JO du 14 avril 2022

Ce texte est pris en application de l’article 8 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui donne pouvoir à la Commission nationale de l’informatique et des libertés (CNIL) d’adopter les exigences d’un référentiel relatif à l’agrément des organismes de certification pour la certification des prestataires de formation à la protection des données à caractère personnel.

Il adopte le référentiel applicable aux organismes certificateurs qui souhaitent obtenir un agrément leur permettant de certifier les services des prestataires de formation à la protection des données.

Il prévoit que le Comité français d’accréditation (COFRAC) procède à l’agrément des organismes certificateurs. Dans ce cas, l’accréditation délivrée par le COFRAC tient lieu d’agrément au sens de l’article 8 de la loi Informatique et libertés.

Le référentiel fixe les exigences que ces organismes certificateurs doivent respecter pour obtenir leur agrément et les modalités d’accréditation.

A ce titre, il fait de l’obtention de l’accréditation selon la norme EN ISO/IEC 17065 et du dispositif de la formation professionnelle selon le décret n° 2019-565 du 6 juin 2019 un prérequis préalable au dépôt d’un dossier auprès du COFRAC.
L’organisme de certification candidat doit déposer un dossier de demande d’accréditation auprès du COFRAC ou de tout autre organisme d’accréditation signataire d’un accord de reconnaissance multilatéral.

Durant la période transitoire entre le dépôt de son dossier et l’obtention de l’accréditation, l’organisme de certification est autorisé à débuter son activité de certification sous réserve qu’il ait reçu une réponse favorable de l’instance nationale d’accréditation suite à la revue de sa demande d’accréditation, appelée recevabilité opérationnelle selon le règlement d’accréditation du COFRAC.

L’organisme de certification dispose d’une période maximale de 12 mois à compter de la date de la réponse favorable du COFRAC pour obtenir l’accréditation.