Article 42 du RGPD : Certification

Introduction

Cet article instaure un cadre pour la certification des responsables du traitement et sous-traitants, visant à démontrer la conformité au RGPD par des mécanismes reconnus, afin de renforcer la confiance et la transparence.

Explication de l’article

La certification est un acte volontaire permettant aux organismes d’attester de la conformité d’un produit, d’un service ou d’un processus au RGPD. La certification est accordée par des organismes agréés par la CNIL.

La certification est accordée après évaluation du produit ou processus pour lequel la demande de certification a été formulée.

Une fois accordée, la certification n’empêche pas la sanction en cas de manquement constaté, et peut même être considéré comme une circonstance aggravante ou atténuante.

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Libérez-vous du RGPD

Un DPO externe certifié prend en charge votre conformité et sécurise vos données,
sans contrainte pour vous.

Échanger avec un expert RGPD

Texte original du RGPD

1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.

2. Outre l’application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l’article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et exécutoire, au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. La certification est volontaire et accessible via un processus transparent.

4. Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l’article 55 ou 56.

5. Une certification en vertu du présent article est délivrée par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente en application de l’article 58, paragraphe 3, ou par le comité en application de l’article 63. Lorsque les critères sont approuvés par le comité, cela peut donner lieu à une certification commune, le label européen de protection des données.

6. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l’organisme de certification visé à l’article 43 ou, le cas échéant, à l’autorité de contrôle compétente toutes les informations ainsi que l’accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification.

7. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d’être satisfaites. La certification est retirée, s’il y a lieu, par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites.

8. Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Pas de disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 8

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

– La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

(…)

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.

A ce titre :

(…)

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l’administration.

Il est tenu compte d’une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

Analyse des 3 textes qui précèdent

L’article 42 du RGPD, complété par l’article 43, instaure un mécanisme de certification destiné à accompagner les responsables et sous-traitants dans la conformité aux règles de protection des données. Conscients de la complexité croissante de ces règles, souvent circonstancielles selon les finalités ou types de données, ce dispositif vise à fournir une preuve fiable et reconnue de conformité. Le RGPD souligne l’importance de prendre en compte les besoins spécifiques des micro, petites et moyennes entreprises, moins bien armées pour gérer ces exigences « GDPR ».

Cette certification peut également jouer un rôle clé dans les transferts de données vers des pays tiers ou des organisations internationales en l’absence de décision d’adéquation, en permettant aux acteurs non soumis directement au RGPD de fournir des garanties appropriées contraignantes (§ 2). La soumission à la certification reste toutefois volontaire et transparente, avec un devoir d’information et une accessibilité aux activités de traitement pour l’organisme ou l’autorité de contrôle (§ 3, § 6).

Le RGPD encadre strictement la délivrance de la certification, qui ne peut être accordée que par un organisme agréé (§ 43), l’autorité de contrôle ou, pour un label européen, par le comité européen de la protection des données. La durée maximale de validité de la certification est de trois ans, renouvelable sous conditions, et elle peut être retirée en cas de non-respect des exigences (§ 4).

Le registre centralisé des mécanismes de certification, tenu par le comité européen de la protection des données, garantit une transparence accrue et une visibilité publique des certifications en vigueur.

La directive 95/46/CE ne prévoyait pas de mécanisme de certification formalisé comparable. Elle se concentrait plutôt sur des principes généraux et des recommandations, laissant aux États membres et aux autorités nationales le soin de définir des approches sectorielles ou nationales.

La loi Informatique et Libertés de 1978 offrait à la CNIL la faculté de délivrer des labels de conformité à des produits ou procédures protégeant les données personnelles (art. 11, 3°, c). Cette procédure est soumise à reconnaissance de conformité par la CNIL, qui peut aussi retirer le label si les conditions ne sont plus remplies. Pour les évaluations techniques, la CNIL peut recourir à des experts indépendants, avec un coût supporté par le demandeur.