Les certifications et les codes de conduite permettent aux professionnels d’harmoniser leurs pratiques en matière de protection des données. Il en existe aujourd’hui une trentaine, qu’ils s’appliquent à l’échelle nationale ou européenne.

La certification : attester la conformité d’un produit, d’un service ou d’un traitement

Prévue à l’article 42 du RGPD, la certification « permet d’attester qu’un produit, un service ou un traitement de données satisfait aux critères de protection des données définis dans un référentiel préalablement approuvé »[1].

Les certifications peuvent concerner des organisations ou des personnes. Elles constituent une reconnaissance formelle du respect des exigences du RGPD et contribuent à la diffusion des bonnes pratiques.

Le code de conduite : un référentiel sectoriel approuvé

Le code de conduite, défini à l’article 40 du RGPD, est élaboré par des fédérations ou associations professionnelles. ll traduit les obligations du règlement en règles concrètes, adaptées aux différents secteurs d’activité. Son objectif est de permettre à l’ensemble des acteurs d’une filière de s’aligner sur des standards communs de protection des données. Une fois approuvé, des organismes de contrôle agréés sont chargés de s’assurer que ces engagements sont effectivement tenus par les professionnels qui s’y étaient engagés.

Deux cartes pour identifier les dispositifs disponibles

Pour aider les organisations à s’orienter parmi les outils disponibles, la CNIL a publié deux cartes recensant, pays par pays, les certifications et codes de conduite approuvés depuis l’entrée en application du RGPD, permettant d’identifier rapidement les dispositifs existants selon le domaine d’activité ou le pays concerné.

Les trois points clés à retenir

  • Les certifications et codes de conduite sont des outils de mise en conformité au RGPD reconnus à l’échelle nationale ou européenne.
  • La certification atteste qu’un produit, un service ou un traitement de données respecte un référentiel précis ; le code de conduite traduit les obligations du RGPD en règles sectorielles concrètes, contrôlées par des organismes agréés.
  • La CNIL met à disposition deux cartes afin d’identifier facilement les certifications et codes de conduite selon le domaine d’activité et le pays concerné.

[1] « Certifications et codes de conduite : la CNIL cartographie le déploiement des outils RGPD en Europe », CNIL, 14/01/26.