Si des entreprises tentaient déjà de vous faire croire le contraire en affichant des logos à base de symboles européens, il n’existait jusqu’alors, aucun moyen de certifier que les traitements de données d’une entité étaient vraiment conformes au Régime Général de la Protection des Données (RGPD). Pourtant, le Luxembourg a décidé de franchir le cap, devenant le premier pays où il est possible d’être reconnu comme tel, et ce, au-delà des frontières du seul pays.
Le RGPD au Luxembourg
Les normes concernant la protection des données ne datent pas du RGPD. La Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (dite « Convention 108 ») du 1er octobre 1985, pensait déjà la donnée personnelle comme propriété de l’individu concerné.
Pourtant depuis la réglementation du 27 avril 2016 entrée en vigueur le 25 mai 2018, la personne est replacée au centre de ses données et les secteurs public comme privé s’efforcent de respecter ces dispositions.
Au Luxembourg, c’est la loi du 1er août 2018 qui porte organisation de la Commission nationale pour la protection des données ou CNPD[1]. Elle est l’autorité de protection en charge de surveiller la garantie des droits et des obligations en la matière, sur tout le territoire luxembourgeois.
Si elle a été accusée d’être trop clémente d’un point de vue des sanctions qu’elle mettait en place, la CNPD n’a cessé de prouver le contraire ces derniers mois. Elle a notamment sanctionné Amazon à hauteur de 746 millions d’euros, amende la plus élevée à ce jour émise par une autorité.
N’hésitez pas à consulter l’article de la promotion précédente sur le sujet, disponible ici.
Le mécanisme CARPA
Pour être éligible, l’entité qui souhaite être certifiée doit remplir plusieurs critères, mais surtout être en mesure de le prouver. Parmi ces éléments, on retrouve sans surprise les obligations imposées par le RGPD, comme le respect du principe d’accountability sous-entendu aux articles 5 et 30. Celui-ci exige en partie la tenue à jour d’un registre de traitements.
« Les organismes de certification visés à l’article 43, paragraphe 1er, du [RGPD] doivent être agréés par la CNPD » selon l’article 15 de la loi luxembourgeoise. Un organisme de certification admis par la Commission pourra donc effectuer un audit afin de vérifier que les critères sont remplis avant de certifier l’entité.
Ainsi, en choisissant d’opter pour cet agrément, les traitements de données de l’entité ne sont non pas uniquement reconnus comme conformes d’un point de vue national, mais ils le sont aussi au niveau international.
A noter que son champ d’application est tout de même limité et ne peut s’appliquer aux traitements de données « des mineurs de moins de 16 ans, pour les certifications des activités de traitement dans le cadre d’un contrôle conjoint, pour les activités de traitement dans le cadre de l’article 10 du RGPD, pour les entités qui n’ont pas désigné un DPD (article 37 du RGPD) ».
Une fois délivré, le certificat est valable pour les trois années suivantes sous réserve d’audit annuel. Et comme le précise la CNPD sur son site internet, cela ne supprime pas pour autant la responsabilité du responsable de traitement ou du sous-traitant.
La conférence de lancement mise en place par le CNPD le 28 juin 2022, a mis en lumière l’instauration de la procédure de certification et ses enjeux.
Un passage obligé pour garantir la protection des données ?
Si l’autorité française (la Commission Nationale de l’Informatique et des Libertés ou CNIL) est déjà en mesure de fournir une certification en ce qui concerne les compétences d’une personne en tant que DPO, cela ne garantit pas que les traitements de l’entreprise soient eux, conformes à la réglementation.
A ce jour et en ce qui concerne le Luxembourg, il ne s’agit que d’une certification et il n’y a donc aucune obligation quant à son obtention. Néanmoins dans un milieu concurrentiel, elle pourrait permettre de faire pencher la balance.
Ses voisins européens, notamment la France et la Belgique, vont-ils se décider eux aussi à passer le cap ? Le sujet reste encore peu abordé mais les pays restent libres de décider d’implanter une méthode similaire sur leur territoire.
Elsa Moriceau
A consulter :
- https://cnpd.public.lu/fr/actualites/national/2022/06/adpoption-gdpr-carpa.html
- https://cnpd.public.lu/fr/professionnels/Certification/gdpr-carpa.html
Sources :
- Décision N° 15/2022 du 13 mai 2022 de la Commission nationale pour la protection des données portant exécution de l’article 15 de la loi du 1er août 2018 portant organisation de la Commission nationale pour la protection des données et du régime général sur la protection des données
- https://cnpd.gouvernement.lu/fr.html
- https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-la-certification
[1] Loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel qui l’a créée en réalité, mais elle est abrogée et remplacée par la loi du 1er août 2018.