Méthodologie d'évaluation des schémas de certification de la protection des données
La méthodologie d’évaluation des schémas de certification (AMDPCS) est une méthode efficace pour évaluer et comparer la qualité et la fiabilité de divers schémas de certification sur la base de critères factuels. Il est axé sur les schémas de certification relatifs à la protection des données et à la conformité réglementaire, mais peut être adapté et étendu à d’autres catégories de schémas de certification. Il prend en considération différentes dimensions :
Exigences pour un shcéma de certification fiable
Pour qu’un schéma de certification soit digne de confiance et fiable, il doit répondre à plusieurs exigences essentielles :
- Validité juridique : est-elle formellement reconnue par la loi ? Il existe une différence fondamentale entre : (1) les critères développés en interne, (2) les critères développés par un organisme de normalisation, et (3) les critères qui ont été formellement et officiellement reconnus par la loi ou par l’autorité compétente en matière de protection des données comme étant légalement valides.
- Exhaustivité : couvre-t-il toutes les obligations ou comporte-t-il des lacunes ? Il peut être tentant pour un schéma de certification de ne se concentrer que sur une partie des obligations réglementaires. Cela peut rendre la certification plus facile à mettre en œuvre, mais constituer une faiblesse majeure exposant les entreprises à des risques juridiques, financiers et de réputation. Le nombre de contrôles est une bonne indication : plus ils sont complets, plus ils permettent de réduire efficacement les risques.
- Champ d’application : s’applique-t-il à tous les traitements de données ou seulement à certains d’entre eux ? Un schéma de certification peut être reconnu uniquement pour des rôles spécifiques (c’est-à-dire uniquement pour les responsables du traitement des données) et/ou des activités de traitement des données spécifiques. Plus le schéma est restreint, moins vous pouvez l’utiliser comme référentiel commun pour tous les traitements de données, et plus il sera coûteux de gérer des besoins hétérogènes.
- Portée géographique : dans quelle mesure le schéma est-il reconnu au niveau mondial ? Un schéma de certification peut être reconnu : (1) uniquement dans un seul pays, (2) sur un seul continent ou (3) sur plusieurs continents. Plus la portée géographique est grande, mieux c’est, car cela permettra d’étendre la reconnaissance de votre certification à un plus grand nombre d’autorités.
- Contrôle de conformité : exige-t-il une personne chargée du contrôle de conformité ? Une certification indique qu’une cible d’évaluation donnée était conforme aux critères du schéma au moment de l’audit. Pour garantir une conformité continue, il faut qu’au moins une personne soit chargée de cette tâche. Un schéma fiable exige la présence d’une telle personne au sein de l’organisation l’Applicant.
- Absence de dèpendance commerciale (lock-in) : vous permet-il de choisir entre plusieurs fournisseurs de services ? Un schéma de certification peut être développé par une seule entreprise commercialisant ses propes services. Il peut être fourni par quelques fournisseurs de services ou par un vaste écosystème de fournisseurs de services. Une position monopolistique de l’organisme de certification constitue un risque pour l’Applicant en termes de qualité de service, de coûts et de dépendance.
- Accès à la documentation : dans quelle mesure la documentation est-elle accessible ? La préparation à la certification nécessite l’accès à la formation, à la documentation et à l’assistance. Le manque de soutien ou de documentation peut entraver la capacité à préparer correctement une certification et augmentera le risque d’interprétation divergente entre les auditeurs et leurs clients.
- Soutien à la mise en œuvre : quel soutien pouvez-vous obtenir ? La préparation à la certification peut nécessiter une aide extérieure. Le manque de soutien externe peut entraver la capacité à préparer correctement une certification.
La spécification formelle de la méthodologie AMDPCS est disponible sur le site web de la communauté Europrivacy : https://community.europrivacy.com.