arrow_back Retour à tous les articles

Article 42
Certification

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 42 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 42 keyboard_arrow_up

(77) Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(81) Afin que les exigences du présent règlement soient respectées dans le cadre d'un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu'à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en oeuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L'application par un sous-traitant d'un code de conduite approuvé ou d'un mécanisme de certification approuvé peut servir à attester du respect des obligations incombant au responsable du traitement. La réalisation d'un traitement par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission. Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère personnel, à moins que le droit de l'Union ou le droit d'un État membre auquel le sous-traitant est soumis n’exige la conservation des données à caractère personnel.

(100) Afin de favoriser la transparence et le respect du présent règlement, la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 42.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

La Directive ne prévoyait pas de mécanisme de certification.

Belgique

La loi belge ne connaît pas le mécanisme de la certification. 

France

 A la demande d'organisation professionnelles ou d'institutions regroupant des responsables de traitements, la Commission nationale de l'informatique et des Libertés peut délivrer un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après les avoir reconnus conformes à la loi (art. 11, 3°, c). Elle peut également déterminer d'initiative les produits et procédures susceptibles de bénéficier d'un label.

Lors de l'évaluation desdits produits ou procédures, elle peut recourir à toute personne indépendante qualifiée si leur complexité le justifie. Le coût de cette évaluation est supporté par l'entreprise qui demande le label. 

La Commission nationale de l'informatique et des Libertés a également le pouvoir de retirer le label lorsqu'il n'est plus satisfait aux conditions de sa délivrance. 

Où va-t-on ?

L’article 42 du Règlement -complété par l’article 43- met en place un mécanisme de certification permettant de venir en aide aux responsables et sous-traitants tenus de se conformer à des règles de protection. Ces dernières sont en effet de plus en complexes et lourdes à mettre en œuvre et leur contenu reste souvent circonstanciel, ne prenant corps qu’en fonction de différents paramètres (finalités, types de données, etc.).

C’est pourquoi le Règlement prône non seulement l’encouragement par les États membres, le comité européen de la protection des données, la Commission, les autorités de contrôle, de la mise en place de mécanismes de certification ainsi que de marques et de labels. Le but est de permettre d’attester de la conformité au Règlement des traitements poursuivis par les responsables du traitement ou sous-traitants. Il insiste pour que les besoins spécifiques des micro, petites et moyennes entreprises soient prises en considération, elles qui sont nécessairement moins armées pour y faire face.

Ces mécanismes pourront aussi être utilisés spécialement pour démontrer l'existence de garanties appropriées fournies par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au Règlement en vertu de l'article 3, ou dans le cadre de transferts de données à caractère personnel à un pays tiers ou à une organisation, en l’absence de décision d’adéquation prise par la Commission (article 42, § 2). Cette disposition précise que lesdits responsables ou sous-traitants doivent s’engager de manière contraignante et exécutoire à appliquer ces garanties et en particulier les droits des personnes concernées.

La version finale du Règlement ajoute un paragraphe 3 à l’article 42 aux termes duquel la soumission au mécanisme de certification doit être volontaire et répondre à une procédure transparente. Il appartient au responsable ou au sous-traitant de fournir à l’organisme de certification ou à l’autorité de contrôle compétente toutes les informations et l’accès aux activités de traitement nécessaires pour mener la procédure de certification (§ 6).

En aucun cas, la certification ne pourra diminuer la responsabilité des responsables et sous-traitants. Elle est également sans préjudice des missions et pouvoirs de l’autorité de contrôle compétente (art. 42, § 4).

La certification ne pourra être délivrée que par un organisme spécialement agréé conformément à l’article 43 ou, le cas échéant, par l’autorité de contrôle compétente en application de l’article 55, voire par le comité de protection des données amené à intervenir en application de l’article 63, avec dans ce cas reconnaissance d’un potentiel label européen.

Bien entendu, le responsable ou le sous-traitant qui soumet son traitement au mécanisme de certification est soumis à un devoir d’information spécifique de l’organisme de certification ou de l’autorité de contrôle. Il doit en outre donner accès aux activités de traitement qui sont nécessaires pour mener la procédure de certification (§ 3).

La certification sera délivrée pour une période maximale de trois ans et pourra être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d'être respectées. Elle est retirée par les organismes de certification visés à l'article 43 ou, le cas échéant, par l'autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus respectées.

Enfin, il appartient au comité européen de la protection des données de centraliser dans un registre tous les mécanismes de certification et les marques en matière de protection des données. Ce registre doit être mis à la disposition du public par tout moyen approprié.

Difficultés probables

Il ne fait pas de doute que les mécanismes de certification puissent s’avérer très utiles aux responsables ou sous-traitants qui pourront éprouver des difficultés à apprécier la conformité de leur traitement au Règlement (niveau de sécurité, garanties spécifiques obtenues par un sous-traitant, etc.).

On reste pensif par rapport à l’affirmation que cette certification n’aurait pas d’impact sur la responsabilité du responsable ou du sous-traitant. Le but sera précisément pour lui de passer par la certification pour limiter sa responsabilité et la certification pourra –voire devra- -être prise en considération par le juge de la responsabilité, en toute hypothèse si le devoir légal litigieux à un objet indéterminé (prendre des garanties suffisantes, par exemple). Il est vrai qu’il faudra cependant tenir compte de l’objectivation de la responsabilité prévue à l’article 82 du Règlement.

Nous ne sommes pas certains qu’il soit judicieux de prévoir que l’autorité de contrôle puisse à la fois délivrer les certifications, les agréments –dont elle définit les critères- et in fine assurer le contrôle de la conformité du traitement. Il y a là un mélange des genres qui pourrait nuire à son indépendance.

Règlement
1e 2e

Art. 42

1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.

2. Outre l'application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l'article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. La certification est volontaire et accessible via un processus transparent.

4. Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l'article 55 ou 56.

5. Une certification en vertu du présent article est délivrée par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente en application de l'article 58, paragraphe 3, ou par le comité en application de l'article 63. Lorsque les critères sont approuvés par le comité, cela peut donner lieu à une certification commune, le label européen de protection des données.

6. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l'organisme de certification visé à l'article 43 ou, le cas échéant, à l'autorité de contrôle compétente toutes les informations ainsi que l'accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification.

7. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d'être satisfaites. La certification est retirée, s'il y a lieu, par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites.

8. Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.

Proposition 1 close

1. Les États membres et la Commission encouragent, en particulier au niveau européen, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous-traitants. Les mécanismes de certification en matière de protection des données contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements.

2. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés au paragraphe 1, y compris les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l’Union et dans les pays tiers.

3. La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.

Proposition 2 close

1. Les États membres, le comité européen de la protection des données et la Commission encouragent, en particulier au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, aux fins d'attester de la conformité au présent règlement des traitements effectués par les responsables du traitement et les sous-traitants. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.

1 bis. Outre l'adhésion des responsables du traitement ou des sous-traitants soumis au présent règlement, les mécanismes de certification, les marques ou les labels en matière de protection des données approuvés en application du paragraphe 2 bis peuvent aussi être établis aux fins de démontrer l'existence de garanties appropriées fournies par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l'article 3, dans le cadre des transferts de données à caractère personnel à un pays tiers ou à une organisation internationale conformément aux conditions visées à l'article 42, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'une autre manière, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

2. Une certification au titre du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs de l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis .

2 bis. Une certification au titre du présent article est délivrée par les organismes de certification visés à l'article 39 bis ou, le cas échéant, par l'autorité de contrôle compétente sur la base des critères approuvés par l'autorité de contrôle compétente ou, en application de l'article 57, par le comité européen de la protection des données.

3. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l'organisme de certification visé à l'article 39 bis ou, le cas échéant, à l'autorité de contrôle compétente toutes les informations nécessaires et lui donne accès aux activités de traitement qui sont nécessaires pour mener la procédure de certification.

4. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une période maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d'être respectées. Elle est retirée par les organismes de certification visés à l'article 39 bis ou, le cas échéant, par l'autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus respectées.

5. Le comité européen de la protection des données recueille dans un registre tous les mécanismes de certification et les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié, comme le portail européen e-Justice.

Directive

Pas de disposition correspondante

France

Art. 11

La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle exerce les missions suivantes :

(…)

3° A la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements :

(…)

c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la présente loi dans le cadre de l'instruction préalable à la délivrance du label par la commission ; la commission peut également déterminer, de sa propre initiative, les produits et procédures susceptibles de bénéficier d'un label . Le président peut, lorsque la complexité du produit ou de la procédure le justifie, recourir à toute personne indépendante qualifiée pour procéder à leur évaluation. Le coût de cette évaluation est pris en charge par l'entreprise qui demande le label ; elle retire le label lorsqu'elle constate, par tout moyen, que les conditions qui ont permis sa délivrance ne sont plus satisfaites ;

Belgique

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK