Article 43 du RGPD : Organismes de certification
Sommaire
Introduction
L’article 43 du RGPD précise les critères et conditions que doivent respecter les organismes chargés de délivrer les certifications en matière de protection des données selon les normes fixées par le RGPD.
Explication de l’article
La certification est délivrée par un organisme de certification disposant d’une expertise adéquate, après information de l’autorité de contrôle compétente, qui dispose des pouvoirs de supervision selon l’article 58, § 2, h) (§ 1).
L’autorité de contrôle peut retirer ou ordonner le retrait d’une certification si les conditions ne sont plus respectées et peut interdire à l’organisme de délivrer de nouvelles certifications.
Le RGPD laisse à chaque État membre le soin de désigner l’entité compétente pour agréer ces organismes, que ce soit l’autorité nationale de contrôle ou un organisme national d’accréditation selon le Règlement « (CE) n° 765/2008 » (§ 1er).
Pour obtenir cet agrément, l’organisme doit :
- prouver son indépendance et expertise spécifique à la certification concernée (§ 2, a)),
- s’engager à respecter les critères du paragraphe 5 de l’article 42 et ceux approuvés par l’autorité de contrôle ou le Comité européen de la protection des données (§ 2, b)),
- mettre en place des procédures pour l’émission, le suivi et le retrait des labels et marques en protection des données (§ 2, c)),
- établir des procédures pour traiter les réclamations sur les violations de la certification, en assurant transparence vis-à-vis des personnes concernées et du public (§ 2, d)),
- démontrer l’absence de conflits d’intérêts dans l’exercice de ses fonctions (§ 2, e)).
Ces critères d’agrément sont soumis à l’approbation de l’autorité de contrôle ou du Comité européen (§ 3). En cas d’intervention de l’organisme national d’accréditation, les exigences s’ajoutent à celles du Règlement « (CE) n° 765/2008 » et ses règles techniques.
Les critères d’agrément doivent être publiés de façon accessible et communiqués au Comité européen de la protection des données, qui centralise ces informations dans un registre public (§ 6).
L’agrément est valable au maximum cinq ans, renouvelable si les conditions sont toujours respectées, avec obligation de communication régulière sur les certifications délivrées ou retirées (§ 4-5). Il peut être révoqué par l’autorité compétente ou l’organisme d’accréditation en cas de manquement (§ 7).
Texte original du RGPD
1. Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d’un niveau d’expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l’autorité de contrôle pour qu’elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l’article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:
a) l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56;
b) l’organisme national d’accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil1, conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56.
2. Les organismes de certification visés au paragraphe 1 ne sont agréés conformément au paragraphe 1 que lorsqu’ils ont:
a) prouvé, à la satisfaction de l’autorité de contrôle compétente, leur indépendance et leur expertise au regard de l’objet de la certification;
b) pris l’engagement de respecter les critères visés à l’article 42, paragraphe 5, et approuvés par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56 ou par le comité, en vertu de l’article 63;
c) mis en place des procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labels et de marques en matière de protection des données;
d) établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public; et
e) prouvé, à la satisfaction de l’autorité de contrôle compétente, que leurs tâches et leurs missions n’entraînent pas de conflit d’intérêts.
3. L’agrément des organismes de certification visés aux paragraphes 1 et 2 se fait sur la base de critères approuvés par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56 ou, par le comité en vertu de l’article 63. En cas d’agrément en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues dans le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.
4. Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l’évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L’agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l’organisme de certification satisfait aux exigences énoncées au présent article.
5. Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.
6. Les exigences visées au paragraphe 3 du présent article et les critères visés à l’article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.
7. Sans préjudice du chapitre VIII, l’autorité de contrôle compétente ou l’organisme national d’accréditation révoque l’agrément d’un organisme de certification en application du paragraphe 1 du présent article si les conditions d’agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l’organisme de certification constituent une violation du présent règlement.
8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l’article 42, paragraphe 1.
9. La Commission peut adopter des actes d’exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.
Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
Pas de disposition correspondante
Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)
Article 8
Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018
– La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :
(…)
2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.
A ce titre :
(…)
h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu’ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l’organisme national d’accréditation mentionné au b du 1 de l’article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d’agrément ;
i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d’anonymisation des données à caractère personnel, notamment en vue de la réutilisation d’informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l’administration.
Il est tenu compte d’une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;
Article 21
Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018
1- Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi entraîne une violation des droits et libertés mentionnés à l’article 1er de la présente loi et que le président de la commission considère qu’il est urgent d’intervenir, il saisit la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire définie par décret en Conseil d’Etat, adopter l’une des mesures suivantes :
(…)
4° La suspension provisoire de l’agrément délivré à un organisme de certification ou un organisme chargé du respect d’un code de conduite ;
(…)
Article 23
Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018
Lorsqu’un organisme de certification ou un organisme chargé du respect d’un code de conduite a manqué à ses obligations ou n’a pas respecté les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou celles de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 20 à 22, le retrait de l’agrément qui a été délivré à cet organisme.
Analyse des 3 textes qui précèdent
L’article 43 du RGPD organise précisément le mécanisme d’agrément des organismes de certification habilités à délivrer, renouveler ou retirer des certifications relatives à la protection des données.
La certification est délivrée par un organisme de certification disposant d’une expertise adéquate, après information de l’autorité de contrôle compétente, qui dispose des pouvoirs de supervision selon l’article 58, § 2, h) (§ 1).
L’autorité de contrôle peut retirer ou ordonner le retrait d’une certification si les conditions ne sont plus respectées et peut interdire à l’organisme de délivrer de nouvelles certifications.
La directive 95/46/CE ne prévoyait pas de mécanisme d’agrément ou de certification formel.
L’article 8 de la Loi Informatique et Libertés, confère à la Commission nationale de l’informatique et des libertés (« CNIL ») le rôle d’autorité de contrôle nationale et lui attribue la mission de certifier des personnes, produits, systèmes ou procédures pour reconnaître leur conformité au règlement « (UE) 2016/679 » et à la loi française. La CNIL tient compte des besoins spécifiques des collectivités territoriales et des micro, petites et moyennes entreprises.
La CNIL peut également agréer des organismes certificateurs, en s’appuyant le cas échéant sur l’accréditation délivrée par l’organisme national d’accréditation mentionné à l’article 43 du RGPD, ou décider conjointement que cet organisme procède à l’agrément, avec des conditions fixées par décret en Conseil d’État. Elle élabore ou approuve aussi les critères des référentiels de certification et d’agrément.
Par ailleurs, la CNIL peut certifier ou homologuer des référentiels ou méthodologies pour la certification de processus d’anonymisation, notamment en vue de la réutilisation d’informations publiques.
L’article 21 de cette loi introduit une procédure d’urgence permettant au président de la CNIL, en cas de violation grave des dispositions du RGPD ou de la loi « Informatique et Libertés », de saisir la formation restreinte pour prononcer la suspension provisoire de l’agrément d’un organisme de certification ou chargé du respect d’un code de conduite.
L’article 23 prévoit le retrait de l’agrément d’un organisme de certification ou de code de conduite en cas de manquement à ses obligations, par décision de la CNIL après mise en demeure, avec recours à la formation restreinte.
En résumé, L’article 43 du RGPD représente une avancée majeure en structurant le processus d’agrément et de contrôle des organismes de certification liés à la protection des données, garantissant expertise, indépendance, transparence, et conformité au RGPD à travers un système européen harmonisé et contrôlé.
Jurisprudences
À ce jour, il n’existe aucune jurisprudence, ni au niveau européen, ni au niveau français, relative à ce sujet.
Recommandations
CEPD
CNIL
Qu’est-ce que la certification ?
Liste des organismes qui délivrent la certification
Mon Expert RGPD accompagne les entreprises de toutes tailles. Trouvez votre DPO externe dès aujourd’hui.