Certification GDPR-CARPA au Luxembourg : Une avancée en matière de protection des données
Le Luxembourg, pionnier en matière de certification RGPD
Le Luxembourg se distingue en légiférant sur les ressources spatiales et en instaurant une certification dans l’écosystème juridique du RGPD. Le 13 mai 2022, la CNDP a adopté ce mécanisme innovant de certification. La protection des données est devenue un enjeu stratégique au 21ème siècle, avec l’Europe en première ligne pour établir un cadre juridique rigoureux.
Un événement marquant fut la décision de la Cour de justice de l’Union européenne en 2015, invalidant l’accord Safe Harbor encadrant les transferts de données des Européens vers les États-Unis.
Certification GDPR-CARPA : un outil de conformité au RGPD
Grâce au RGPD, et plus précisément à l’article 42, les entreprises peuvent faire appel à des organismes de certification tiers pour garantir leur conformité. La CNDP au Luxembourg, jouant un rôle clé dans l’élaboration du cadre européen, a permis le développement de cette certification. La certification GDPR-CARPA s’applique à divers secteurs et est valable pour trois ans.
Pour un extrait de notre lancement de la certification, consultez notre article dédié`[1]`.
Fonctionnement de la certification GDPR-CARPA
La CNDP a adopté une approche fondée sur les standards internationaux, notamment l’ISAE, et a développé le GDPR-CARPA. Ce dispositif repose sur deux axes principaux :
- Les critères de certification ;
- Les critères d’agrément basés sur les normes ISAE 3000 (audit), ISCQ1 (contrôle des organismes d’audit) et ISO 17065 (accréditation des organismes de certification).
Le rapport ISAE 3000 Type 2 évalue la mise en œuvre des dispositifs de contrôle en garantissant un niveau d’exigence élevé. La CNPD publiera la liste des organismes autorisés à délivrer la certification GDPR-CARPA.
Limites et Champ d’Application de la Certification
La certification GDPR-CARPA inclut certaines limites :
- Elle ne garantit pas la sécurité du traitement en soi, mais responsabilise les responsables de traitement en exigeant la mise en place de procédures de gestion de la sécurité de l’information.
- Elle est réservée aux entreprises basées au Luxembourg, renforçant ainsi l’attractivité de l’écosystème luxembourgeois.
De plus, la GDPR-CARPA ne s’applique pas aux traitements de données visant les mineurs, les traitements conjoints, les activités sous l’article 10 du RGPD, et les entités sans délégué à la protection des données.
Processus d’Agrément pour les Organismes de Certification
Selon l’article 15 de la loi du 1er août 2018, la CNDP octroie un agrément aux organismes respectant les critères fixés. Ce processus, incluant un audit de conformité, dure environ six mois, avec une redevance pour chaque demande d’agrément. Les organismes agréés évaluent théoriquement et sur le terrain les mesures de conformité. Si l’évaluation est positive, une certification de cinq ans est délivrée avec un audit annuel de surveillance.
Ressources complémentaires
Pour en savoir plus :
- Site officiel de la CNDP – Certification GDPR-CARPA
- Site officiel de la CNDP – Agrément
- Lignes directrices de l’EDPB sur l’accréditation des organismes de certification
- Procédure d’agrément des organismes de certification
- Actualités juridiques – Chambre de Commerce Luxembourg
Besoin de conseils en matière de protection des données ? Explorez nos services en gestion des risques pour plus d’accompagnement`[2]`.
