Longtemps critiquée pour n’avoir adopté aucune sanction financière, la Commission nationale pour la protection des données (CNPD) prend une longueur d’avance. Dans un communiqué, le gendarme de la donnée annonce avoir mis en place une certification – une première en Europe pour un régulateur – qui permettra à tous les opérateurs, associations, institutions ou entreprises, de faire établir qu’ils respectent le Règlement général sur la protection des données et qu’ils ont bien mis en place toutes les mesures nécessaires dans le traitement qu’ils font des données personnelles.

«Les nombreux échanges de la CNPD avec des acteurs de l’audit depuis l’entrée en application du RGPD en 2018 ont aidé à déterminer l’intérêt et le type de certification sous le RGPD qui pourrait être utile pour l’écosystème luxembourgeois», indique le communiqué à propos de cette certification GDPR-Carpa. «En consultation avec ces acteurs, elle a développé . Ensuite, les critères de certification ont été examinés par ses homologues européens dans le cadre du mécanisme de cohérence européen et ont fait l’objet d’un avis émis par le Comité européen de la protection des données (CEPD).»

Au Luxembourg, la CNPD a également pour rôle d’agréer les organismes de certification RGPD. Les critères d'agrément des organismes de certification se basent sur la norme ISAE 3000 (audit), ISCQ1 (contrôle qualité des organismes d’audit) et le standard ISO 17065 (accréditation d’organismes de certification). Le caractère unique du schéma de certification de la CNPD, dit-elle, est qu’il repose sur un rapport ISAE 3000 Type 2 qui permet d’émettre une opinion sur la bonne mise en œuvre du dispositif de contrôle dans la durée, tout en engageant la responsabilité formelle de l’auditeur.