menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : Belgique) language
Contactez notre membre local en Belgique mail_outline
Visitez le site web de Ulys account_balance

arrow_backArticle précédent
Article 42
Article suivantarrow_forward

Certification

Textes
Officiels Guidelines Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 42 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 42 keyboard_arrow_up

Mots clés liés à l'article 42

Afficher les considérants du Règlement liés à l'article 42 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 42 keyboard_arrow_up

(77) Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(81) Afin que les exigences du présent règlement soient respectées dans le cadre d'un traitement réalisé par un sous-traitant pour le compte du responsable du traitement, lorsque ce dernier confie des activités de traitement à un sous-traitant, le responsable du traitement ne devrait faire appel qu'à des sous-traitants présentant des garanties suffisantes, notamment en termes de connaissances spécialisées, de fiabilité et de ressources, pour la mise en oeuvre de mesures techniques et organisationnelles qui satisferont aux exigences du présent règlement, y compris en matière de sécurité du traitement. L'application par un sous-traitant d'un code de conduite approuvé ou d'un mécanisme de certification approuvé peut servir à attester du respect des obligations incombant au responsable du traitement. La réalisation d'un traitement par un sous-traitant devrait être régie par un contrat ou un autre acte juridique au titre du droit de l'Union ou du droit d'un État membre, liant le sous-traitant au responsable du traitement, définissant l'objet et la durée du traitement, la nature et les finalités du traitement, le type de données à caractère personnel et les catégories de personnes concernées, en tenant compte des tâches et responsabilités spécifiques du sous-traitant dans le cadre du traitement à effectuer et du risque pour les droits et libertés de la personne concernée. Le responsable du traitement et le sous-traitant peuvent choisir de recourir à un contrat particulier ou à des clauses contractuelles types, qui sont adoptées soit directement par la Commission soit par une autorité de contrôle conformément au mécanisme de contrôle de la cohérence, puis par la Commission. Après la réalisation du traitement pour le compte du responsable du traitement, le sous-traitant devrait, selon le choix du responsable du traitement, renvoyer ou supprimer les données à caractère personnel, à moins que le droit de l'Union ou le droit d'un État membre auquel le sous-traitant est soumis n’exige la conservation des données à caractère personnel.

(100) Afin de favoriser la transparence et le respect du présent règlement, la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 42.

Le GDPR

L’article 42 du Règlement -complété par l’article 43- met en place un mécanisme de certification permettant de venir en aide aux responsables et sous-traitants tenus de se conformer à des règles de protection. Ces dernières sont en effet de plus en complexes et lourdes à mettre en œuvre et leur contenu reste souvent circonstanciel, ne prenant corps qu’en fonction de différents paramètres (finalités, types de données, etc.).

C’est pourquoi le Règlement prône non seulement l’encouragement par les États membres, le comité européen de la protection des données, la Commission, les autorités de contrôle, de la mise en place de mécanismes de certification ainsi que de marques et de labels. Le but est de permettre d’attester de la conformité au Règlement des traitements poursuivis par les responsables du traitement ou sous-traitants. Il insiste pour que les besoins spécifiques des micro, petites et moyennes entreprises soient prises en considération, elles qui sont nécessairement moins armées pour y faire face.

Ces mécanismes pourront aussi être utilisés spécialement pour démontrer l'existence de garanties appropriées fournies par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au Règlement en vertu de l'article 3, ou dans le cadre de transferts de données à caractère personnel à un pays tiers ou à une organisation, en l’absence de décision d’adéquation prise par la Commission (article 42, § 2). Cette disposition précise que lesdits responsables ou sous-traitants doivent s’engager de manière contraignante et exécutoire à appliquer ces garanties et en particulier les droits des personnes concernées.

La version finale du Règlement ajoute un paragraphe 3 à l’article 42 aux termes duquel la soumission au mécanisme de certification doit être volontaire et répondre à une procédure transparente. Il appartient au responsable ou au sous-traitant de fournir à l’organisme de certification ou à l’autorité de contrôle compétente toutes les informations et l’accès aux activités de traitement nécessaires pour mener la procédure de certification (§ 6).

En aucun cas, la certification ne pourra diminuer la responsabilité des responsables et sous-traitants. Elle est également sans préjudice des missions et pouvoirs de l’autorité de contrôle compétente (art. 42, § 4).

La certification ne pourra être délivrée que par un organisme spécialement agréé conformément à l’article 43 ou, le cas échéant, par l’autorité de contrôle compétente en application de l’article 55, voire par le comité de protection des données amené à intervenir en application de l’article 63, avec dans ce cas reconnaissance d’un potentiel label européen.

Bien entendu, le responsable ou le sous-traitant qui soumet son traitement au mécanisme de certification est soumis à un devoir d’information spécifique de l’organisme de certification ou de l’autorité de contrôle. Il doit en outre donner accès aux activités de traitement qui sont nécessaires pour mener la procédure de certification (§ 3).

La certification sera délivrée pour une période maximale de trois ans et pourra être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d'être respectées. Elle est retirée par les organismes de certification visés à l'article 43 ou, le cas échéant, par l'autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus respectées.

Enfin, il appartient au comité européen de la protection des données de centraliser dans un registre tous les mécanismes de certification et les marques en matière de protection des données. Ce registre doit être mis à la disposition du public par tout moyen approprié.

La Directive

La Directive ne prévoyait pas de mécanisme de certification.

Belgique

La loi belge ne connaît pas le mécanisme de la certification. 

Difficultés probables ?

Il ne fait pas de doute que les mécanismes de certification puissent s’avérer très utiles aux responsables ou sous-traitants qui pourront éprouver des difficultés à apprécier la conformité de leur traitement au Règlement (niveau de sécurité, garanties spécifiques obtenues par un sous-traitant, etc.).

On reste pensif par rapport à l’affirmation que cette certification n’aurait pas d’impact sur la responsabilité du responsable ou du sous-traitant. Le but sera précisément pour lui de passer par la certification pour limiter sa responsabilité et la certification pourra –voire devra- -être prise en considération par le juge de la responsabilité, en toute hypothèse si le devoir légal litigieux à un objet indéterminé (prendre des garanties suffisantes, par exemple). Il est vrai qu’il faudra cependant tenir compte de l’objectivation de la responsabilité prévue à l’article 82 du Règlement.

Nous ne sommes pas certains qu’il soit judicieux de prévoir que l’autorité de contrôle puisse à la fois délivrer les certifications, les agréments –dont elle définit les critères- et in fine assurer le contrôle de la conformité du traitement. Il y a là un mélange des genres qui pourrait nuire à son indépendance.

arrow_back Article précédentArticle 42Article suivant arrow_forward
arrow_back Article précédentArticle 42 Article suivant arrow_forward

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Lignes directrices relatives aux articles 42 et 43 du règlement - 1/2018 (4 juin 2019)

Le RGPD n’introduit pas de droit ou d’obligation de certification pour les responsables du traitement et les sous-traitants: conformément à l’article 42, paragraphe 3, la certification est un processus volontaire qui contribue à démontrer le respect du RGPD. Les États membres et les autorités de contrôle sont invités à encourager la mise en place de mécanismes de certification et détermineront la participation des parties prenantes au processus de certification et à son cycle de vie. En outre, le respect des mécanismes de certification approuvés est un facteur que les autorités de contrôle doivent considérer comme une circonstance aggravante ou atténuante pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende [article 83, paragraphe 2, point j)].

Le but premier des présentes lignes directrices est de définir des exigences et des critères généraux pouvant s’appliquer à tous les types de mécanismes de certification mis en place en vertu des articles 42 et 43 du RGPD. À cette fin, les présentes lignes directrices:

- se penchent sur les raisons pour lesquelles la certification constitue un outil de responsabilisation

- expliquent les concepts clés des dispositions des articles 42 et 43 relatives à la certification

- expliquent le champ d’application des éléments qui peuvent être certifiés en vertu des articles 42 et 43 ainsi que la finalité de la certification; et

- facilitent que le résultat de la certification soit utile, univoque, aussi reproductible que possible et comparable, et ce quel que soit l’organisme de certification (comparabilité)

Lien 

Guidelines 07/2022 on certification as a tool for transfers (14 June 2022)

The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR).

These guidelines provide guidance as to the application of Article 46 (2) (f) of the GDPR on transfers of personal data to third countries or to international organisations on the basis of certification. The document is structured in four sections with an Annex.

Part one of this document ("GENERAL") clarifies that the guidelines supplement the already existing general Guidelines 1/2018 on certification and addresses specific requirements from Chapter V of the GDPR when certification is used as a transfer tool. According to Article 44 of the GDPR, any transfer of personal data to third countries or international organisations, must meet the conditions of the other provisions of the GDPR in addition to complying with Chapter V of the GDPR. Therefore, as a first step, compliance with the general provisions of the GDPR must be ensured and, as a second step, the provisions of Chapter V of the GDPR must be complied with. The actors who are involved and their core roles in this context are described, with a special focus on the role of the data importer who will be granted a certification and of the data exporter who will use it as a tool to frame its transfers (considering that the responsibility for data processing compliance remains with the data exporter). In this context the certification can also include additional measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Part one of the guidelines also contains information on the process for obtaining a certification to be used as tool for transfers.

The second part of these guidelines (“IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS”) recalls that the requirements for accreditation of a certification body are to be found in ISO 17065 and by interpreting the Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the GDPR and its Annex against the background of Chapter V. However, in the context of a transfer, these guidelines further explain some of the accreditation requirements applicable to the certification body.

The third part of these guidelines ("SPECIFIC CERTIFICATION CRITERIA") provides for guidance on the certification criteria already listed in Guidelines 1/2018 and establishes additional specific criteria that should be included in a certification mechanism to be used as a tool for transfers to third countries. These criteria cover the assessment of the third country legislation, the general obligations of exporters and importers, rules on onward transfers, redress and enforcement, process and actions for situations in which national legislation and practices prevents compliance with commitments taken as part of certification and requests for data access by third country authorities.

Part four of these guidelines (“BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED“) provides elements that should be addressed in the binding and enforceable commitments that controllers or processors not subject to the GDPR should take for the purpose of providing appropriate safeguards to data transferred to third countries. These commitments, which may be set out in different instruments including contracts, shall in particular include a warranty that the importer has no reason to believe that the laws and practices in the third country applicable to the processing at stake, including any requirements to disclose personal data or measures authorising access by public authorities, prevent it from fulfilling its commitments under the certification.

The ANNEX of these guidelines contains some examples of supplementary measures in line with those listed in Annex II Recommendations 01/2020 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) in the context of the use of a certification as a tool for transfers.

Link (anglais)

Retour au sommaire
arrow_back Article précédent Article 42 Article suivant arrow_forward
Retour au sommaire Retour au sommaire
arrow_back Article précédent Article 42 Article suivant arrow_forward
Règlement
1e 2e

Art. 42

1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.

2. Outre l'application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l'article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

3. La certification est volontaire et accessible via un processus transparent.

4. Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l'article 55 ou 56.

5. Une certification en vertu du présent article est délivrée par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente en application de l'article 58, paragraphe 3, ou par le comité en application de l'article 63. Lorsque les critères sont approuvés par le comité, cela peut donner lieu à une certification commune, le label européen de protection des données.

6. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l'organisme de certification visé à l'article 43 ou, le cas échéant, à l'autorité de contrôle compétente toutes les informations ainsi que l'accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification.

7. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d'être satisfaites. La certification est retirée, s'il y a lieu, par les organismes de certification visés à l'article 43 ou par l'autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus satisfaites.

8. Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.
Proposition 1 close

1. Les États membres et la Commission encouragent, en particulier au niveau européen, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, qui permettent aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les responsables du traitement et les sous-traitants. Les mécanismes de certification en matière de protection des données contribuent à la bonne application du présent règlement, compte tenu des spécificités des divers secteurs et des différents traitements.

2. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 86, aux fins de préciser davantage les critères et exigences applicables aux mécanismes de certification en matière de protection des données visés au paragraphe 1, y compris les conditions d'octroi et de révocation, et les exigences en matière de reconnaissance au sein de l’Union et dans les pays tiers.

3. La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.
Proposition 2 close

1. Les États membres, le comité européen de la protection des données et la Commission encouragent, en particulier au niveau de l'Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de marques et de labels en matière de protection des données, aux fins d'attester de la conformité au présent règlement des traitements effectués par les responsables du traitement et les sous-traitants. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.

1 bis. Outre l'adhésion des responsables du traitement ou des sous-traitants soumis au présent règlement, les mécanismes de certification, les marques ou les labels en matière de protection des données approuvés en application du paragraphe 2 bis peuvent aussi être établis aux fins de démontrer l'existence de garanties appropriées fournies par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l'article 3, dans le cadre des transferts de données à caractère personnel à un pays tiers ou à une organisation internationale conformément aux conditions visées à l'article 42, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'une autre manière, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

2. Une certification au titre du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs de l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis .

2 bis. Une certification au titre du présent article est délivrée par les organismes de certification visés à l'article 39 bis ou, le cas échéant, par l'autorité de contrôle compétente sur la base des critères approuvés par l'autorité de contrôle compétente ou, en application de l'article 57, par le comité européen de la protection des données.

3. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l'organisme de certification visé à l'article 39 bis ou, le cas échéant, à l'autorité de contrôle compétente toutes les informations nécessaires et lui donne accès aux activités de traitement qui sont nécessaires pour mener la procédure de certification.

4. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une période maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les exigences applicables continuent d'être respectées. Elle est retirée par les organismes de certification visés à l'article 39 bis ou, le cas échéant, par l'autorité de contrôle compétente lorsque les exigences applicables à la certification ne sont pas ou plus respectées.

5. Le comité européen de la protection des données recueille dans un registre tous les mécanismes de certification et les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié, comme le portail européen e-Justice.
Directive close

Pas de disposition correspondante
Belgique
compare_arrows
visibility Ancienne loi

Pas de disposition spécifique.
Ancienne loi close

Pas de disposition correspondante
arrow_back Article précédentArticle 42 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.