menu MENU
arrow_back Retour à tous les articles
Changer de pays (Actuellement : France) language
Contactez notre membre local en France mail_outline
Visitez le site web de De Gaulle Fleurance account_balance

arrow_backArticle précédent
Article 43
Article suivantarrow_forward

Organismes de certification

Textes
Officiels Guidelines Jurisprudence Analyse du
droit européen Analyse du
droit national
Afficher les articles et mots clés liés à l’article 43 du Règlement keyboard_arrow_down Cacher les articles et mots clés liés à l’article 43 keyboard_arrow_up

Mots clés liés à l'article 43

Afficher les considérants du Règlement liés à l'article 43 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 43 keyboard_arrow_up

(100) Afin de favoriser la transparence et le respect du présent règlement, la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données devrait être encouragée pour permettre aux personnes concernées d'évaluer rapidement le niveau de protection des données offert par les produits et services en question.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 43.

Le GDPR

L’article 43 du Règlement prévoit que la certification est délivrée et renouvelée par un organisme de certification disposant d’un niveau d’expertise approprié, après en avoir informé l’autorité de contrôle afin que cette dernière puisse exercer les pouvoirs que lui confère l’article 58, § 2, h).

En vertu de la disposition précitée, l’autorité de contrôle a la faculté de retirer ou d’ordonner à l’organisme de certification le retrait d’une certification délivrée sur base des articles 42 et 43, ou encore d’interdire à l’organisme de délivrer de nouvelle certification si les prescriptions de ladite certification ne sont plus rencontrées. L’agrément peut

Il revient à chaque État membre de déterminer qui de l’autorité nationale de contrôle compétente ou de l’organisme national d’accréditation désigné conformément au Règlement n°765/3008 du 9 juillet 2008, sera compétent pour agréer les organismes de certification (§ 1er, a) et b)).

Diverses conditions sont visées par la disposition pour qu’un organisme de certification obtienne l’agrément :

-prouver son indépendance et son expertise au regard de l’objet de la certification  (§ 2, a));

-s’engager à respecter les critères visés au paragraphe 5 de l’article 42 et approuvés par l’autorité de contrôle compétente conformément aux articles 55 et 56, voire par le Comité européen de la protection des données en application de l’article 63  (§2, b)) ;

 -mettre en place des procédures en vue de l’émission, de l'examen périodique et du retrait de marques et de labels en matière de protection des données (§2, c)) ;

- établir des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et assurer la transparence de celles-ci à l'égard des personnes concernées et du public (§2, d)) ;

-prouver que ses tâches et ses missions n’entraînent pas de conflits d’intérêts (§2, e)) ;

Selon le paragraphe 3 de l’article 43, les critères encadrant l’agrément des organismes de certification doivent être approuvés, soit par l’autorité de contrôle compétente, soit par la Comité européen en application de l’article 63.

Dans le cas où il appartient à l’organisme national d’accréditation de délivrer les agréments en vertu du § 1er, b), les exigences énumérées au paragraphe 2, a) à d) de l’article 43 complètent celles prévues dans le Règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

Les critères et exigences requises pour l’agrément devront faire l’objet d’une publication par l’autorité de contrôle sous une forme aisément accessible et être transmis au comité européen de la protection des données. Le comité européen de la protection des données recueille dans un registre tous les mécanismes de certification et les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié (§ 6).

Une fois agréé, l’organisme de certification est chargé de procéder à l'évaluation correcte en vue de la certification ou du retrait de cette certification. L'agrément est délivré pour une période maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme respecte les exigences (§4). Il devra alors communiquer systématiquement à l’autorité de contrôle les raisons de la délivrance ou du retrait de la certification demandée (§5).

Tant l’autorité de contrôle que l’organisme national d’accréditation peuvent révoquer l’agrément délivré à l’organisme de certification si les conditions d’agrément ne sont plus réunies, ou si ce dernier prend des mesures non conformes au Règlement (§ 7).

La Commission pourra toujours, par voie d’acte délégué au sens de l’article 92, préciser les critères et exigences à prendre en considération lors de l’élaboration des mécanismes de certification (§ 8).

La Commission peut aussi, par voie d’actes d’exécution, fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels, afin de les promouvoir et de les reconnaître ( § 9). Lesdits actes sont soumis à la procédure de certification au sens de l’article 93, § 2).

La Directive

Ni la Directive, ni les législations belge et française n’avaient organisé de mécanisme de certification.

Difficultés probables ?

Il ne sera pas évident de trouver des organismes répondant aux conditions d’agrément. Il est à craindre aussi que certains –qui en auraient la compétence- soient découragés ou empêchés par certaines conditions. Le cas du conflit d’intérêts est assez exemplatif : devoir faire la preuve a priori, lors de l’agrément, de ne pas présenter ensuite de conflits d’intérêts en cas de demande de certification pourrait exclure des organismes issus du monde des affaires (avocats, consultants, etc.). Il aurait mieux valu les obliger à refuser toute demande présentant potentiellement un conflit d’intérêts et préciser ce à quoi on entend ici se prémunir.

On ne peut s’empêcher non plus  de craindre certaines lourdeurs. Ainsi, lorsque l’organisme doit communiquer à l’autorité de contrôle compétente les raisons de la délivrance ou du retrait. Ne  risque-t-on pas de voir  les responsables ne pas demander la certification sachant que si elle est retirée, elles risquent de voir l’autorité de contrôle se saisir du dossier ?

arrow_back Article précédentArticle 43Article suivant arrow_forward
arrow_back Article précédentArticle 43 Article suivant arrow_forward

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Lignes directrices relatives aux articles 42 et 43 du règlement - 1/2018 (4 juin 2019)

Le RGPD n’introduit pas de droit ou d’obligation de certification pour les responsables du traitement et les sous-traitants: conformément à l’article 42, paragraphe 3, la certification est un processus volontaire qui contribue à démontrer le respect du RGPD. Les États membres et les autorités de contrôle sont invités à encourager la mise en place de mécanismes de certification et détermineront la participation des parties prenantes au processus de certification et à son cycle de vie. En outre, le respect des mécanismes de certification approuvés est un facteur que les autorités de contrôle doivent considérer comme une circonstance aggravante ou atténuante pour décider s’il y a lieu d’imposer une amende administrative et pour décider du montant de l’amende [article 83, paragraphe 2, point j)]5.

Le but premier des présentes lignes directrices est de définir des exigences et des critères généraux pouvant s’appliquer à tous les types de mécanismes de certification mis en place en vertu des articles 42 et 43 du RGPD. À cette fin, les présentes lignes directrices:

- se penchent sur les raisons pour lesquelles la certification constitue un outil de responsabilisation

- expliquent les concepts clés des dispositions des articles 42 et 43 relatives à la certification

- expliquent le champ d’application des éléments qui peuvent être certifiés en vertu des articles 42 et 43 ainsi que la finalité de la certification; et

- facilitent que le résultat de la certification soit utile, univoque, aussi reproductible que possible et comparable, et ce quel que soit l’organisme de certification (comparabilité)

Lien 

Lignes directrices relatives à l’agrément des organismes de certification au titre de l’article 43 du règlement général sur la protection des données (2016/679) - 4/2018 (4 juin 2019)

1. Le règlement général sur la protection des données [règlement (UE) 2016/679, ci-après le «RGPD»], entré en vigueur le 25 mai 2018, offre un cadre de conformité modernisé et basé sur la responsabilité et les droits fondamentaux en matière de protection des données en Europe. Un ensemble de mesures destinées à faciliter le respect des dispositions du RGPD est au cœur de ce nouveau cadre. Celles-ci comprennent des exigences obligatoires dans des circonstances spécifiques (y compris la nomination de délégués à la protection des données et l’exécution d’analyses d’impact relatives à la protection des données) ainsi que des mesures volontaires telles que des codes de conduite et des mécanismes de certification.

2. Dans le cadre de la mise en œuvre des mécanismes de certification et des labels ou marques en matière de protection des données, en vertu de l’article 43, paragraphe 1, du RGPD, les États membres sont tenus de garantir que les organismes de certification qui délivrent la certification au titre de l’article 42, paragraphe 1, sont agréés par l’autorité de contrôle compétente ou l’organisme national d’accréditation, ou les deux. Si l’organisme national d’accréditation procède à l’agrément conformément à la norme ISO/IEC 17065:2012, les exigences supplémentaires établies par l’autorité de contrôle compétente doivent également être appliquées.

3. Des mécanismes de certification pertinents peuvent améliorer la conformité au RGPD et la transparence pour les personnes concernées ainsi que dans les relations au sein du commerce interentreprises, par exemple entre les responsables du traitement et les sous- traitants. Les responsables du traitement et les sous-traitants bénéficieront d’une attestation indépendante d’un tiers aux fins de démontrer que leurs opérations de traitement respectent le présent règlement.

4. Dans ce contexte, le comité européen de la protection des données (ci-après dénommé le «comité») reconnaît qu’il est nécessaire de fournir des lignes directrices relatives à l’agrément. L’agrément a pour valeur et but particuliers d’attester avec l’autorité nécessaire les compétences des organismes de certification, ce qui permet d’instaurer la confiance envers le mécanisme de certification.

5. Les présentes lignes directrices visent à offrir des orientations quant à l’interprétation et à la mise en œuvre des dispositions de l’article 43 du RGPD, notamment à aider les États membres, les autorités de contrôle et les organismes nationaux d’accréditation à établir une base cohérente et harmonisée pour l’accréditation des organismes de certification qui délivrent une certification conformément au RGPD.

Lien

Retour au sommaire
arrow_back Article précédent Article 43 Article suivant arrow_forward
Retour au sommaire Retour au sommaire
arrow_back Article précédent Article 43 Article suivant arrow_forward
Règlement
1e 2e

Art. 43

1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d'un niveau d'expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l'autorité de contrôle pour qu'elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l'article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:

a) l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56;

b) l'organisme national d'accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil1, conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.

2. Les organismes de certification visés au paragraphe 1 ne sont agréés conformément au paragraphe 1 que lorsqu'ils ont:

a) prouvé, à la satisfaction de l'autorité de contrôle compétente, leur indépendance et leur expertise au regard de l'objet de la certification;

b) pris l'engagement de respecter les critères visés à l'article 42, paragraphe 5, et approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou par le comité, en vertu de l'article 63;

c) mis en place des procédures en vue de la délivrance, de l'examen périodique et du retrait d'une certification, de labels et de marques en matière de protection des données;

d) établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et

e) prouvé, à la satisfaction de l'autorité de contrôle compétente, que leurs tâches et leurs missions n'entraînent pas de conflit d'intérêts.

3. L'agrément des organismes de certification visés aux paragraphes 1 et 2 se fait sur la base de critères approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou, par le comité en vertu de l'article 63. En cas d'agrément en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues dans le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

4. Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l'évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L'agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme de certification satisfait aux exigences énoncées au présent article.

5. Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.

6. Les exigences visées au paragraphe 3 du présent article et les critères visés à l'article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.

7. Sans préjudice du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément d'un organisme de certification en application du paragraphe 1 du présent article si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme de certification constituent une violation du présent règlement.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l'article 42, paragraphe 1.

9. La Commission peut adopter des actes d'exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
Proposition 1 close

Pas de disposition correspondante
Proposition 2 close

1. Sans préjudice des missions et pouvoirs de l'autorité de contrôle compétente au titre des articles 52 et 53, la certification est délivrée et renouvelée par un organisme de certification disposant d'un niveau d'expertise approprié en matière de protection des données. Chaque État membre prévoit si ces organismes de certification sont agréés par:

a) l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis;

et/ou b) l'organisme national d'accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions relatives à l'accréditation et à la surveillance du marché pour la commercialisation des produits, conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis.

2. L'organisme de certification visé au paragraphe 1 peut être agréé à cette fin seulement si:

a) il a prouvé, à la satisfaction de l'autorité de contrôle compétente, son indépendance et l'expertise dont il dispose au regard de l'objet de la certification;

a bis) il s'est engagé à respecter les critères visés à l'article 39, paragraphe 2 bis, et approuvés par l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis ou, en application de l'article 57, par le comité européen de la protection des données;

b) il a mis en place des procédures en vue de l'émission, de l'examen périodique et du retrait de marques et de labels en matière de protection des données;

c) il a établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public;

d) il prouve, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêt.

3. L'agrément des organismes de certification visés au paragraphe 1 se fait sur la base de critères approuvés par l'autorité de contrôle qui est compétente au titre de l'article 51 ou 51 bis ou, en application de l'article 57, par le comité européen de la protection des données. En cas d'agrément en application du paragraphe 1, point b), ces exigences complètent celles prévues dans le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

4. L'organisme de certification visé au paragraphe 1 est chargé de procéder à l'évaluation correcte en vue de la certification [ou du retrait de cette certification], sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant concernant le respect du présent règlement. L'agrément est délivré pour une période maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme respecte les exigences.

5. L'organisme de certification visé au paragraphe 1 communique à l'autorité de contrôle compétente les raisons de la délivrance ou du retrait de la certification demandée.

6. Les exigences visées au paragraphe 3 et les critères visés à l'article 39, paragraphe 2 bis, sont publiés par l'autorité de contrôle sous une forme aisément accessible. Les autorités de contrôle les transmettent aussi au comité européen de la protection des données. Le comité européen de la protection des données recueille dans un registre tous les mécanismes de certification et les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié, comme le portail européen e-Justice.

6 bis. Sans préjudice des dispositions du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément qu'il a délivré à un organisme de certification visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme ne sont pas conformes au présent règlement.

7. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 86, aux fins de (…) préciser les critères et exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés au paragraphe 1 (...).

7 bis. Le comité européen de la protection des données rend un avis adressé à la Commission sur les critères et les exigences visés au paragraphe 7.

8. La Commission peut fixer des normes techniques pour les mécanismes de certification, ainsi que des marques et labels et des mécanismes en matière de protection des données, afin de promouvoir et de reconnaître les mécanismes de certification ainsi que les marques et labels en matière de protection des données. Les actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.
Directive close

Pas de disposition correspondante
France
compare_arrows
visibility Ancienne loi

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 8

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

(...)

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagements internationaux de la France.

A ce titre :

(...)

h) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du 27 avril 2016 et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ;

i) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au h du présent 2°, de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration.

Il est tenu compte d'une telle certification, le cas échéant, pour la mise en œuvre des sanctions prévues à la section 3 du présent chapitre ;

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 21

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi entraîne une violation des droits et libertés mentionnés à l'article 1er de la présente loi et que le président de la commission considère qu'il est urgent d'intervenir, il saisit la formation restreinte, qui peut, dans le cadre d'une procédure d'urgence contradictoire définie par décret en Conseil d'Etat, adopter l'une des mesures suivantes :

(...)

4° La suspension provisoire de l'agrément délivré à un organisme de certification ou un organisme chargé du respect d'un code de conduite ;

(...)

Art. 23

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Lorsqu'un organisme de certification ou un organisme chargé du respect d'un code de conduite a manqué à ses obligations ou n'a pas respecté les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou celles de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 20 à 22, le retrait de l'agrément qui a été délivré à cet organisme.
Ancienne loi close

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 11

I. - La Commission nationale de l'informatique et des libertés est une autorité administrative indépendante. Elle est l'autorité de contrôle nationale au sens et pour l'application du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité. Elle exerce les missions suivantes :

(...)

f bis) Elle peut décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité et à la présente loi. Elle prend en considération, à cette fin, les besoins spécifiques des collectivités territoriales, de leurs groupements et des micro-entreprises, petites entreprises et moyennes entreprises. Elle agrée, aux mêmes fins, des organismes certificateurs, sur la base, le cas échéant, de leur accréditation par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du même règlement ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément, dans des conditions précisées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. La commission élabore ou approuve les critères des référentiels de certification et d'agrément ;

g) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification, par des tiers agréés ou accrédités selon les modalités mentionnées au f bis du présent 2°, de la conformité à la présente loi de processus d'anonymisation des données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relations entre le public et l'administration.

Décret d'application. 

Art. 6-8 

Décret pris pour application de la loi n°78-17 du 6 janvier 1978.

I. - Lorsque qu'elle envisage d'élaborer ou d'approuver les critères des référentiels de certification et d'agrément mentionnés au f bis du 2° du I de l'article 11 de la loi du 6 janvier 1978 susvisée, la Commission nationale de l'informatique et des libertés se prononce, en fonction notamment du domaine d'activité et de l'objet du référentiel de certification, sur les modalités de certification et d'agrément retenues parmi celles définies au présent article.

La commission peut décider de délivrer elle-même les certifications ou d'en laisser le soin à des organismes tiers.

Lorsque la certification est délivrée par des organismes tiers, la commission détermine, en fonction du domaine d'activité et de l'objet du référentiel de certification, si elle agrée directement ces organismes certificateurs ou si cet agrément peut être délivré par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 précité. Dans ce dernier cas, la commission saisit l'organisme national d'accréditation qui réalise une étude de faisabilité de l'agrément des organismes certificateurs potentiellement concernés. Une convention fixe les modalités de coopération entre la commission et l'organisme national d'accréditation.

II. - Le contenu du dossier des demandes de certification et d'agrément présentées à la commission dans le cadre du I est fixé par la délibération arrêtant les critères de certification ou d'agrément.

La commission se prononce dans un délai de quatre mois à compter de la réception d'une demande complète. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.

Si la commission saisit, en application du 3 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 précité, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à notification de son avis ou, le cas échéant, de sa décision conformément au 6 de l'article 65 du règlement précité. La commission informe le demandeur de cette saisine et des suites de celle-ci.

Le contenu des dossiers de demandes présentées à l'organisme national d'accréditation dans le cadre du I, et les conditions de leur traitement, intégrant les exigences supplémentaires fixées, le cas échéant, par la commission, sont définies par le règlement d'accréditation de l'organisme national d'accréditation. Cette accréditation tient lieu d'agrément.

III. - Les certifications sont délivrées pour une durée précisée par chaque référentiel de certification et qui ne saurait être supérieure à trois ans.

Les organismes de certification sont agréés pour une durée de cinq ans maximum renouvelable dans des conditions fixées par le règlement intérieur de la commission ou, selon le cas, par le règlement d'accréditation de l'organisme national d'accréditation.
arrow_back Article précédentArticle 43 Article suivant arrow_forward
close

2016 - www.itiplaw.eu.