D’après la CNIL, la certification des documents d’entreprise est "un outil de conformité permettant de répondre aux besoins des professionnels qui souhaitent communiquer sur le niveau de protection des données offert par leurs produits, services, processus ou systèmes de données".
Il est important de noter que la certification des documents d'entreprise ne garantit pas la qualité ou la validité des informations contenues dans les documents, mais plutôt la vérification de l'authenticité des documents en question. Quid dès lors des critères d’une certification ?
- La CNIL peut décider d’élaborer les critères d’une certification.
- Les critères d’une certification peuvent aussi être élaborés par une entité publique ou privée qui sera la propriétaire du mécanisme de certification. Cela peut être une organisation spécialisée dans l’évaluation en matière de protection des données personnelles, une association de défense des consommateurs, une fédération sectorielle, un organisme représentant des catégories de responsables de traitement ou de sous-traitants, etc.
Dans tous les cas, les critères d’une certification, même élaborés par un organisme privé, doivent être approuvés par la CNIL (ou par le CEPD) pour en faire une certification au sens du RGPD ou de la loi Informatique et Libertés.
La certification des documents, un enjeu technologique important
La certification permet d’établir qu’un produit, un service, un processus ou un système de données a été évalué conformément aux critères d’un référentiel. Ces critères doivent être approuvés au préalable par la CNIL ou par le Comité européen de la protection des données. L’évaluation est effectuée par un tiers certificateur qui doit lui-même être agréé.
La Caisse des dépôts, EDF, Engie et La Poste ont développé une solution de certification documentaire. Basée sur la technologie blockchain et nommée Archipels, cette solution garantit non seulement la conformité ou la cohérence des données fournies mais aussi que le document est authentique, intègre et n’a pas été altéré.
La certification matérielle de signature, appelée aussi "légalisation", est une mesure administrative qui facilite, au plan international, la preuve de l'authenticité des actes ou documents établis conformément aux règles du droit interne tout en favorisant la production et l'admission de ces derniers à l'étranger.
Certification et RGPD : attention à la CNIL
Le certificat Certigreffe Digital proposé par le greffe du tribunal de commerce de paris agit sous forme de clé USB comme une carte d’identité électronique, et permet aux entreprises d’échanger tous leurs documents (devis, contrat, bons de commande) sur le web, en toute sécurité.
La CNIL a prononcé en 2022 une sanction de 250 000 euros à l’encontre d’Infogreffe (certifications et informations légales sur les entreprises) pour avoir manqué à plusieurs obligations du RGPD en matière de sécurité des données personnelles.
Quelles sont les avantages de la certification ?
La certification permet de :
- s’engager volontairement à respecter un socle commun d’exigences. Exemple: l’AFNOR propose des standards parfois légalement obligatoires pour les entreprises, les administrations ou les associations. Ces textes de référence peuvent aussi bien toucher les biens matériels qu'immatériels.
- être en capacité de démontrer sa conformité au RGPD sur un périmètre précis, celui de la certification obtenue.
- communiquer auprès du grand public et de ses partenaires à partir d’une marque de confiance.
- répondre aux besoins des micros, petites et moyennes entreprises en valorisant le résultat d’une démarche de mise en conformité au RGPD.
Pour tout savoir sur les solutions existantes et lutter efficacement contre la fraude, téléchargez l'édition 2023 du Supplément Archimag entièrement dédié à cette thématique.