>\n
      • Publier un r\u00e9sum\u00e9 d\u2019une DPIA<\/li>\n
      • Rejoindre un code de conduite (ou prendre l\u2019initiative d\u2019en cr\u00e9er un dans votre secteur)<\/li>\n
      • Publier un r\u00e9sum\u00e9 d\u2019un rapport d\u2019audit bas\u00e9 sur un sch\u00e9ma de certification, sans aller jusqu\u2019\u00e0 la certification<\/li>\n<\/ul>\n

        En r\u00e9sum\u00e9<\/strong>, r\u00e9fl\u00e9chissez bien avant de vous lancer. Assurez-vous que la certification est l\u2019outil ad\u00e9quat et que vous \u00eates pr\u00eat \u00e0 vous engager sur les plans contractuel et l\u00e9gal.<\/p>\n

        Que faire si mon organisation n\u2019a ni l\u2019ambition ni les moyens de se certifier ? \ud83e\udd14<\/strong><\/h3>\n

        Obtenir un certificat n\u2019a pas toujours besoin d\u2019\u00eatre un objectif. La plupart des sch\u00e9mas sont disponibles gratuitement et peuvent contribuer \u00e0 d\u2019autres initiatives.<\/p>\n

        L\u2019utilisation d\u2019un sch\u00e9ma GDPR pourrait par exemple constituer une bonne m\u00e9thode pour \u00e9valuer objectivement vos processus internes, produits et services. Contrairement \u00e0 l\u2019approche classique d\u2019un syst\u00e8me de gestion, cela introduit l\u2019organisation \u00e0 l\u2019audit bas\u00e9 sur les produits. Cela peut \u00e9galement aider dans les d\u00e9marches de diligence raisonnable des sous-traitants.<\/p>\n

        De plus, une telle m\u00e9thode d\u2019\u00e9valuation permet de mieux d\u00e9finir les attentes du DPO \u00e0 l\u2019\u00e9gard de certaines activit\u00e9s de traitement. Elle peut \u00e9galement aider les \u00e9quipes de d\u00e9veloppement et les responsables des achats \u00e0 trouver la bonne approche pour se conformer au GDPR.<\/p>\n

        Envie d\u2019en savoir plus ? Inscrivez-vous \u00e0 la formation d\u2019audit RGPD du DPI !<\/strong><\/h3>\n

        Curieux de savoir comment fonctionne la certification RGPD et ce qu\u2019elle peut signifier pour vous ? Participez \u00e0 la formation d\u2019audit RGPD de l\u2019Institut de Protection des Donn\u00e9es, o\u00f9 je cl\u00f4turerai la semaine le vendredi.<\/p>\n

        Ma contribution commencera par une courte introduction aux concepts de certification et d\u2019accr\u00e9ditation, mais se concentrera principalement sur la pratique, o\u00f9 les participants \u00e9valueront un produit fictif \u00e0 l\u2019aide d\u2019un sch\u00e9ma GRGPD.<\/p>\n

        La prochaine session aura lieu du 4 au 8 novembre 2024 \u00e0 Elewijt. Il reste encore quelques places disponibles, ne tardez pas !<\/p>\n

        En esp\u00e9rant vous y voir bient\u00f4t !<\/p>\n

        Kenny<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"

        Cet article invit\u00e9 a \u00e9t\u00e9 r\u00e9dig\u00e9 par notre formateur Kenny Willems En 2020, avec \u00ab\u00a0certification marathon\u00ab\u00a0, j\u2019ai publi\u00e9 une premi\u00e8re analyse sur le d\u00e9ploiement (lent) de la certification RGPD. Depuis, beaucoup de choses ont chang\u00e9 et il est grand temps de faire un nouveau point sur la situation. O\u00f9 en sommes-nous aujourd\u2019hui ? \ud83e\udd73 En […]<\/p>\n","protected":false},"author":30,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3],"tags":[],"class_list":["post-15546","post","type-post","status-publish","format-standard","hentry","category-tout"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/15546","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/users\/30"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/comments?post=15546"}],"version-history":[{"count":5,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/15546\/revisions"}],"predecessor-version":[{"id":15551,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/posts\/15546\/revisions\/15551"}],"wp:attachment":[{"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/media?parent=15546"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/categories?post=15546"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dp-institute.eu\/fr\/wp-json\/wp\/v2\/tags?post=15546"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}