Avis d’expert septembre 2016 : Le règlement européen sur la protection des données et les certifications

Mis en ligne le 12 septembre 2016

Le nouveau règlement européen sur la protection des données personnelles adopté en avril 2016, qui entrera en application en 2018, encourage la mise en
place de certifications, labels et marques. L’année 2016, qui a également vue la CNIL délivrer son premier label technologique pourrait bien marquer un
nouveau départ pour les certifications de protection de la vie privée et autres privacy seal.

Les certifications et labels figurent en bonne place au titre des innovations du règlement européen sur les données personnelles adopté en avril 2016 et
qui entrera en application en 2018. Ces nouveaux outils de la conformité sont abordés dans les articles 42 et 43 du texte, respectivement consacrés à la
certification et aux organismes de certifications. La certification définie comme une approche volontaire, accessible via un processus transparent, doit
permettre aux utilisateurs d’évaluer rapidement le niveau de protection des données offert par les produits et services.

Le sujet a été jugé suffisamment important pour que la CNIL en fasse l’un des quatre thèmes de la consultation publique menée au cours de l’été 2016 à
propos du règlement européen au même titre que celle portant sur le délégué à la protection des données (DPO), sur les études d’impact sur la vie privée ou
encore sur le droit à la portabilité.

Pour les entreprises, la certification revêt un double intérêt. D’une part, c’est un dispositif d’autorégulation qui accompagne la démarche de mise en
conformité. Elle s’inscrit bien dans la philosophie globale du règlement européen qui prévoit un allègement des formalités administratives en contrepartie
d’une responsabilité accrue des organisations. Comme l’explique la CNIL sur son site : «

les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette
conformité à tout moment (accountability).

» La certification fait à l’évidence partie de ces mesures appropriées qui permettent de répondre au principe d’accountability.

D’autre part, sur le plan économique, la certification, le label ou la marque correspond à un avantage concurrentiel qui tend à faire de la protection des
données un critère de différenciation marketing. Le respect de la protection des données n’est plus alors envisagé uniquement sous l’angle de la contrainte
règlementaire mais aussi comme un élément de valorisation des produits et services auprès des utilisateurs.

Enfin, en ce qu’ils participent à la protection de la vie privée, et par la même au respect des droits de l’homme, les labels privacy devrait
naturellement être partie intégrante des politiques Responsabilité Sociétale des Entreprises (RSE).

La nouvelle certification de l’article 42 du Règlement européen s’inscrit dans la continuité d’initiatives préexistantes comme celle du Label CNIL qui a
été pour la première fois été délivré à une technologie – en l’occurrence un service de coffre-fort numérique de Cecurity.com – en juillet 2016. Le
règlement européen reprend d’ailleurs une durée de trois ans pour la validité de la certification se calquant ainsi sur celle déjà pratiquée par la CNIL
pour l’ensemble de ses labels.

Arnaud Belleil

Sur le même sujet :

– Au moins deux bonnes raisons de s’intéresser aux certifications et aux labels de protection des données personnelles – Florence Bonnet, CIL Consulting – 7 juillet 2016