Protection des données dès la conception et par défaut

Il s'agit de l'une des obligations légales les plus difficiles à documenter et à démontrer. La certification est le seul instrument reconnu par l'art. 25 RGPD "pour démontrer la conformité avec" cette exigence.

Démontrer l'adéquation des contrôleurs de données

L'art. 24 du RGPD clarifie les obligations des contrôleurs de données. Il mentionne deux instruments permettant de prouver cette conformité : la certification et les codes de conduite.

Démontrer l'adéquation des processeurs de données sélectionnés

En vertu de l'art. 28 RGPD, "le responsable du traitement ne fait appel qu'à des sous-traitants offrant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées." Il est responsable des violations potentielles et du non-respect des règles par ses sous-traitants. Il est censé procéder à une évaluation complète des mesures efficaces mises en place par ses sous-traitants avant de partager des données avec eux. Heureusement, cet article reconnaît deux instruments permettant d'évaluer cette adéquation : la certification et les codes de conduite.

Démontrer l'adéquation des mesures de sécurité

L'art. 32 du RGPD exige de garantir un niveau de sécurité adéquat. Comme pour les sous-traitants, il reconnaît également la certification et les codes de conduite (avec des audits réguliers) comme des moyens d'assurer un niveau de sécurité adéquat. 

Impact sur les amendes administratives

L'art. 83 du RGPD impose de prendre en compte l'adoption d'une certification ou d'un code de conduite reconnu par un responsable du traitement ou un sous-traitant en cas de non-conformité, lors de la détermination du montant de l'amende administrative. En outre, une certification et un code de conduite contribuent tous deux à réduire substantiellement le risque de non-conformité.

Disponibilité

La bonne nouvelle est que les critères de certification et le CCN sont approuvés et disponibles tels quels. L'adoption d'un code de conduite exige un effort substantiel. Il faut également mobiliser un nombre représentatif d'entreprises par l'intermédiaire d'une association pour élaborer, mettre en œuvre et faire approuver le code. Le processus peut prendre plusieurs années. L'adoption de règles d'entreprise contraignantes doit également être approuvée par l'autorité. Le processus peut également prendre plusieurs années et ne peut être utilisé que par les entités qui font officiellement partie du même groupe d'entreprises (et non par ses sous-traitants, par exemple).

Universalité

Les CCN et les certifications RGPD, telles qu'Europrivacy, sont indépendantes du secteur et peuvent être utilisées par tous les responsables du traitement des données et les sous-traitants. D'autres certifications peuvent être réservées aux seuls responsables du traitement des données ou à des cibles d'évaluation spécifiques. Les règles d'entreprise contraignantes sont spécifiques à l'entreprise. Les codes de conduite sont propres à chaque secteur, ce qui signifie que les responsables du traitement et les sous-traitants qui partagent des données peuvent être soumis à des codes de conduite différents. Par exemple, un code de conduite conçu pour les services d'accueil ne conviendra pas aux prestataires de services tels qu'une société de comptabilité travaillant pour des entreprises hôtelières.

Temps et efforts

En supposant qu'une entreprise se conforme déjà au RGPD, le temps et les efforts nécessaires varient selon les instruments. Un CCN exige des parties qu'elles négocient et s'accordent sur les termes de l'accord. Si une entreprise n'a qu'un seul partenaire B2B, c'est l'instrument le plus rapide. Toutefois, alors qu'une certification unique peut être utilisée avec un nombre illimité de responsables du traitement et de sous-traitants, un CCN distinct doit être adopté et signé avec chacun des partenaires avec lesquels des données sont partagées.

Flexibilité et adaptabilité

Certains instruments sont axés sur les exigences au niveau de l'entreprise (BCR, CC), tandis que d'autres se concentrent sur des activités spécifiques de traitement des données (Certification, SCC). La première catégorie exige d'assurer la conformité à un niveau plus élevé. La seconde catégorie permet aux entreprises de concentrer leurs efforts sur le traitement prioritaire des données et de faire passer les choses en premier.

Fiabilité

Le niveau de fiabilité dépend de la nature des instruments. Par exemple, un CCN est un engagement contraignant pris par une entité, mais il n'y a pas d'audit ni de contrôle du respect effectif de cet engagement. En revanche, une certification repose sur des audits tiers réguliers réalisés par des auditeurs qualifiés. L'échelle des niveaux de confiance (TSL) propose une échelle allant de A (très fiable) à I (pas du tout fiable) pour évaluer le niveau de confiance dans le respect effectif des règles. Lorsqu'il est appliqué aux quatre instruments, le résultat varie de F pour le CCN à A pour la certification.

Création de valeur

Tous les instruments contribuent à soutenir la conformité. Cependant, l'un d'entre eux, la certification, permet de transformer la conformité en un actif intangible pour l'entreprise. Comme un brevet, une certification constitue un actif immatériel de l'entreprise. Elle transforme la conformité en une source de création de valeur. Elle peut être utilisée par les équipes de marketing et de vente comme un avantage concurrentiel. Elle peut également être utilisée pour réduire l'incertitude auprès des analystes financiers, des investisseurs et des actionnaires.

Le tableau suivant résume les caractéristiques des quatre instruments.

Conclusion

Chaque instrument du RGPD offre un ensemble d'avantages et un niveau de fiabilité différents en ce qui concerne la conformité effective. Il appartient au DPD d'évaluer et de choisir celui qui répond le mieux aux besoins de son employeur. Nous espérons que cette analyse vous aidera à comparer et à choisir.

Si vous changez d'avis, il est très simple de passer d'un instrument à l'autre ou de combiner plusieurs instruments, une fois que vous avez vérifié et documenté votre conformité.

References