Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD), la conformité en matière de protection des données personnelles est devenue une exigence centrale pour les entreprises et les administrations publiques opérant sur le territoire de l’Union européenne (UE). Elle implique des risques juridiques et financiers que les responsables du traitement et les sous-traitants ne peuvent ignorer.

Europrivacy est un schéma de certification développé dans le cadre du Programme de recherche européen afin d’évaluer, documenter, certifier et valoriser la conformité au RGPD et aux réglementations complémentaires en matière de protection des données. Il est maintenu par le Centre européen de certification et de protection des données (ECCP) au Luxembourg, sous la supervision d’un Conseil international d’experts en protection des données.

Europrivacy a été conçu sur la base de la norme ISO/IEC 17065 et de l’article 42 du RGPD “aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement”.

Europrivacy est bien plus qu'un simple système de certification. Il offre un ensemble complet de ressources et de services en ligne pour mettre en œuvre, améliorer et démontrer efficacement la conformité à la protection des données. Il est soutenu par une communauté de partenaires qualifiés, une académie en ligne, un site web communautaire et des outils en ligne. Il présente de nombreux avantages et bénéfices.

Portée et applicabilité

Objectif: Europrivacy permet d’évaluer, de documenter, de certifier et de valoriser la conformité au RGPD et aux réglementations complémentaires en matière de protection des données. Il aide notamment les entreprises à:

1. Réduire les risques juridiques et financiers en vérifiant et documentant leur conformité ;
2. Communiquer et valoriser leur conformité en la transformant en un atout et une source de création de valeur ;
3. Maintenir et profiter de leur conformité avec la certification Europrivacy et les ressources en ligne.
    

Quoi:  Grâce à son modèle hybride, Europrivacy est applicable à presque toutes les activités de traitement des données, y compris celles impliquant des technologies innovantes telles que l’intelligence artificielle, la blockchain, la e-santé et l’Internet des objets. Certaines exclusions spécifiques s’appliquent, comme les données biomédicales.

Bien que la méthodologie Europrivacy puisse être appliquée à diverses cibles d’évaluation, conformément à l’article 42 du RGPD, seules les activités de traitement des données peuvent être certifiées. En conséquence, dans les juridictions de l’UE, il n’est pas possible de certifier une entreprise entière ni l’ensemble de son système de gestion au titre du RGPD. L’avantage de cette approche est que la conformité peut être certifiée progressivement, en commençant par les traitements de données prioritaires et en étendant la certification étape par étape à d’autres activités de traitement. 

Qui: Europrivacy s’adresse aussi bien aux responsables du traitement qu’aux sous-traitants.

Où: Europrivacy peut être utilisé en tout lieu pour évaluer la conformité au RGPD. Toutefois, la délivrance de certificats n'est pas applicable aux juridictions qui ne fournissent pas de garanties adéquates et suffisantes pour les droits et libertés des personnes concernées.

Extensibilité : Europrivacy a été développé et conçu pour être facilement extensible aux réglementations nationales complémentaires en matière de protection des données, y compris les réglementations non européennes, ainsi qu’aux réglementations spécifiques aux domaines et aux technologies. 

Validité: Les certificats sont valides pour des périodes renouvelables de trois ans.

Processus de certification 

Le processus de certification peut être divisée en les étapes principales suivantes:

1. Préparer et documenter la conformité avec les critères Europrivacy à l'aide du Pack Bienvenue Europrivacy, qui comprend des ressources et outils, ainsi qu’avec l’appui de partenaires qualifiés pour réduire les risques. Il est également possible d’utiliser des Extensions de critéres criteria pour certifier la conformité avec d’autres réglementations nationales ou européennes.
2. Certifier la conformité des traitements de données auprès d’un organisme de certification qualifié afin de valoriser et communiquer les efforts de mise en conformité. L’organisme de certification doit être autorisé par l'ECCP et disposer d’une accréditation valide auprès d’une autorité nationale compétente. Le certificat est publié dans le Registre Officiel des Certificats Europrivacy, permettant ainsi son authentification par des tiers et empêchant la fraude.
3. Maintenir, communiquer et valoriser la conformité grâce aux ressources et outils en ligne, y compris des guides et modèles de communication, des mises à jour continues des exigences de conformité et des audits de surveillance annuels.

Modèle de certification innovant Europrivacy

Europrivacy propose un modèle de certification hybride innovant qui bénéficie des avantages d’un schéma de certification universel, complété par des critères spécifiques aux domaines et aux technologies, en fonction de la nature de la cible d’évaluation. 

Critères fondamentaux du RGPD: Le processus de certification commence toujours par la liste Europrivacy des critères fondamentaux du RGPD, qui couvre les diverses obligations du RGPD, comme indiqué ci-dessous :  

C - Vérifications et contrôles complémentaires: Les critères fondamentaux sont complétés par des vérifications et contrôles complémentaires permettant d’évaluer la conformité aux obligations spécifiques à un domaine ou à une technologie qui peuvent s’appliquer à la cible d’évaluation.

T -  Mesures techniques et organisationnelles: Les vérifications et contrôles des mesures techniques et organisationnelles visent à évaluer l’adéquation des mesures mises en place pour sécuriser les données traitées. Sauf en cas de traitement de données à haut risque, cela peut être remplacé par un certificat ISO/IEC 27001 valide couvrant la cible d’évaluation.

S - Liste de contrôle des audits de surveillance: Quelques critères supplémentaires sont spécifiés pour les audits de surveillance afin d’évaluer et d’assurer le maintien de la conformité dans le temps.

N - Obligations nationales: Europrivacy facilite l’évaluation de la conformité aux obligations nationales complémentaires à travers deux instruments:

• Profils d’obligations nationales pour chaque État membre de l’Espace économique européen. Ces ressources permettent de préparer un rapport d’évaluation de la conformité aux obligations nationales (NOCAR).
• Extension de critères nationaux Europrivacy permettant d’évaluer et de certifier la conformité d’une cible d’évaluation aux réglementations nationales complémentaires en matière de protection des données. Ces extensions sont facultatives et sont utilisées sur une base volontaire pour étendre une certification Europrivacy aux juridictions non européennes correspondantes.