Certification en Matière de Protection des Données À Caractère Personnel RGPD/GDPR

INTRODUCTION Certification en Matière de Protection des Données À Caractère Personnel (RGPD/GDPR)

Le 25 mai 2018, la législation européenne relative à la protection des données à caractère personnel est entrée en vigueur. Elle est connue à l'international sous le nom de GDPR (General Data Protection Regulation) ou, en français, de RGPD (règlement général sur la protection des données).

Ce cadre légal a pour but d'harmoniser les réglementations et législations internationales autour du traitement et de la protection des données à caractère personnel. Par « données à caractère personnel », nous entendons les informations que l'on peut relier à un individu. Le RGPD se rapporte à des organismes établis dans l'un des États membres de l'UE, mais aussi à des organismes hors de l'Union européenne qui traitent des données personnelles d'habitants de l'UE.

Le cadre de cette législation européenne, qui remplace en principe la Wet Bescherming Persoonsgegevens (loi sur la protection des données à caractère personnel) aux Pays-Bas, intègre l'option d'une certification (volontaire). C'est pourquoi Bureau Veritas a développé une norme de certification qui correspond à cette législation et que nous désignons sous le nom de Référentiel de gestion de la protection des données à caractère personnel (pour les entreprises).

CHAMP D'APPLICATION

Le Référentiel de gestion de la protection des données à caractère personnel (pour les entreprises) est générique. Cela signifie qu'on peut l'appliquer à n'importe quel type d'organisme, indépendamment de sa taille, de son secteur d'activité ou encore de la nature de ses activités (primaires): but lucratif ou non, voire secteur public.

CONTENU DE LA NORME

Le Référentiel de gestion de la protection des données à caractère personnel (pour les entreprises) est axé sur les 50 premiers articles du RGPD européen. C'est la partie du cadre légal que les organismes qui traitent des données à caractère personnel doivent respecter. La norme est également structurée selon la norme sous-jacente ISO 17065 (évaluation de la conformité).

La norme de certification compte 6 chapitres, qui abordent ses différents éléments. Il s'agit des sujets suivants: organisation et structure, gestion des risques relatifs aux données à caractère personnel, système de management, maîtrise des produits et/ou services, maîtrise opérationnelle et ressources.

PROCESSUS DE CERTIFICATION

À quoi ressemble-t-il? Au plan opérationnel, le processus de certification relatif à cette norme est, dans les grandes lignes, identique à celui de n'importe quelle norme ISO, comme par exemple l'ISO 9001. Avant cette certification, nous offrons la possibilité d'une analyse des écarts (sans engagement). Nous établissons ainsi dans quelle mesure l'organisme à certifier satisfait les exigences de cette norme de certification. Nous consignons cette analyse des écarts dans un rapport fonctionnel où nous mettons sur papier tous les résultats concrets.

Le processus de certification débute par une évaluation ou audit. Une fois cet audit achevé avec succès, l'organisme reçoit un certificat d'une durée de validité de 3 ans. Nous procèderons en outre à une évaluation intermédiaire annuelle afin de pouvoir vérifier si les exigences de la norme restent satisfaites. À la fin de la période, l'organisme certifié peut démarrer un nouveau cycle de 3 ans en demandant une recertification.

Vous voulez recevoir des informations plus détaillées sur cette certification en pratique? Dans ce cas, consultez notre brochure relative au processus de certification (en néerlandais). Vous pouvez la télécharger ici sur notre site web.

ACCRÉDITATION

En tant qu'organisme certificateur, Bureau Veritas doit intégrer la certification RGPD à son accréditation, comme le stipule la législation européenne.

Pour le moment la certification est non accréditée ni est-il possible d'avoir autres certifications RGPD accréditées.

NORMES COMPLÉMENTAIRES

En pratique, le Référentiel de gestion de la protection des données à caractère personnel (pour les entreprises) peut être appliqué en tant que norme de certification indépendante. Par ailleurs, il peut être combiné à d'autres normes, notamment l'ISO 9001 (qualité), l'ISO 27001 (sécurité de l'information), la NEN 7510 (sécurité de l'information dans le secteur des soins de santé), l'ISO 27017/ISO 27018 (sécurité de l'information dans le cloud) et l’ISO 22301 (gestion des risques/continuité d'activité).