Menu hamburger
Logo Certifopac Accueil
×Fermer

© Certifopac 2022, tous droits réservés.

Procédure de certification des organisme de formation à la protection des données

procédure certif

RGPD Pro 07 – Version 1 : Cette procédure de certification des OF RGPD est un projet, elle sera applicable lorsque Certifopac sera autorisé à commencer les activités d’évaluation et de certification. Nous contactez pour plus d’informations.

1. Objet

Le présent document vise à définir les exigences à satisfaire et le processus de certification des prestataires de formation à la protection des données à caractère personnel, selon les critères du référentiel de certification approuvés par la CNIL par la délibération n° 2020-139 du 3 décembre 2020.

Ce document constitue le processus de certification Certifopac dans son ensemble et a été soumis à l’approbation de la direction pour acceptation dans le système de certification.

CERTIFOPAC s’engage à élaborer un processus de certification garantissant un niveau approprié d’exigences pour la qualité des actions de formation à la protection des données.

2. Références et abréviations

Ce document s’applique en complément des documents suivants :

Références législatives annexes :

Références législatives et normatives incombant au certificateur :

  • Norme EN ISO/IEC 17065 : 2012 Évaluation de la conformité – Exigences pour les organismes certifiant les produits, les procédés et les services.
  • Document COFRAC Cert Inf. 04 Information relative à l’éligibilité d’un programme de certification au regard du code de la consommation
  • Document COFRAC Cert Ref. 09 Exigences spécifiques pour les programmes de certification
  • Document COFRAC CERT REF 50 : Exigences spécifiques pour l’accréditation des organismes procédant à la certification des prestataires de formation à la protection des données à caractère personnel
  • Article 4 de l’arrêté du 6 juin 2019 relatif aux modalités d’audit associées au référentiel RNQ concernant les actions de formation (pour les catégories d’action au L.6313-1-1° du code du travail).

Références internes complémentaires au programme de certification

3. Champ d’application de la procédure de certification des OF RGPD

Ce document s’applique à toutes les demandes de certification des prestataires de formation à la protection des données à caractère personnel selon les critères du référentiel de certification approuvé par la CNIL par la délibération n° 2020-139 du 3 décembre 2020.

4. Les étapes du processus de certification

4.1 Généralités

Le cycle de certification est d’une durée de 3 ans à partir de la date de délivrance du certificat. Le processus de certification se renouvelle automatiquement tous les 3 ans, sauf si vous ne nous avez pas préalablement notifié de la résiliation de votre contrat de certification dans les conditions prévues aux conditions générales applicables. Le cycle de certification comprend l’audit initial et l’audit de surveillance réalisé entre le 14ème et 22 ème mois à la suite de la décision de certification.

Le processus de certification comprend les étapes suivantes :

  1. La demande de certification
  2. La formalisation du contrat et engagement
  3. La revue de la demande
  4. La confirmation du dossier
  5. L’évaluation initiale
  6. La revue de l’évaluation
  7. La décision de certification
  8. La surveillance
  9. Le renouvellement

4.2 Demande de certification et analyse de la demande

Pour instruire la demande du client, CERTIFOPAC recueille toutes les informations suivantes via le formulaire en ligne Form 702 Demande de certification, disponible sur le site internet de CERTIFOPAC, à l’adresse www.certifopac.fr . Les informations renseignées sont les suivantes :

  • Le type de demande de certification (initiale, transfert);
  • La liste des formations à la protection des données à caractère personnel proposées;
  • La réalisation effective ou non d’au moins quatre formations relatives à la protection des données dans votre catalogue de formation (ou trois formations sur-mesure avec des objectifs de formation différents);
  • La liste des sous-traitants impliqués dans les prestations de formation à la protection des données;
  • Les secteurs d’activité, thématiques spécifiques ou type particulier d’opérations de traitement des données en lien avec les formations proposées;
  • La détention ou non de la certification Qualiopi;
  • La période souhaitée pour l’audit ;
  • Le numéro d’enregistrement de la déclaration d’activité;
  • L’effectif salarié et non salarié de la structure;
  • Le chiffre d’affaires de l’année n-1, concernant les formations à la protection des données à caractère personnel;
  • La raison sociale de l’organisme, le SIRET, l’adresse du siège social et les coordonnées d’un contact identifié et/ou responsable légal (Les informations relatives à la réalisation des prestations de formation, incluant l’adresse des lieux permanents de gestion, conception et réalisation des formations) ;
  • La présence de locaux en propre pour animer la prestation,
  • L’existence d’un accompagnement à la certification par une société de conseil auprès de l’organisme candidat,
  • La déclaration de liens d’intérêts avec la direction de Certifopac,
  • La capacité technique et l’accord tacite du client pour effectuer des audits à distance.

NB : Dans le cas où l’organisme est déjà certifié Qualiopi mais pas chez Certifopac, celui-ci transmets son dernier rapport d’audit, grille d’audit et son certificat en cours de validité.

Prérequis

Pour prétendre à la démarche de certification, le prestataire de formation à la protection des données doit disposer:

  • D’une preuve de son existence juridique (Extrait KBIS ou attestation INSEE)
  • Un numéro d’enregistrement de déclaration d’activité obtenu auprès de La DREETS.

A défaut du numéro d’enregistrement de la déclaration d’activité, il est possible de présenter la copie de la demande d’enregistrement de la déclaration d’activité datant de moins de trois mois. L’organisme candidat devra communiquer à CERTIFOPAC son numéro d’enregistrement de la déclaration d’activité dès réception de celui-ci, sans quoi le certificat ne pourrait être délivré ;

  • Organismes multisites : Fournir la liste exhaustive des sites dépendant du numéro d’enregistrement de la déclaration d’activité concernée ainsi que les adresses précises et actions concernées de chaque site.
  • Organismes localisés à l’étranger : Posséder une adresse en France et déclarer un représentant domicilié en France, qui sera obligatoirement présent lors de l’audit

4.3 Contractualisation, revue de la demande et planification de l’audit

Pour donner suite à la demande du client, CERTIFOPAC propose un Form RGPD 712 Contrat de certification établi sur les bases des informations recueillies lors de la demande.

Analyse de la demande

Lorsque le client renvoie son contrat de certification signé à CERTIFOPAC, celui-ci fait parvenir les documents suivants :

  • Une preuve de l’existence juridique de la personne morale ou physique concernée,
  • Le dernier bilan pédagogique et financier, le cas échéant;
  • Les preuves de certifications déjà obtenues, leur validité et périmètre ;
  • La preuve de validité de la certification Qualiopi obtenue,
  • La grille d’audit selon le référentiel Qualiopi si le prestataire est certifié,
  • La liste des formations à la protection des données à caractère personnel qu’il propose ainsi que, le cas échéant, les informations relatives à des secteurs d’activité ou des thématiques spécifiques ou encore à des types particuliers d’opération de traitement de données qu’il a identifié pour celles-ci ;
  • La liste des sous-traitants impliqués dans les prestations de formation à la protection des données ;
  • Les informations relatives à la réalisation des prestations de formation, incluant l’adresse des lieux permanents de gestion, conception et réalisation des formations

Certifopac vérifie la cohérence du Numéro d’Enregistrement de la Déclaration d’activité renseigné par l’organisme (lorsque le client dispose d’un numéro de déclaration d’activité) en recherchant celui-ci dans la liste publique des organismes de formations disponible sur la liste publique des organismes de formations disponible ici.

Une fois l’ensemble des documents reçus, la revue de la demande peut être effectuée afin de garantir que :

  • Les informations sur les besoins clients sont suffisantes et cohérentes pour permettre la réalisation du processus de certification ;
  • Toute divergence d’interprétation identifiée entre CERTIFOPAC et le client est résolue, y compris l’accord concernant les textes de référence à la certification (Voir 2.1) ;
  • Les moyens permettant de réaliser toutes les activités d’évaluation sont disponibles ;
  • CERTIFOPAC a la compétence et la capacité nécessaires pour réaliser l’activité de certification.

Décision d’entreprendre la certification

Sur la base des éléments reçus, le chargé de demande et de planification réalise un examen documentaire consistant à apprécier la cohérence de la demande client. Une décision de recevabilité peut être prise si toutes les exigences documentaires du dossier de certification sont satisfaisantes. Le client est informé de cette décision par mail. CERTIFOPAC prend la responsabilité d’entreprendre ou non la certification et justifie son choix

Certifopac s’assure que le personnel impliqué dans les procédures d’évaluation, de revue et de prise de décision de certification :

  • N’intervient pas en tant que concepteur du contenu des formations, concepteur des modalités d’évaluation ou formateur pour l’une des formations à la protection des données de l’organisme demandeur
  •  N’est pas affilié à l’organisation, ni n’appartient au même groupe que l’organisme demandeur ;
  • N’ait pas réalisé de formation à la protection des données effectuée par l’organisme demandeur depuis au moins 2 ans.

Le processus de certification ne peut pas être mis en œuvre dans les cas suivants :

  • Une non-conformité avérée à la réglementation générale en vigueur relative à la formation professionnelle
  • Un conflit d’intérêt pouvant nuire à l’impartialité de nos décisions
  • Une situation géographique présentant une impossibilité technique, ou un risque pour les intervenants
  • L’absence de personnel qualifié pour répondre à vos spécificités
  • Un refus de certification d’un autre organisme certificateur datant de moins de 3 mois.
  • Une rupture de contrat à la suite d’une décision de la part de CERTIFOPAC de moins de 3 ans

Le client est notifié par e-mail de la décision d’entreprendre la certification et la décision est tracée dans le dossier client accessible via l‘application interne de Certifopac.

Choix de la date d’audit

Après accord de recevabilité et signature du contrat de certification, CERTIFOPAC propose, après réception du contrat conclu avec le client, une date de réalisation de l’audit en tenant compte de la période de réalisation de l’audit souhaitée par le client.

Evaluateurs

CERTIFOPAC sélectionne un ou plusieurs évaluateurs. La composition de l’équipe d ’évaluation avec les éventuels observateurs est portée à la connaissance du client.

L’organisme demandeur doit informer Certifopac si l’un des membres de l’équipe d’évaluation a un lien d’intérêt avec lui et/ou a réalisé toute activité professionnelle dans les deux dernières années (formation, conseil) dans un sens comme dans l’autre.

Des observateurs peuvent accompagner l’équipe d’évaluation : évaluateur en formation, personnels CERTIFOPAC, évaluateurs COFRAC et CNIL, etc. Pour plus d’informations, consultez la rubrique « Obligations clients » de nos CGV.

L’évaluateur est choisi parmi les évaluateurs qualifiés par CERTIFOPAC. Le client est informé huit jours minimums avant l’audit du nom de l’évaluateur et celui-ci peut récuser une fois l’évaluateur sur la base de justifications pertinentes.

Récusation

Lorsque l’équipe d’audit est portée à la connaissance du client, celui-ci dispose de 5 jours maximum pour accepter ou récuser une partie ou l’intégralité de l ’équipe d’évaluation. Passé ce délai sans réponse du client, l’équipe d’évaluation proposée est réputée comme étant acceptée définitivement.

En cas de récusation, le client doit motiver son refus par des raisons valables par courrier ou e-mail. CERTIFOPAC évalue la pertinence des motifs évoqués. S’ils sont acceptés, il informe l’ensemble des intéressés et propose une nouvelle équipe.

Planification de l’audit

L’évaluateur missionné par CERTIFOPAC établit et communique un plan d’audit. Ce plan détermine

  • Le périmètre de l’audit ;
  • Les noms des personnes à rencontrer ;
  • Les critères du référentiel concernés par l’audit ;

Le plan d’audit permet d’organiser l’évaluation d’une manière logique, d’en préciser la chronologie, la durée, les interlocuteurs principaux, en prenant en compte les critères à évaluer.

Modalité de l’évaluation (sur site ou à distance)

CERTIFOPAC réalise l’audit dans les locaux du client. Toutefois, dans le cas où celui- ci ne dispose pas de locaux dédiés à l’accomplissement des actions, les parties peuvent convenir du lieu de réalisation de l’audit.

Lorsque l’évaluation est réalisée en complément d’une certification préexistante selon le référentiel RNQ (ou lorsque qu’elle est réalisée simultanément en vue d’obtenir la certification RNQ), CERTIFOPAC peut réaliser l’évaluation des critères de certification approuvés par la CNIL à distance, sous réserve que les conditions de prise en compte de la certification RNQ soient respectées.

Lorsque l’évaluation à réalisé à distance, l’annexe 1 de la procédure de certification Qualiopi s’applique (Annexe 1 – Modalités de réalisation des audits à distance)

Durée de l’audit

La durée de l’audit se calcule en fonction des règles applicables au calcul des durées de l’audit définies à l’article 4 de l’arrêté du 6 juin 2019 relatif aux modalités d’audit associées au référentiel RNQ concernant les actions de formation (pour les catégories d’action au L.6313-1-1° du code du travail).

La durée est calculée en fonction :

  • Du chiffre d’affaires de l’année n-1, concernant les formations à la protection des données à caractère personnel
  • Du volume de formation relatif à la protection des données proposé
  • Du volume de formations sur-mesure relatif à la protection des données réalisé
  • De l’existence d’une certification RNQ valide
  • De la possibilité de réaliser un non un audit conjoint

Pour l’évaluation initiale ou en renouvellement, à la durée calculée selon les modalités RNQ précitées (initial ou renouvellement), s’ajoute à minima 1 jour d’évaluation pour :

  • Les prestataires de formation non certifiés selon le référentiel RNQ ;
  • Les prestataires certifiés selon le référentiel RNQ et qui proposent plus de 3 formations relatives à la protection des données dans leur catalogue de formation (ou qui ont déjà réalisé 3 formations sur-mesure avec des objectifs de formation différents).

En surveillance, à la durée calculée selon les modalités RNQ précitées (surveillance), s’ajoute à minima 0,5 jour d’évaluation selon les mêmes conditions (à savoir pour les prestataires de formation non-certifiés RNQ et pour les prestataires certifiés avec plus de 3 formations).

La durée prévue pour les différents audits peut être révisée afin de prendre en compte les caractéristiques et changements au sein de l’organisme (extension ou réduction de la portée de certification, etc…), mais aussi tout changement inhérent aux règles de certifications fixées par le législateur, le COFRAC ou CERTIFOPAC.

CERTIFOPAC a défini des règles de calcul de la durée d’audit consultable ici.

Outils à disposition du client

Afin de mener à bien les tâches d’évaluations, Certifopac met à la disposition du client un accès personnel à l’application interne https://app.Certifopac.fr. Cette application permet de :

  • Suivre l’avancement de son dossier
  • Consulter le plan d’audit
  • Déposer des documents
  • Consulter les résultats de l’audit
  • Télécharger son rapport et son certificat
  • Consulter tous les documents liés à la démarche de certification.

4.4 Evaluation

Déroulement

L’analyse des éléments de preuves permettant d’attester la conformité au référentiel est basée sur l’échantillonnage des dites preuves par critères, et ce pour tous les critères évalués.

L’absence de preuve le jour de l’audit fait l’objet d’une non-conformité. Les conclusions de l’audit sont transmises au client selon la procédure et le délai prévus par CERTIFOPAC.

La réalisation de l’audit s’effectue selon les étapes suivantes :

Réunion d’ouverturePrésentation de l’évaluateur et des audités : responsabilités, tour de table, etc. Présentation des objectifs : contexte, enjeux de l’audit, rappel de la mission, rappel des décisions à venir liées à l’audit, etc. Confirmation du plan d’audit : disponibilité des audités, durée, organisation, etc. Donner le ton : définir l’audit et les valeurs d’objectivité, de transparence et confidentialité en créant un climat de confiance et mettre à contribution l’ensemble des audités. Montrer la valeur ajoutée du principe d’audit
Interview, prise de notes, recueil des preuvesQuestionner via des questions claires, courtes, pertinentes, ouvertes, investigatrices, inversées, permettant la constatation. Observer les activités et les situations afin d’enregistrer les preuves, formuler la constatation avec l’accord de l’audité. Recouper les informations en effectuant un échantillonnage (personnes, documents, dossiers de formation). Formuler et structurer les écarts potentiels et les faire valider par l’audité.
Réunion de clôtureConclure avec les représentants de l’organisme en formalisant les éventuelles non-conformité mineures et Majeures. Donner si besoin les attentes de CERTIFOPAC pour la levée des non-conformités par la mise en place de plan d’action et d’actions correctives. Préciser les attentes de CERTIFOPAC par rapport à la communication post audit et au plan d’action.

Transmission du rapport d’audit

Dans le cas où aucune non-conformité n’a été détectée, Certifopac procède à la revue des éléments du dossier d’évaluation et envoie le rapport d’audit au client avant de procéder à la revue de certification.

Dans le cas où des Non-Conformités sont identifiées lors de l’audit, puis sont levées par la suite ou lorsque leur nombre et leur gravité le permet (cas réglementaires), Certifopac transmet le rapport d’audit au client. Certains cas peuvent mener Certifopac à avoir un délai supplémentaire pour transmettre le rapport d’audit, notamment dans le cadre de la revue systématique du dossier du client.

L’audit est considéré comme réalisé lorsque le rapport d’audit est envoyé au client par CERTIFOPAC.

Le rapport fait état des éléments suivants :

  • Le rappel de la mission : objectif, champ audité, critères d’audit, date et durée,
  • L’identification des auditeurs et des représentants de l’organisme,
  • La liste des formations à la protection des données proposées et/ou réalisées,
  • La liste des formations échantillonnées,
  • Le plan d’évaluation (incluant les mises à jour réalisées pendant l’évaluation),
  • Les références aux documents et enregistrements examinés,
  • La fonction des personnes ayant fait l’objet d’un entretien,
  • Une description des non-conformités qui identifie les critères de certification qui ne sont pas atteints et qui évalue la sévérité et la portée des non-conformités
  • Les constatations présentées en réunion de clôture ainsi que les éventuelles non-conformités,
  • Les dates d’envoi et de revue du plan d’action associé aux non-conformités,
  • La date de finalisation du rapport,
  • Les non-conformités identifiées : type (Mineure, Majeure) et nombres
  • L’avis de l’évaluateur sur la délivrance de la certification

4.5 Traitement des non-conformités

Définition

Une non-conformité est un écart par rapport à un ou plusieurs critères du référentiel. Elle peut être mineure ou majeure. Chaque non-conformité constatée lors de l’audit est reportée sur la grille d’audit de l’évaluateur : elles sont directement définies en fonction des réponses aux questions posées par l’évaluateur, et de la pertinence des preuves présentées par l’organisme, au regard des exigences du référentiel.

La Non-conformité mineure consiste à la prise en compte partielle d’un critère ne remettant pas en cause la qualité de la prestation délivrée.

La Non-conformité majeure consiste en la non-prise en compte d’un critère ou l’absence de preuves attestant de la conformité du critère.

Traitement d’une non-conformité Mineure

L’organisme doit transmettre à Certifopac un plan d’action (propositions d’actions correctives) sous un délai de 15 jours ouvrés maximum après la date de mise à disposition des non-conformités par Certifopac. Si les propositions sont conformes, Certifopac valide le plan d’action et la mise en œuvre de celui-ci sera vérifiée par l’évaluateur à l’audit suivant.

L’organisme dispose de 6 mois, à la suite de la transmission du plan d’action pour mettre en œuvre ses actions correctives.

Traitement d’une non-conformité Majeure

L’organisme doit transmettre à Certifopac un plan d’action (propositions d’actions correctives) sous un délai de 15 jours ouvrés maximum après la date de fin d’audit. Si les propositions sont conformes, Certifopac valide le plan d’action.

L’organisme dispose de 3 mois, après la date de mise à disposition des non-conformités par Certifopac, pour mettre en œuvre ses actions correctives. Celles-ci doivent être vérifiées par Certifopac.

A défaut de mise en œuvre des actions correctives, la certification n’est pas délivrée ou est suspendue. La suspension de la certification est levée par CERTIFOPAC à la suite de la réception des preuves permettant de constater le retour en conformité par le prestataire et le solde des non-conformités majeures.

A défaut de mise en œuvre des actions correctives dans un délai de trois mois après la suspension, la certification est retirée ou elle n’est pas délivrée. Elle nécessite alors la réalisation d’un nouvel audit initial de certification.

NB : Sur décision de Certifopac, la vérification du traitement des non-conformités peut donner lieu à la réalisation de vérifications complémentaire, à distance ou sur site, voir CGV rubrique « Frais Annexes ».

A la suite de l’audit, et dans une volonté d’harmonisation du processus, le vérificateur, désigné par CERTIFOPAC, centralise toutes les informations relatives à l’audit et s’assure de la concordance et de la pertinence des informations données au client entre la tenue de celui-ci et la revue de certification.

Précision sur l’étape de proposition et vérification du plan d’action

Certifopac met à disposition après la date de réalisation de l’audit, le descriptif des Non-Conformités sur son application, onglet « Traitement Post-audit ». Le client recevra également un mail à cet effet pour accéder à ses écarts.

Par la suite, l’évaluateur reste le seul responsable du traitement des non-conformités identifiées.

L’organisme audité dispose de 15 jours ouvrés après la date de fin de l’audit pour adresser son plan d’action qui permettra par la suite de les corriger. Il remplit ses propositions d’actions directement dans l’onglet dédié sur l’application d’audit

Chaque Non-Conformité listée sur l’onglet « Traitement Post Audit » reprend les éléments suivants : Site concerné, catégorie d’action, indicateur concerné, criticité, libellé, risque.

Le plan d’action de l’organisme doit comprendre :

  • La proposition d’action corrective des écarts constatés,
  • Les délais de réalisation de l’action corrective,
  • Le ou les pilotes chargés de la mise en œuvre de l’action corrective,

Lorsque l’organisme a complété toutes ses propositions d’actions pour l’ensemble de ses Non-Conformités, l’évaluateur les vérifie dans les plus brefs délais afin de les valider. Ce délai ne dépasse généralement pas 5 jours ouvrés mais peut s’avérer plus long en fonction de la gravité et du nombre de non-conformités à vérifier. Si le plan d’action ne répond pas aux écarts, l’évaluateur pourra demander une nouvelle proposition à l’organisme.

Lorsque l’organisme transmet ses propositions d’actions, celui-ci dispose du temps réglementaire pour lever les Non-Conformités Majeures et/ou Mineures devant être levées.

Le Non-Respect du délai de transmission du plan d’action de l’organisme audité à Certifopac peut entrainer une vérification complémentaire ou une rupture de contrat.

Dans le cas où Certifopac accepte de traiter un plan d’action transmis après le délai fixé, le délai pour lever les Non-Conformité Majeures, lui, sera de 3 mois à compter de la date de mise à disposition des écarts par Certifopac.

Tout refus de traitement d’un plan d’action client transmis hors délai sera justifié par un délai de vérification et de traitement trop court pour Certifopac (exemple, plan d’action transmis deux mois et demi après audit).

NB : Les actions correctives proposées doivent être pertinentes et exhaustives afin de permettre la poursuite du processus de certification. Dans le cas contraire, l’évaluateur se réserve le droit de demander de nouvelles propositions d’actions correctives. En fonction des évaluations supplémentaires nécessaires pour vérifier la correction des non-conformités, CERTIFOPAC peut être amené à réaliser un nouvel audit sur site ou à distance.

Précision sur l’étape de mise à disposition et vérification des preuves

L’organisme peut joindre ses éléments de preuves directement dans l’application de Certifopac. L’évaluateur les aura à disposition afin de les étudier.

Lorsque toutes les preuves sont jointes, l’évaluateur analyse la pertinence de celles-ci afin de se prononcer sur la levée ou la requalification des écarts. Si les preuves ne sont pas suffisantes, l’évaluateur préviendra le client, et précisera les motifs ne permettant pas d’accepter les preuves. Un nouvel envoi sera demandé au client.

Lorsque l’ensemble des preuves est validé, l’évaluateur lève les Non-Conformités directement sur l’application.

Généralités

Une certification peut ne pas être délivrée, suspendue ou retirée, au regard de la gravité et/ou du nombre ou de la récurrence de non-conformités détectées, dans le cas de non-conformités majeures non levées sous trois mois ou de non-conformités mineures déjà détectées pour lesquelles l’organisme n’a pas proposé ou mis en œuvre des actions correctives efficaces.

Dans le cas où une ou plusieurs non-conformités sont constatées, et si le client souhaite poursuivre le processus de certification, celui-ci reconnait lors de la signature de son contrat accepter les modalités prévues dans les CGV concernant les éventuels frais complémentaires (en fonction du nombre de non-conformités à traiter). Certifopac fournira tous les éléments de compréhension permettant au client de continuer la démarche en connaissance de cause.

Si le client ne souhaite pas continuer la démarche, Certifopac procédera à la rupture du contrat de certification conformément aux conditions contractuelles.

Lorsque l’évaluation est réalisée en complément du résultat d’une certification RNQ :

CERTIFOPAC s’assure de la conformité du prestataire de formation aux critères de certification approuvés par la CNIL en :

  • analysant la grille d’audit Qualiopi du prestataire selon le référentiel RNQ
  • documentant ses propres constats (en faisant référence aux résultats pertinents de la grille d’audit préexistante et en réalisant ses propres constatations lorsqu’elles sont nécessaires pour l’évaluation des critères complémentaires du référentiel de certification approuvé par la CNIL.)

Si des écarts par rapport aux constats de la grille d’évaluation de la certification RNQ sont identifiés par CERTIFOPAC lors de l’évaluation des critères complémentaires approuvés par la CNIL, l’évaluation est étendue aux critères de certification concernés.

4.6 Revue de l’évaluation

Le rapport d’audit ainsi que les éventuelles propositions d’actions correctives et preuves sont mis à disposition pour étude au chargé de revue de Certifopac, qui s’assurera de la pertinence des éléments validés. Celui-ci, sur la base du plan de d’action établi par l’évaluateur, et au vu des éléments constitutifs du rapport d’audit et de tout autre document en lien avec le dossier client, transmet son avis sur la décision de certification.

4.7 Décision de certification

La décision de certification par CERTIFOPAC n’excède pas 3 mois à compter de la fin de l’évaluation (dernières constatations) – sauf circonstances exceptionnelles : cas de force majeure ayant retardé la décision de certification.

Une décision de certification ne peut être prise que si les exigences de certification sont satisfaites et les conditions suivantes respectées :

  • Validation du plan d’action pour toutes les Non-Conformités par Certifopac ;
  • Nombre de Non-Conformités Majeures égal à 0 ;
  • Respect des délais réglementaires pour lever ses Non-Conformités par le biais de preuves pertinentes (levée sous 3 mois après la date d’audit) ;
  • Certification RNQ toujours valide si le prestataire est audité en tant que certifié RNQ ;
  • La personne prenant la décision de certification n’a pas été impliquée directement ou indirectement dans le processus d’évaluation.

Décision favorable :

Si la décision de certification est favorable, CERTIFOPAC fait parvenir au client ses documents de certification.

Le certificat du client, bien qu’envoyé par mail, sera directement accessible depuis son espace personnel sur l’application d’audit de Certifopac.

Refus de certification :

Si la décision de certification est défavorable, CERTIFOPAC en informe le client en en précisant les raisons. Le contrat de certification est rompu de plein droit. Si le client souhaite réitérer le processus de certification, un nouveau dossier de certification devra être mis en place en recommençant la démarche à zéro, sous respect du délai légal de 3 mois pour une nouvelle demande de certification après un refus.

Selon la décision de certification, les mesures appropriées, sous conditions, peuvent être (liste non exhaustive) :

  • La poursuite de la certification sous condition
  • La réduction de la portée de la certification
  • La suspension de la certification
  • Le retrait de la certification
  • La rupture du contrat

Un refus de certification peut être prononcé dans les cas suivants :

  • Un nombre trop important de non-conformités non levées à l’issue des délais légaux ;
  • Des non-conformités majeures qui subsistent ;
  • Une absence de proposition de plan d’action et de corrections ;
  • Refus du client de continuer les démarches de traitement des non-conformités après l’audit initial ;

4.8 Documents de certification

En cas de décision positive de certification, le client reçoit son certificat établi conformément à la réglementation. Le certificat délivré par CERTIFOPAC comporte les informations suivantes :

  • La raison sociale de l’organisme
  • La ou les adresses des sites de l’organisme
  • La date de début de validité de la certification et sa date d’échéance
  • Le nom de l’organisme certificateur
  • [JM3] 
  • Le numéro d’enregistrement de la déclaration d’activité de l’organisme
  • La référence au programme de certification, mentionné en partie 2 de ce document.
  • La référence à la procédure de certification Pro RGPD 07 de CERTIFOPAC en vigueur le jour de l’audit

4.9 Annuaire des clients certifiés, suspendus, résiliés et retrait de la certification

CERTIFOPAC tient à jour dans son application interne d’audit son annuaire des clients certifiés, suspendus, résiliés, ayant fait l’objet d’un retrait de la certification, ainsi que toutes autres informations sur les certifications délivrées, à savoir :

  • L’identification du client.
  • Les normes et autres documents normatifs selon lesquels la conformité a été certifiée ;
  • Les dates de validation et d’expiration du certificat
  • Une référence à la version des critères de certification qui ont été utilisés pour l’évaluation ;
  • L’état de validité de la certification : en cours (pas encore délivrée), délivrée (certification initiale), renouvelée, expirée, résiliée, suspendue ou retirée ;
  • La date à laquelle la certification a été délivrée (ou renouvelée) ;
  • Les dates auxquelles les activités de surveillance ont été réalisées ;
  • La date d’échéance ou d’expiration de la certification, ou la date à laquelle la certification a été résiliée, suspendue ou retirée

CERTIFOPAC fournit sur demande les informations relatives à la validité d’une certification donnée. De plus, CERTIFOPAC communique à la CNIL les informations permettant de connaitre le statut de la certification pour l’ensemble de ses clients.

4.10 Surveillance et renouvellement

Surveillance

L’audit de surveillance est réalisé entre le 14e et le 22e mois suivant la date d’obtention de la certification.

Il permet de vérifier, une fois la certification délivrée, que le référentiel en vigueur est toujours appliqué au moment de l’audit de surveillance. Le cas échéant, l’audit de surveillance peut donner lieu au constat de non-conformité(s) avec le référentiel.

Une attention particulière est prêtée aux non-conformités identifiées lors du précédent audit ainsi qu’à l’efficacité des actions correctives et des mesures préventives du plan d’action mises en place.

Dans le cas où une non-conformité mineure identifiée lors de l’audit initial n’a pas été traitée et remise en conformité selon le plan d’action proposé à l’issue de l’audit initial, cette dernière fera l’objet d’une non-conformité majeure pouvant entraîner une suspension de certification, ou un retrait de certification dans le cas où celle-ci n’est pas traitée dans les délais réglementaires impartis.

L’évaluateur conduit l’analyse :

  • Des éléments administratifs relatifs à l’activité de l’organisme
  • De la conformité au référentiel par l’analyse d’une ou plusieurs actions conduites depuis le précédent audit
  • Une évaluation des changements qui ont été appliqués au processus de formation et à l’offre de formation depuis la précédente évaluation et leur impact potentiel sur la conformité aux critères de certification ;
  • Une évaluation des critères de certification dont les modalités de mise en œuvre ont été évaluées lors du précédent audit mais pour lesquelles la mise œuvre effective n’était pas applicable, par exemple du fait qu’une formation portant sur un secteur particulier était proposée par le prestataire de formation mais n’avait pas encore été réalisée ;
  • L’évaluation de la mise en œuvre de mesures prévues par le plan d’action résultant de la précédente décision de certification (voir les exigences des §7.4 et §7.11 du présent référentiel) ;
  • Une évaluation approfondie de critères de certification sélectionnés à partir des risques de non- conformités observés lors des précédentes évaluations (mais qui n’ont pas fait l’objet d’un constat de non-conformité). Par exemple, une évaluation peut être approfondie par : l’analyse en quantité plus importantes d’éléments de preuve (formation, contrats, interviews, etc.) afin de consolider les constats déjà établis ;
  • L’analyse des enregistrements récents afin de s’assurer que les constats établis restent valides dans le temps, par exemple une évaluation de la conformité aux critères de certification d’une ou plusieurs formations réalisées depuis la précédente évaluation ;
  • L’analyse des enregistrements dans différents contextes de mise en œuvre des formations (ex : évaluation dans d’autres locaux physiques du prestataire de formation, de certains processus de formation particulièrement personnalisés) afin de s’assurer que les constats établis sont cohérents.
  • Des actions conduites dans le cadre de la démarche d’amélioration de l’organisme.

L’audit de surveillance est réalisé à distance. Il est réalisé sur site dans les cas suivants :

  • Signalements conformes aux règles de réclamations définies par CERTIFOPAC ;
  • Résultats d’une analyse de risque issue de l’audit précédent, qui prend en compte les éléments suivants :
  • Changements importants chez le client ;
  • Non-conformités mineures ou majeures nécessitant la vérification de la mise en œuvre sur site ;
  • Préconisations du chargé de la demande à la suite de l’analyse de risque issue de la revue de la demande
  • Préconisations de l’évaluateur à la suite de la réalisation de l’audit précédent

La surveillance se base également sur la vérification de toute modification des exigences de certification. A ce titre :

CERTIFOPAC informe le client dans un délai de 30 jours après modification des exigences réglementaires

Le client informe CERTIFOPAC sans délai des modifications prévues dans son système qualité ou dans les catégories d’actions à certifier.

En complément des évaluations régulières, CERTIFOPAC met en place les mesures de surveillance nécessaire au maintien de la certification en :

  • S’assurant que les informations relatives à la certification sont actualisées
  • Organisant une évaluation complémentaire lorsque cela est proportionné au risque (si l’organisme a reçu une ou plusieurs réclamations, si des pratiques non-conformes ont été rendues publiques, si cela est nécessaire pour fournir à la CNIL les informations demandées relatives à la conformité aux exigences d’agrément du présent référentiel).

CERTIFOPAC tient à jour dans son application d’audit interne les résultats de son activité de surveillance pour chaque certification, y compris ses conséquences lorsque la surveillance aboutit à une décision de suspension ou de retrait de la certification.

Pour consulter nos modalités de réalisation des audits à distance, se référer à l’annexe 1.

Renouvellement de la certification

Le renouvellement de la certification suppose la réalisation d’un audit de renouvellement avant la date d’échéance du certificat. Cet audit donne lieu à l’obtention d’un nouveau certificat. La décision de renouvellement doit intervenir avant l’expiration de la certification. En cas de renouvellement, la nouvelle décision de certification prend effet le lendemain de la date d’échéance du précédent certificat.

NB : le souhait du client du renouvellement de sa certification génère un nouveau contrat de certification pour le nouveau cycle à venir.

NB : La décision de renouvellement de la certification génère un nouveau document de certification avec les dates de validité et d’expiration mises à jour.

4.11 Actions complémentaires

Un examen ou une évaluation supplémentaire peuvent être déclenchés pour :

  • Vérifier la prise en compte documentaire et/ou la mise en application d’une ou plusieurs exigences spécifiées,
  • Recueillir des compléments d’information nécessaires pour prononcer une décision de certification,
  • Instruire une plainte,
  • Lever la suspension d’une certification suspendue,
  • Instruire les demandes d’extension du périmètre de certification pouvant remettre en cause la pérennité de la certification
  • Instruire les demandes de transfert de certification.

L’organisme s’engage à donner son accord pour la réalisation des tâches d’évaluation supplémentaire.

5. Changements ayant des conséquences sur la certification

Changements dans le programme de certification (nouvelles exigences ou révisions d’exigences)

CERTIFOPAC informe le client des modifications apportées aux documents composant le processus de certification, les exigences du référentiel de certification, les modalités de mise en œuvre et met à votre disposition la version actualisée de ces documents sur le site internet de CERTIFOPAC.

Selon les cas, les dispositions modifiées seront d’application immédiate ou des mesures de transition pourront être mises en place par CERTIFOPAC.

Il est de la responsabilité de l’organisme certifié de planifier dans les délais fixés par CERTIFOPAC et mettre en œuvre les changements et de celle de CERTIFOPAC d’en vérifier la mise en application.

Si les changements ne sont pas mis en œuvre, CERTIFOPAC peut notifier le client des non-conformités qui, si elles ne sont pas résolues, peuvent entraîner une réduction, suspension ou même un retrait de votre certification.

  • Changements appliqués au processus de formation et/ou à l’offre de formation qui sont susceptibles d’avoir un effet sur la conformité aux critères de certification approuvés par la CNIL ;
  • Modifications apportées à la réglementation relative à la protection des données à caractère personnel lorsqu’elles sont susceptibles d’avoir un effet substantiel sur le contenu des formations proposées ;
  • Décisions ou avis contraignants du CEPD et/ou de la CNIL en lien avec le contenu de l’offre de formation ;
  • Décisions de justice en matière de protection des données à caractère personnel portées à la connaissance de CERTIFOPAC lorsqu’elles sont susceptibles d’avoir un effet substantiel sur le contenu de l’offre de formation.

Autres changements

Il est de la responsabilité de l’organisme certifié d’informer CERTIFOPAC sans délai de tout changement qui peut avoir des conséquences sur la conformité aux exigences de certification. Ces changements peuvent être par exemple :

  • Une évolution de structure (changement de propriété, de statut…)
  • Une modification dans l’organisation et de la gestion
  • Des changements apportés à la conception ou à l’animation des formations : présentiel, FOAD,
  • Un changement de coordonnées, de gérance
  • Etc.

Ces modifications pourront, le cas échéant, entraîner une remise en question de la certification (modification de la portée du certificat, suspension, retrait …) et conduire éventuellement à la réalisation d’un audit supplémentaire (cas de nouvelles actions de formation par exemple).

6. Modification de la certification

Si la certification est résiliée (à la demande du client), suspendue, retirée ou reportée, CERTIFOPAC doit prendre les mesures suivantes et apporter toutes les modifications nécessaires aux documents officiels de certification, aux informations destinées au public, aux autorisations d’utilisation des marques, etc. pour garantir qu’aucune mention n’indique que le service est toujours certifié. Enfin, CERTIFOPAC mettra à jour sa liste de certifiés.

6.1 Résiliation de la certification

Le client a la possibilité de demander à tout moment l’arrêt de la certification.

Dans le cas où le client souhaite arrêter la certification de la totalité de ses services et résilier dans le même temps son contrat, il doit le faire dans le respect des conditions définies dans les Conditions Générales de Vente et de Certification. L’arrêt de la certification et la résiliation du contrat le cas échéant, entraîne la fin de validité automatique des documents de certification.

En conséquence, à compter de la date d’arrêt de la certification (et de la résiliation du contrat le cas échéant), le client ne peut plus faire référence à la certification. CERTIFOPAC notifie la résiliation en mettant à jour la liste de ses clients certifiés auprès de la CNIL dans un délai de 30 jours calendaires à compter de la date de résiliation et sur son annuaire des certifiés.

6.2 Suspension de la certification

Lorsqu’il existe des soupçons sur le fait que le client mette sur le marché ou a l’intention de mettre sur le marché une prestation non conforme au référentiel et faisant référence à la certification, CERTIFOPAC peut, à titre provisoire, suspendre la certification. Avant de prendre une décision de certification en ce sens, CERTIFOPAC en informe le client et l’invite à lui présenter ses observations.

Pendant le cycle de certification

CERTIFOPAC peut décider de la suspension de la certification impliquant l’interruption de la certification pendant une période déterminée jusqu’à mise en conformité.

CERTIFOPAC informe le client et lui communique les actions nécessaires pour lever la suspension et rétablir la certification conformément au programme de certification, et toutes autres actions exigées par le programme de certification.

CERTIFOPAC informe le prestataire des options dont il dispose pour faire appel de cette décision, des moyens et des délais dont il dispose pour effectuer ce recours.

Dans tous les cas, l’organisme certifié ne peut plus faire mention de la certification jusqu’à la résolution de la non-conformité.

Dans le cas où le client souhaite suspendre son activité de prestataire de formation à la protection des données à caractère personnel, CERTIFOPAC offre la possibilité de suspendre le parcours de certification pendant un ou deux semestres, le contrat de certification étant maintenu sur cette période. La notification du report doit être faite à CERTIFOPAC dès que possible.

Pendant cette période, la certification n’est plus valide. Le client n’est donc plus autorisé à mentionner la certification délivrée par CERTIFOPAC, quel que soit le support de communication (site internet, documents de communication…).

CERTIFOPAC informe la CNIL de la suspension par un écrit dans un délai de 30 jours calendaires à compter de la date de la décision.

A la fin de cette période de report, le processus de certification redémarre à l’étape de revue de la demande suivie par un audit initial comme pour toute demande initiale.

Levée de la suspension / rétablissement de la certification ?

Lorsque la certification est rétablie après une suspension, CERTIFOPAC apporte toutes les modifications nécessaires aux documents officiels de certification, aux informations destinées au public, aux autorisations d’utilisation des marques, etc., pour garantir l’existence de toutes les indications pertinentes confirmant que la ou les catégories d’actions sont certifiées.

CERTIFOPAC informe la CNIL du rétablissement de la certification par un écrit dans un délai de 30 jours calendaires à compter de la date de la décision.

6.3 Retrait de la certification

Un retrait de certification implique l’annulation immédiate de la certification. Le client ne peut plus faire référence à la certification. Cette décision peut s’accompagner également de la résiliation du contrat avec CERTIFOPAC. Cette interdiction s’applique également à tout autre support de communication. La suspension ou le retrait des documents de conformité entraîne la fin de validité immédiate desdits documents. Le client a l’obligation d’informer ses clients qu’il n’est plus certifié et en tout état de cause de ne plus se prévaloir des documents de conformité.

6.4 Transfert de certification

Le transfert d’une certification est la reprise d’une certification existante et valide, par un autre organisme certificateur accrédité ou en cours d’accréditation. Ainsi, un organisme candidat déjà certifié par un organisme certification peut transmettre une demande de transfert de certification à CERTIFOPAC.

CERTIFOPAC vérifie que les activités certifiées entrent dans le cadre de la portée de son accréditation et que l’organisme candidat souhaitant transférer la certification possède une certification conforme au dispositif en vigueur et un certificat valide.

A la demande de CERTIFOPAC, l’ancien organisme certificateur transmet sous un délai de quinze jours à CERTIFOPAC :

  • Une copie du certificat émis,
  • Le dernier rapport d’audit,
  • Un dossier détaillant les non-conformités détectées, le plan d’action associé pour y remédier et les actions correctives mises en œuvre
  • La liste des formations à la protection des données à caractère personnel qu’il propose ainsi que, le cas échéant, les informations relatives à des secteurs d’activité ou des thématiques spécifiques ou encore à des types particuliers d’opération de traitement de données qu’il a identifié pour celles-ci
  • La liste des sous-traitants impliqués dans les prestations de formation à la protection des données
  • Les informations relatives à la réalisation des prestations de formation, incluant l’adresse des lieux permanents de gestion, conception et réalisation des formations
  • Les plaintes reçues

Dans le cas où l’ancien organisme certificateur refuse de transmettre les pièces, CERTIFOPAC peut en faire signalement à l’instance nationale d’accréditation et à la CNIL.

Après réception des documents, CERTIFOPAC examine alors l’état des non-conformités en suspens, le cas échéant les dernières conclusions d’audit, les réclamations reçues et les actions correctives mises en œuvre. Il décide, dans un délai de trente jours, selon les cas :

  • De reprendre le dossier en confirmant la certification, et émet un certificat ;
  • D’organiser, après analyse du dossier, une évaluation adaptée ;
  • De refuser la reprise de la certification.  Les motifs de refus sont motivés par écrit à l’organisme.

NB : CERTIFOPAC s’assure, par tous moyens, que la certification de l’organisme demandant le transfert n’est pas suspendue ou retirée. Le transfert de la certification d’un organisme certificateur à un autre organisme certificateur n’est alors pas possible. Tout organisme souhaitant changer d’organisme certificateur doit déposer une nouvelle demande de certification et satisfaire à un audit initial ou transférer sa demande à un certificateur accrédité dans les conditions définies dans le présent document.

6.5 Nouvelle demande après refus

L’organisme candidat ayant essuyé un refus de certification peut déposer une nouvelle demande dès qu’il le souhaite. La procédure reprend à partir du point 4.3 « Contractualisation, revue de la demande ».

7. Enregistrements

CERTIFOPAC conserve les enregistrements prouvant que toutes les exigences du processus de certification ont été effectivement respectées, cela en préservant la confidentialité des enregistrements.

Sont inclus :

  • Les enregistrements relatifs aux certifications qui ont été délivrées et refusées
  • Les enregistrements relatifs aux demandes de certification en cours de traitement

Les enregistrements sont conservés et disponibles sur une période de 6 ans. En effet, cela se justifie par le fait que le cycle de certification dure 3 ans, et donc que les enregistrements sont conservés au moins pour le cycle en cours et le cycle précédent.

 (Dans le cas d’un contentieux entre l’organisme de certification et le prestataire de formation ou d’un recours auprès de la CNIL, la période de conservation des enregistrements pour le besoin du contentieux/recours est définie selon les règles applicables à la procédure contentieuse concernée).

Le transport, la transmission ou le transfert des enregistrements doivent être effectués de façon à assurer le maintien de la confidentialité.

8. Utilisation et références aux marques de conformité

CERTIFOPAC contrôle l’utilisation et l’affichage des licences, des certificats et des marques de conformité ainsi que tout autre dispositif destiné à identifier le processus de formation d’un prestataire bénéficiant d’une certification, en s’assurant que :

  • la certification des prestataires de formation à la protection des données est clairement mentionnée. En particulier, la communication est transparente sur le fait que celle-ci se rapporte uniquement aux formations à la protection des données à caractère personnel proposées par le prestataire ;
  • le périmètre de la certification est sans ambiguïté afin de prévenir tout confusion concernant les formations qui ont été évaluées ;
  • les règles d’usage des marques déposées par la CNIL à destination des prestataires de formation certifiés sont respectées.

NB : Les conditions d’utilisation et de référence des marques sont fournies au client dans son espace d’audit et définies dans les documents suivants :

  • XX

9. Spécificités du client

9.1 Cas des organismes dits « indépendants »

Dans le cas où le client est une personne physique, il est considéré comme organisme indépendant. Sont considérés « indépendants » les formateurs dispensant l’ensemble des activités du centre de formation : gestion commerciale, administrative, facturation, animation des formations, etc.

A ce titre, des dispositions spécifiques s’appliquent quant au processus de certification :

Si l’organisme « indépendant » ne dispose pas de locaux dédiés à la réalisation des actions, les parties peuvent convenir du lieu de réalisation de l’audit : il peut s’agir d’un espace de co-working, d’une salle de location ou de tout autre local, dans le respect des exigences en matière d’hygiène et sécurité.

9.2 Cas des organismes « nouveaux entrants »

A ce titre, des dispositions spécifiques s’appliquent quant au processus de certification :

Du fait d’absence d’éléments de preuve concernant certains critères du référentiel, l’auditeur accentuera l’analyse sur la description des méthodes et procédures, en attendant de vérifier leur mise en œuvre lors de l’audit suivant.

9.4 Cas des organismes « multisites »

La notion d’organisme « multisite » est définie dans notre procédure de certification Qualiopi. Si vous jugez que votre structure s’apparente à une organisation multisite, merci de vous rapprocher de nos équipes afin d’étudier la situation. De manière générale, si l’ensemble du processus en lien avec les prestations de formation à la protection des données est réalisé au sein du même site (Siège social ou site annexe), l’audit aura lieu uniquement sur ce site.

10. Activités de pré-audit (ou audit à blanc)

10.1 Demande

Lorsqu’il réalise une demande de devis le client a la possibilité de choisir s’il souhaite réaliser un pré-audit ou non.

10.2 Modalités de réalisation

Les activités de pré-audits ou audits préliminaires réalisées par CERTIFOPAC sont considérées comme ne compromettant pas l’impartialité du processus de certification dans la mesure où les conditions suivantes sont respectées :

Les pré audits n’ont d’autre but que d’effectuer une évaluation factuelle de l’état de préparation du client au regard des critères du Référentiel de certification des « prestataires de formation à la protection des données à caractère personnel », en décelant des écarts éventuels sans jamais préconiser les solutions pour les résoudre, ni suivre leur résolution ;

L’activité de pré-audit est réservée aux clients non encore certifiés ;

Les règles de pré-audit et la mission des auditeurs doivent être définies et compatibles avec les règles de déontologie de la certification ;

Les pré-audits sont limités à une seule intervention par site et par domaine de certification avant un audit de certification ;

Les pré-audits sont réalisés à distance, selon le souhait du client.

10.3 Durée

La durée d’un pré-audit est nettement inférieure à la durée prévue pour un audit initial de certification chez le même client. Une durée équivalente à celle prévue pour un audit de surveillance annuelle est acceptable. En corollaire, il doit être clair pour le client que le pré-audit ne saurait constituer une évaluation exhaustive de son système qualité.

10.4 Finalité

Tout pré-audit donne lieu à un rapport d’audit, adressé au client et une copie conservée par l’organisme, consultable lors des évaluations du COFRAC et permettant de s’assurer que les intervenants ne se sont pas écartés de leur mission d’évaluation. Les résultats obtenus et les constats énoncés lors du pré-audit ne préjugent pas de ceux qui seront énoncés lors de l’audit initial. En effet, les résultats du pré-audit ne sont pas communiqués ni pris en compte dans le cadre de l’audit initial.

 CERTIFOPAC ne saurait être tenu comme responsable d’un éventuel écart concernant les constatations énoncées entre le pré-audit et l’audit initial.

11. Gestion des plaintes et appels

Les plaintes et appels sont gérés selon les modalités définies dans la procédure Pro 06 Procédure de traitements des plaintes et appels disponible sur demande à l’adresse contact@certifopac.fr.