arrow_back Retour à tous les articles

Article 43
Organismes de certification

Textes
officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 43 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 43 keyboard_arrow_up

(100) Afin de favoriser la transparence et le respect du présent règlement, la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 43.

Guidelines

Ici viendront les guidelines

Le GDPR

L’article 43 du Règlement prévoit que la certification est délivrée et renouvelée par un organisme de certification disposant d’un niveau d’expertise approprié, après en avoir informé l’autorité de contrôle afin que cette dernière puisse exercer les pouvoirs que lui confère l’article 58, § 2, h).

En vertu de la disposition précitée, l’autorité de contrôle a la faculté de retirer ou d’ordonner à l’organisme de certification le retrait d’une certification délivrée sur base des articles 42 et 43, ou encore d’interdire à l’organisme de délivrer de nouvelle certification si les prescriptions de ladite certification ne sont plus rencontrées. L’agrément peut

Il revient à chaque État membre de déterminer qui de l’autorité nationale de contrôle compétente ou de l’organisme national d’accréditation désigné conformément au Règlement n°765/3008 du 9 juillet 2008, sera compétent pour agréer les organismes de certification (§ 1er, a) et b)).

Diverses conditions sont visées par la disposition pour qu’un organisme de certification obtienne l’agrément :

-prouver son indépendance et son expertise au regard de l’objet de la certification  (§ 2, a));

-s’engager à respecter les critères visés au paragraphe 5 de l’article 42 et approuvés par l’autorité de contrôle compétente conformément aux articles 55 et 56, voire par le Comité européen de la protection des données en application de l’article 63  (§2, b)) ;

 -mettre en place des procédures en vue de l’émission, de l'examen périodique et du retrait de marques et de labels en matière de protection des données (§2, c)) ;

- établir des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et assurer la transparence de celles-ci à l'égard des personnes concernées et du public (§2, d)) ;

-prouver que ses tâches et ses missions n’entraînent pas de conflits d’intérêts (§2, e)) ;

Selon le paragraphe 3 de l’article 43, les critères encadrant l’agrément des organismes de certification doivent être approuvés, soit par l’autorité de contrôle compétente, soit par la Comité européen en application de l’article 63.

Dans le cas où il appartient à l’organisme national d’accréditation de délivrer les agréments en vertu du § 1er, b), les exigences énumérées au paragraphe 2, a) à d) de l’article 43 complètent celles prévues dans le Règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

Les critères et exigences requises pour l’agrément devront faire l’objet d’une publication par l’autorité de contrôle sous une forme aisément accessible et être transmis au comité européen de la protection des données. Le comité européen de la protection des données recueille dans un registre tous les mécanismes de certification et les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié (§ 6).

Une fois agréé, l’organisme de certification est chargé de procéder à l'évaluation correcte en vue de la certification ou du retrait de cette certification. L'agrément est délivré pour une période maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme respecte les exigences (§4). Il devra alors communiquer systématiquement à l’autorité de contrôle les raisons de la délivrance ou du retrait de la certification demandée (§5).

Tant l’autorité de contrôle que l’organisme national d’accréditation peuvent révoquer l’agrément délivré à l’organisme de certification si les conditions d’agrément ne sont plus réunies, ou si ce dernier prend des mesures non conformes au Règlement (§ 7).

La Commission pourra toujours, par voie d’acte délégué au sens de l’article 92, préciser les critères et exigences à prendre en considération lors de l’élaboration des mécanismes de certification (§ 8).

La Commission peut aussi, par voie d’actes d’exécution, fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels, afin de les promouvoir et de les reconnaître ( § 9). Lesdits actes sont soumis à la procédure de certification au sens de l’article 93, § 2).

La Directive

Ni la Directive, ni les législations belge et française n’avaient organisé de mécanisme de certification.

Difficultés probables

Il ne sera pas évident de trouver des organismes répondant aux conditions d’agrément. Il est à craindre aussi que certains –qui en auraient la compétence- soient découragés ou empêchés par certaines conditions. Le cas du conflit d’intérêts est assez exemplatif : devoir faire la preuve a priori, lors de l’agrément, de ne pas présenter ensuite de conflits d’intérêts en cas de demande de certification pourrait exclure des organismes issus du monde des affaires (avocats, consultants, etc.). Il aurait mieux valu les obliger à refuser toute demande présentant potentiellement un conflit d’intérêts et préciser ce à quoi on entend ici se prémunir.

On ne peut s’empêcher non plus  de craindre certaines lourdeurs. Ainsi, lorsque l’organisme doit communiquer à l’autorité de contrôle compétente les raisons de la délivrance ou du retrait. Ne  risque-t-on pas de voir  les responsables ne pas demander la certification sachant que si elle est retirée, elles risquent de voir l’autorité de contrôle se saisir du dossier ?

Règlement
1e 2e

Art. 43

1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d'un niveau d'expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l'autorité de contrôle pour qu'elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l'article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:

a) l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56;

b) l'organisme national d'accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil1, conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.

2. Les organismes de certification visés au paragraphe 1 ne sont agréés conformément au paragraphe 1 que lorsqu'ils ont:

a) prouvé, à la satisfaction de l'autorité de contrôle compétente, leur indépendance et leur expertise au regard de l'objet de la certification;

b) pris l'engagement de respecter les critères visés à l'article 42, paragraphe 5, et approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou par le comité, en vertu de l'article 63;

c) mis en place des procédures en vue de la délivrance, de l'examen périodique et du retrait d'une certification, de labels et de marques en matière de protection des données;

d) établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et

e) prouvé, à la satisfaction de l'autorité de contrôle compétente, que leurs tâches et leurs missions n'entraînent pas de conflit d'intérêts.

3. L'agrément des organismes de certification visés aux paragraphes 1 et 2 se fait sur la base de critères approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou, par le comité en vertu de l'article 63. En cas d'agrément en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues dans le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

4. Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l'évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L'agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme de certification satisfait aux exigences énoncées au présent article.

5. Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.

6. Les exigences visées au paragraphe 3 du présent article et les critères visés à l'article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.

7. Sans préjudice du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément d'un organisme de certification en application du paragraphe 1 du présent article si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme de certification constituent une violation du présent règlement.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l'article 42, paragraphe 1.

9. La Commission peut adopter des actes d'exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Proposition 1 close

Pas de disposition correspondante

Proposition 2 close

1. Sans préjudice des missions et pouvoirs de l'autorité de contrôle compétente au titre des articles 52 et 53, la certification est délivrée et renouvelée par un organisme de certification disposant d'un niveau d'expertise approprié en matière de protection des données. Chaque État membre prévoit si ces organismes de certification sont agréés par:

a) l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis;

et/ou b) l'organisme national d'accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits, conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis.

2. L'organisme de certification visé au paragraphe 1 peut être agréé à cette fin seulement si:

a) il a prouvé, à la satisfaction de l'autorité de contrôle compétente, son indépendance et l'expertise dont il dispose au regard de l'objet de la certification;

a bis) il s'est engagé à respecter les critères visés à l'article 39, paragraphe 2 bis, et approuvés par l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis ou, en application de l'article 57, par le comité européen de la protection des données;

b) il a mis en place des procédures en vue de l'émission, de l'examen périodique et du retrait de marques et de labels en matière de protection des données;

c) il a établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public;

d) il prouve, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêt.

3. L'agrément des organismes de certification visés au paragraphe 1 se fait sur la base de critères approuvés par l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis ou, en application de l'article 57, par le comité européen de la protection des données. En cas d'agrément en application du paragraphe 1, point b), ces exigences complètent celles prévues dans le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

4. L'organisme de certification visé au paragraphe 1 est chargé de procéder à l'évaluation correcte en vue de la certification [ou du retrait de cette certification], sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant concernant le respect du présent règlement. L'agrément est délivré pour une période maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme respecte les exigences.

5. L'organisme de certification visé au paragraphe 1 communique à l'autorité de contrôle compétente les raisons de la délivrance ou du retrait de la certification demandée.

6. Les exigences visées au paragraphe 3 et les critères visés à l'article 39, paragraphe 2 bis, sont publiés par l'autorité de contrôle sous une forme aisément accessible. Les autorités de contrôle les transmettent aussi au comité européen de la protection des données. Le comité européen de la protection des données recueille dans un registre tous les mécanismes de certification et les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié, comme le portail européen e-Justice.

6 bis. Sans préjudice des dispositions du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément qu'il a délivré à un organisme de certification visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme ne sont pas conformes au présent règlement.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de (…) préciser les critères et exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés au paragraphe 1 (...).

7 bis. Le comité européen de la protection des données rend un avis adressé à la Commission sur les critères et les exigences visés au paragraphe 7.

8. La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels et des mécanismes en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Directive close

Pas de disposition correspondante

France

Art. 11

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes :

(...)

f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ;

g) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration.

Décret d'application. 

Art. 6-8 

Décret pris pour application de la loi n°78-17 du 6 janvier 1978.

I. - Lorsque qu'elle envisage d'élaborer ou d'approuver les critères des référentiels de certification et d'agrément mentionnés au f bis du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée, la Commission nationale de l'informatique et des libertés se prononce, en fonction notamment du domaine d'activité et de l'objet du référentiel de certification, sur les modalités de certification et d'agrément retenues parmi celles définies au présent article.

La commission peut décider de délivrer elle-même les certifications ou d'en laisser le soin à des organismes tiers.

Lorsque la certification est délivrée par des organismes tiers, la commission détermine, en fonction du domaine d'activité et de l'objet du référentiel de certification, si elle agrée directement ces organismes certificateurs ou si cet agrément peut être délivré par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 précité. Dans ce dernier cas, la commission saisit l'organisme national d'accréditation qui réalise une étude de faisabilité de l'agrément des organismes certificateurs potentiellement concernés. Une convention fixe les modalités de coopération entre la commission et l'organisme national d'accréditation.

II. - Le contenu du dossier des demandes de certification et d'agrément présentées à la commission dans le cadre du I est fixé par la délibération arrêtant les critères de certification ou d'agrément.

La commission se prononce dans un délai de quatre mois à compter de la réception d'une demande complète. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.

Si la commission saisit, en application du 3 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 précité, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à notification de son avis ou, le cas échéant, de sa décision conformément au 6 de l'article 65 du règlement précité. La commission informe le demandeur de cette saisine et des suites de celle-ci.

Le contenu des dossiers de demandes présentées à l'organisme national d'accréditation dans le cadre du I, et les conditions de leur traitement, intégrant les exigences supplémentaires fixées, le cas échéant, par la commission, sont définies par le règlement d'accréditation de l'organisme national d'accréditation. Cette accréditation tient lieu d'agrément.

III. - Les certifications sont délivrées pour une durée précisée par chaque référentiel de certification et qui ne saurait être supérieure à trois ans.

Les organismes de certification sont agréés pour une durée de cinq ans maximum renouvelable dans des conditions fixées par le règlement intérieur de la commission ou, selon le cas, par le règlement d'accréditation de l'organisme national d'accréditation.

Ancienne loi
en France
close

Pas de disposition correspondante

Belgique

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK