Intervention de Nicole Belloubet

Le RGPD encourage la mise en place de mécanismes de certification pour faciliter la transparence et le respect du règlement, et permettre aux personnes concernées d’évaluer rapidement le niveau de protection des données offert par les produits et services proposés. Il s’agit donc d’une marge de manœuvre pour la délivrance de l’agrément des organismes certificateurs.

L’article 43 du RGPD prévoit en effet que cet agrément peut être délivré soit par l’autorité de contrôle – en France, il s’agit de la CNIL –, soit par l’organisme national d’accréditation – en France, le Comité français d’accréditation, le COFRAC –, soit par les deux.

L’objectif du Gouvernement est de mettre en œuvre cette marge de manœuvre pour qu’au 25 mai 2018 la CNIL et le COFRAC soient en mesure de répondre à une forte demande prévisible d’agréments ou de certifications de manière directe. Or la rédaction actuelle du projet de loi, qui crée un f bis à l’article 11 de la loi de 1978, ne répond pas totalement à cet objectif, car elle ne prévoit pas que le COFRAC puisse également agréer les certificateurs.

C’est la raison pour laquelle nous avons déposé cet amendement, qui vise à introduire cette possibilité, étant précisé que la CNIL restera à l’initiative du choix de l’autorité chargée de cet agrément – soit elle-même ou le COFRAC.

Le Gouvernement propose par la même occasion de supprimer la dernière phrase de l’alinéa 13 selon laquelle la CNIL « peut établir des exigences supplémentaires en matière de normes d’accréditation ». Cette mention, qui est déjà prévue à l’article 43 du règlement de 2016, ne nous semble en effet pas nécessaire.