arrow_back Retour à tous les articles

Article 43
Organismes de certification

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 43 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 43 keyboard_arrow_up

(100) Afin de favoriser la transparence et le respect du présent règlement, la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 43.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

Ni la Directive, ni les législations belge et française n’avaient organisé de mécanisme de certification.

Où va-t-on ?

L’article 43 du Règlement prévoit que la certification est délivrée et renouvelée par un organisme de certification disposant d’un niveau d’expertise approprié, après en avoir informé l’autorité de contrôle afin que cette dernière puisse exercer les pouvoirs que lui confère l’article 58, § 2, h).

En vertu de la disposition précitée, l’autorité de contrôle a la faculté de retirer ou d’ordonner à l’organisme de certification le retrait d’une certification délivrée sur base des articles 42 et 43, ou encore d’interdire à l’organisme de délivrer de nouvelle certification si les prescriptions de ladite certification ne sont plus rencontrées. L’agrément peut

Il revient à chaque État membre de déterminer qui de l’autorité nationale de contrôle compétente ou de l’organisme national d’accréditation désigné conformément au Règlement n°765/3008 du 9 juillet 2008, sera compétent pour agréer les organismes de certification (§ 1er, a) et b)).

Diverses conditions sont visées par la disposition pour qu’un organisme de certification obtienne l’agrément :

-prouver son indépendance et son expertise au regard de l’objet de la certification  (§ 2, a));

-s’engager à respecter les critères visés au paragraphe 5 de l’article 42 et approuvés par l’autorité de contrôle compétente conformément aux articles 55 et 56, voire par le Comité européen de la protection des données en application de l’article 63  (§2, b)) ;

 -mettre en place des procédures en vue de l’émission, de l'examen périodique et du retrait de marques et de labels en matière de protection des données (§2, c)) ;

- établir des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et assurer la transparence de celles-ci à l'égard des personnes concernées et du public (§2, d)) ;

-prouver que ses tâches et ses missions n’entraînent pas de conflits d’intérêts (§2, e)) ;

Selon le paragraphe 3 de l’article 43, les critères encadrant l’agrément des organismes de certification doivent être approuvés, soit par l’autorité de contrôle compétente, soit par la Comité européen en application de l’article 63.

Dans le cas où il appartient à l’organisme national d’accréditation de délivrer les agréments en vertu du § 1er, b), les exigences énumérées au paragraphe 2, a) à d) de l’article 43 complètent celles prévues dans le Règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

Les critères et exigences requises pour l’agrément devront faire l’objet d’une publication par l’autorité de contrôle sous une forme aisément accessible et être transmis au comité européen de la protection des données. Le comité européen de la protection des données recueille dans un registre tous les mécanismes de certification et les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié (§ 6).

Une fois agréé, l’organisme de certification est chargé de procéder à l'évaluation correcte en vue de la certification ou du retrait de cette certification. L'agrément est délivré pour une période maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme respecte les exigences (§4). Il devra alors communiquer systématiquement à l’autorité de contrôle les raisons de la délivrance ou du retrait de la certification demandée (§5).

Tant l’autorité de contrôle que l’organisme national d’accréditation peuvent révoquer l’agrément délivré à l’organisme de certification si les conditions d’agrément ne sont plus réunies, ou si ce dernier prend des mesures non conformes au Règlement (§ 7).

La Commission pourra toujours, par voie d’acte délégué au sens de l’article 92, préciser les critères et exigences à prendre en considération lors de l’élaboration des mécanismes de certification (§ 8).

La Commission peut aussi, par voie d’actes d’exécution, fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels, afin de les promouvoir et de les reconnaître ( § 9). Lesdits actes sont soumis à la procédure de certification au sens de l’article 93, § 2).

Difficultés probables

Il ne sera pas évident de trouver des organismes répondant aux conditions d’agrément. Il est à craindre aussi que certains –qui en auraient la compétence- soient découragés ou empêchés par certaines conditions. Le cas du conflit d’intérêts est assez exemplatif : devoir faire la preuve a priori, lors de l’agrément, de ne pas présenter ensuite de conflits d’intérêts en cas de demande de certification pourrait exclure des organismes issus du monde des affaires (avocats, consultants, etc.). Il aurait mieux valu les obliger à refuser toute demande présentant potentiellement un conflit d’intérêts et préciser ce à quoi on entend ici se prémunir.

On ne peut s’empêcher non plus  de craindre certaines lourdeurs. Ainsi, lorsque l’organisme doit communiquer à l’autorité de contrôle compétente les raisons de la délivrance ou du retrait. Ne  risque-t-on pas de voir  les responsables ne pas demander la certification sachant que si elle est retirée, elles risquent de voir l’autorité de contrôle se saisir du dossier ?

Règlement
1e 2e

Art. 43

1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d'un niveau d'expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l'autorité de contrôle pour qu'elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l'article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:

a) l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56;

b) l'organisme national d'accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil1, conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.

2. Les organismes de certification visés au paragraphe 1 ne sont agréés conformément au paragraphe 1 que lorsqu'ils ont:

a) prouvé, à la satisfaction de l'autorité de contrôle compétente, leur indépendance et leur expertise au regard de l'objet de la certification;

b) pris l'engagement de respecter les critères visés à l'article 42, paragraphe 5, et approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou par le comité, en vertu de l'article 63;

c) mis en place des procédures en vue de la délivrance, de l'examen périodique et du retrait d'une certification, de labels et de marques en matière de protection des données;

d) établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et

e) prouvé, à la satisfaction de l'autorité de contrôle compétente, que leurs tâches et leurs missions n'entraînent pas de conflit d'intérêts.

3. L'agrément des organismes de certification visés aux paragraphes 1 et 2 se fait sur la base de critères approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou, par le comité en vertu de l'article 63. En cas d'agrément en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues dans le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

4. Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l'évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L'agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme de certification satisfait aux exigences énoncées au présent article.

5. Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.

6. Les exigences visées au paragraphe 3 du présent article et les critères visés à l'article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.

7. Sans préjudice du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément d'un organisme de certification en application du paragraphe 1 du présent article si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme de certification constituent une violation du présent règlement.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l'article 42, paragraphe 1.

9. La Commission peut adopter des actes d'exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Proposition 1 close

Pas de disposition correspondante

Proposition 2 close

1. Sans préjudice des missions et pouvoirs de l'autorité de contrôle compétente au titre des articles 52 et 53, la certification est délivrée et renouvelée par un organisme de certification disposant d'un niveau d'expertise approprié en matière de protection des données. Chaque État membre prévoit si ces organismes de certification sont agréés par:

a) l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis;

et/ou b) l'organisme national d'accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits, conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis.

2. L'organisme de certification visé au paragraphe 1 peut être agréé à cette fin seulement si:

a) il a prouvé, à la satisfaction de l'autorité de contrôle compétente, son indépendance et l'expertise dont il dispose au regard de l'objet de la certification;

a bis) il s'est engagé à respecter les critères visés à l'article 39, paragraphe 2 bis, et approuvés par l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis ou, en application de l'article 57, par le comité européen de la protection des données;

b) il a mis en place des procédures en vue de l'émission, de l'examen périodique et du retrait de marques et de labels en matière de protection des données;

c) il a établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public;

d) il prouve, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêt.

3. L'agrément des organismes de certification visés au paragraphe 1 se fait sur la base de critères approuvés par l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis ou, en application de l'article 57, par le comité européen de la protection des données. En cas d'agrément en application du paragraphe 1, point b), ces exigences complètent celles prévues dans le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

4. L'organisme de certification visé au paragraphe 1 est chargé de procéder à l'évaluation correcte en vue de la certification [ou du retrait de cette certification], sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant concernant le respect du présent règlement. L'agrément est délivré pour une période maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme respecte les exigences.

5. L'organisme de certification visé au paragraphe 1 communique à l'autorité de contrôle compétente les raisons de la délivrance ou du retrait de la certification demandée.

6. Les exigences visées au paragraphe 3 et les critères visés à l'article 39, paragraphe 2 bis, sont publiés par l'autorité de contrôle sous une forme aisément accessible. Les autorités de contrôle les transmettent aussi au comité européen de la protection des données. Le comité européen de la protection des données recueille dans un registre tous les mécanismes de certification et les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié, comme le portail européen e-Justice.

6 bis. Sans préjudice des dispositions du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément qu'il a délivré à un organisme de certification visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme ne sont pas conformes au présent règlement.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de (…) préciser les critères et exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés au paragraphe 1 (...).

7 bis. Le comité européen de la protection des données rend un avis adressé à la Commission sur les critères et les exigences visés au paragraphe 7.

8. La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels et des mécanismes en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

Directive

Pas de disposition correspondante

France

Pas de disposition correspondante

Belgique

Pas de disposition correspondante

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK