GDPR-CARPA: A Look at the GDPR’s first certification mechanism
Type de matériel :
TexteLangue : français Détails de publication : 2023.
Ressources en ligne : Abrégé : On 13 May 2022, the CNPD launched GDPR-CARPA as the first certification mechanism under the GDPR. It is a voluntary accountability tool designed to help Luxembourg controllers and processors demonstrate compliance of a processing activity under the GDPR. Applicants for certification under GDPR-CARPA must ensure that the relevant processing operations meet the CNPD’s certification criteria, which notably entails the appointment of a data protection officer and the implementation of a number of policies and procedures. Specifically accredited certification bodies will evaluate the application based on “reasonable assurance” and grant certification for a maximum period of three years. Participation in GDPR-CARPA, however, is set to be a sizeable investment in terms of time and resources. While some organizations may consider participation worth the investment, for instance, because they are regularly solicited by contractual partners to demonstrate their compliance or need assurance about a specific, high-risk processing activity, others may consider it too costly. Eventually, only time will tell whether GDPR-CARPA will be a success.Abrégé : Le 13 mai 2022, la CNPD a lancé GDPR-CARPA en tant que premier mécanisme de certification sous le GDPR. Il s’agit d’un outil de responsabilisation volontaire conçu pour aider les responsables du traitement et les sous-traitants luxembourgeois à démontrer la conformité d’une activité de traitement au regard du RGPD. Les candidats à la certification RGPD-CARPA doivent s’assurer que les opérations de traitement concernées répondent aux critères de certification de la CNPD, ce qui implique notamment la désignation d’un délégué à la protection des données et la mise en place d’un certain nombre de politiques et procédures. Des organismes de certification spécifiquement agréés évalueront la demande sur base d’une « assurance raisonnable » et accorderont la certification pour une période maximale de trois ans. La participation au GDPR-CARPA, cependant, s’annonce être un investissement considérable en termes de temps et de ressources. Alors que certaines organisations peuvent considérer que la participation vaut l’investissement, par exemple, parce qu’elles sont régulièrement sollicitées par des partenaires contractuels pour démontrer leur conformité ou ont besoin d’assurance concernant une activité de traitement spécifique à haut risque, d’autres peuvent la considérer comme trop coûteuse. Finalement, seul le temps dira si GDPR-CARPA sera un succès.
82
On 13 May 2022, the CNPD launched GDPR-CARPA as the first certification mechanism under the GDPR. It is a voluntary accountability tool designed to help Luxembourg controllers and processors demonstrate compliance of a processing activity under the GDPR. Applicants for certification under GDPR-CARPA must ensure that the relevant processing operations meet the CNPD’s certification criteria, which notably entails the appointment of a data protection officer and the implementation of a number of policies and procedures. Specifically accredited certification bodies will evaluate the application based on “reasonable assurance” and grant certification for a maximum period of three years. Participation in GDPR-CARPA, however, is set to be a sizeable investment in terms of time and resources. While some organizations may consider participation worth the investment, for instance, because they are regularly solicited by contractual partners to demonstrate their compliance or need assurance about a specific, high-risk processing activity, others may consider it too costly. Eventually, only time will tell whether GDPR-CARPA will be a success.
Le 13 mai 2022, la CNPD a lancé GDPR-CARPA en tant que premier mécanisme de certification sous le GDPR. Il s’agit d’un outil de responsabilisation volontaire conçu pour aider les responsables du traitement et les sous-traitants luxembourgeois à démontrer la conformité d’une activité de traitement au regard du RGPD. Les candidats à la certification RGPD-CARPA doivent s’assurer que les opérations de traitement concernées répondent aux critères de certification de la CNPD, ce qui implique notamment la désignation d’un délégué à la protection des données et la mise en place d’un certain nombre de politiques et procédures. Des organismes de certification spécifiquement agréés évalueront la demande sur base d’une « assurance raisonnable » et accorderont la certification pour une période maximale de trois ans. La participation au GDPR-CARPA, cependant, s’annonce être un investissement considérable en termes de temps et de ressources. Alors que certaines organisations peuvent considérer que la participation vaut l’investissement, par exemple, parce qu’elles sont régulièrement sollicitées par des partenaires contractuels pour démontrer leur conformité ou ont besoin d’assurance concernant une activité de traitement spécifique à haut risque, d’autres peuvent la considérer comme trop coûteuse. Finalement, seul le temps dira si GDPR-CARPA sera un succès.
Réseaux sociaux