Certification RGPD pour entreprises : le guide complet

Contexte : la CNIL propose un projet de référentiel pour évaluer la conformité RGPD des sous-traitants et invite tous les acteurs du RGPD à participer à une consultation publique jusqu'au 22 janvier 2025.

Le RGPD impose des obligations spécifiques aux sous-traitants et aux responsables de traitement, afin de garantir une protection optimale des données personnelles. Ces obligations s’appliquent à tout organisme qui traite des données pour le compte d’un autre (le responsable de traitement), dans le cadre d’un service ou d’une prestation.

La certification RGPD des entreprises est pour bientôt ! Ne manquez pas cette opportunité et demandez un accompagnement RGPD avec Blockproof pour vous préparer. 

Certification RGPD : les entreprises concernées 

“Dès lors qu’il est établi en Europe, tout organisme (public ou privé) qui effectue des traitements de données personnelles pour le compte d’un responsable de traitement pourra candidater à cette certification” (source : CNIL)

Entreprises principalement concernées par la certification RGPD : 

• Prestataires de services informatiques : hébergement, maintenance, et autres services techniques
• Intégrateurs de logiciels : mise en œuvre et configuration des solutions logicielles pour leurs clients 
• Sociétés de sécurité informatique : gestion des risques et protection des données contre les cyberattaques ;
• Entreprises de services du numérique (ESN) : anciennement SSII, elles interviennent sur des systèmes d’information avec accès aux données personnelles ;
• Agences de marketing ou de communication : exploitation de données personnelles dans le cadre de campagnes pour leurs clients.

De son côté, la Direction Générale côté client (aussi appelée responsable de traitement au sens du RGPD) doit sélectionner des sous-traitants qui présentent des garanties suffisantes en matière de protection des données (article 28 du RGPD). 

Cela implique de s’assurer que ces derniers respectent les exigences réglementaires et disposent de pratiques fiables pour gérer les données confiées. 

Certification RGPD : un atout de compétitivité pour les entreprises

Pour les entreprises, la certification RGPD va au-delà de la conformité réglementaire : elle devient un levier stratégique.

• Gagner la confiance des clients et partenaires : Une certification prouve aux clients que l’entreprise applique des standards élevés de protection des données, renforçant ainsi sa crédibilité.
• Se différencier sur le marché : Dans un environnement concurrentiel, elle devient un argument clé pour remporter des contrats face à des concurrents non certifiés.
• Réduire les risques juridiques et financiers : Être certifié diminue le risque d’amendes liées à des non-conformités RGPD et protège la réputation de l’entreprise.
• Créer une barrière à l'entrée : La démarche de certification vous permet d'exclure des concurrents qui ne pourront plus prétendre "être conforme" sans avoir la certification.
• Faciliter l’accès à des marchés sensibles : Certaines entreprises ou secteurs, comme les marchés publics ou les grandes entreprises, favorisent les prestataires certifiés.

Ainsi, une certification RGPD ne se limite pas à une contrainte réglementaire, mais devient une véritable opportunité pour les entreprises d’augmenter leur compétitivité tout en répondant aux attentes croissantes des clients en matière de sécurité et de transparence.

Contenu de la certification RGPD des entreprises : 90 critères impératifs à respecter

À ce jour, voici les informations dont nous disposons, qui sont cohérentes avec la mise en place et le maintien dans le temps d’une conformité au RGPD. La CNIL annonce déjà que chaque critère devra être respecté, et les entreprises devront en apporter la preuve. 

Pour obtenir une certification, il sera nécessaire d’apporter la preuve du respect de chacun des critères du référentiel. Le projet de référentiel d’évaluation est constitué de 90 points de contrôle. 

Le traitement de données personnelles effectué pour le compte d’un donneur d’ordre (en l'occurrence, le responsable de traitement) semble donc être la priorité de la certification. La désignation d'un DPO sera donc un élément clé pour rassurer l'évaluateur de la respectabilité des critère.

La chronologie de contrôle est présentée de la manière suivante : 

• partie 1 : la contractualisation ;
• partie 2 : la préparation de l’environnement du traitement, y compris les mesures de sécurité qui sont requises en annexe du référentiel ;
• partie 3 : la mise en œuvre du traitement ;
• partie 4 : la fin du traitement.

Durée de la certification RGPD des entreprises : 3 ans renouvelable 

Une 5ème partie du référentiel intègre des critères relatifs aux plans d’action qui sont à mener par le sous-traitant sur la période de certification, qui sera de 3 ans et renouvelable.

Ce dispositif couvrira également des obligations organisationnelles et techniques, adaptées à différents secteurs et tailles d’entreprises.

La consultation en cours pourra éventuellement donner lieu à des ajustements. Cependant, le communiqué de presse de la CNIL est très clair et précis, ce qui laisse présager que la marge de manœuvre des participants à la consultation repose uniquement sur le fond des 90 critères et mode contrôle, et non sur l’agenda de la CNIL ou le nombre de critères à auditer. 

Certification RGPD : comment se préparer efficacement ?

L’objectif de la CNIL est clair : permettre aux TPE et PME de valoriser leur conformité au RGPD. Il vous sera donc nécessaire d’être conforme, en mettant un point d’honneur sur les traitements qui touchent les données personnelles d’externes à l'entreprise : tels que vos clients, les clients ou usagers de vos clients, etc. 

Chez Blockproof, nous travaillons déjà avec des nombreuses entreprises et associations qui traitent des données personnelles d’utilisateurs, clients et salariés externes. 

Nous saurons vous épauler, voire même, réaliser la totalité des travaux de conformité pour que vous réussissiez la certification ! Nous pouvons également vous permettre de la maintenir dans le temps (au-delà de 3 ans). 

Contactez-nous directement via le bouton contact ou la page devis pour en savoir plus sur nos accompagnements et les prix adaptés à votre entreprise.

Certification RGPD : évaluation par des organismes certificateurs agréés

Après la préparation, il demeure l'évaluation.

L’évaluation sera réalisée par un organisme certificateur habilité, qui prendra en compte le contexte propre au traitement des données.

En effet, un prestataire comme Blockproof qui vous prépare et permet d’être certifié est indépendant de l’organisme qui évalue et certifie. Inversement, l’organisme qui certifie ne peut pas être organisme prestataire.

L’organisme certificateur habilité s’appuiera sur les recommandations et ressources publiées par la CNIL, que ce soit par secteur, technologie ou thématique, afin de vérifier la conformité aux critères du référentiel. 

Cette méthodologie devrait garantir, on l’espère, une analyse rigoureuse et contextualisée, adaptée à la réalité de chaque sous-traitant.

Note : des organismes certifiant la qualité d’un DPO (lorsqu’il ne dispose pas d’un Master 2 en Droit du numérique ou équivalent) existent déjà. 

Il est très probable que ces derniers se positionnent également sur la certification RGPD des entreprises. 

Liste des certificateurs organismes agréés par la CNIL pour délivrer la certification des compétences DPO (notamment en l’absence d’un Master 2 en Droit du numérique ou équivalent) : 

• CESI Certification
  Numéro d'agrément : 2020-048
  Date de délivrance : 23 avril 2020
  Date d'expiration : 23 avril 2025
• PECB
  Numéro d'agrément : 2020-099
  Date de délivrance : 15 octobre 2020
  Date d'expiration : 15 octobre 2025
• AFNOR Certification
  Numéro d'agrément : 2024-058
  Date de délivrance : 18 juillet 2024
  Date d'expiration : 18 juillet 2029
• Bureau Veritas Certification France
  Numéro d'agrément : 2019-121
  Date de délivrance : 26 septembre 2019
  Date d'expiration : 26 septembre 2024
• SGS
  Numéro d'agrément : 2020-013
  Date de délivrance : 23 janvier 2020
  Date d'expiration : 23 janvier 2025
• LCP Certification France
  Numéro d'agrément : 2019-134
  Date de délivrance : 12 novembre 2019
  Date d'expiration : 12 novembre 2024
• APAVE Certification
  Numéro d'agrément : 2024-079
  Date de délivrance : 14 novembre 2024
  Date d'expiration : 14 novembre 2029
• IAPP (International Association of Privacy Professionals)
  Numéro d'agrément : 2020-053
  Date de délivrance : 14 mai 2020
  Date d'expiration : 14 mai 2025
• LSTI
  Numéro d'agrément : 2020-069
  Date de délivrance : 16 juillet 2020
  Date d'expiration : 16 juillet 2025

Il sera essentiel de vérifier que l'organisme choisi dispose d'un agrément valide pour le mécanisme de certification RGPD, lorsqu’il sera disponible