Article 42 du RGPD

Certification

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 5 - codes de conduite et certification »  article 42

  1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération.
  2. Outre l’application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les mécanismes de certification, les labels ou les marques en matière de protection des données approuvés en vertu du paragraphe 5 du présent article peuvent être établis aux fins de démontrer que des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu du l’article 3 fournissent des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point f). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et exécutoire, au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
  3. La certification est volontaire et accessible via un processus transparent.
  4. Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l’article 55 ou 56.
  5. Une certification en vertu du présent article est délivrée par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente sur la base des critères approuvés par cette autorité de contrôle compétente en application de l’article 58, paragraphe 3, ou par le comité en application de l’article 63. Lorsque les critères sont approuvés par le comité, cela peut donner lieu à une certification commune, le label européen de protection des données.
  6. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l’organisme de certification visé à l’article 43 ou, le cas échéant, à l’autorité de contrôle compétente toutes les informations ainsi que l’accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification.
  7. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une durée maximale de trois ans et peut être renouvelée dans les mêmes conditions tant que les critères applicables continuent d’être respectés. La certification est retirée, s’il y a lieu, par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente lorsque les critères applicables à la certification ne sont pas ou plus respectés.
  8. Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.

Article 42 du RGPD : Ce qu'il faut comprendre

L’article 42 du RGPD promeut la certification en matière de protection des données comme un outil permettant de prouver que les opérations de traitement sont conformes au RGPD. Il vise à encourager la mise en place de labels et de marques de protection des données pour les organisations, en tenant compte des besoins des micro, petites et moyennes entreprises.

Objectif des mécanismes de certification

Ces certifications permettent aux responsables du traitement et aux sous-traitants de démontrer leur conformité aux exigences du RGPD. Les transferts internationaux de données vers des pays tiers peuvent également s’appuyer sur ces certifications pour offrir des garanties appropriées.

  • Les responsables du traitement situés en dehors de l’Union européenne peuvent aussi obtenir une certification pour prouver qu’ils respectent les garanties de protection des données lorsqu’ils transfèrent des données personnelles depuis l’UE.

Certification volontaire et responsabilité maintenue

  • La certification est volontaire, mais le processus doit rester transparent et accessible.
  • Le fait d’obtenir une certification ne réduit en rien la responsabilité du responsable du traitement ou du sous-traitant quant au respect du RGPD. Cela ne remplace pas non plus les pouvoirs et les contrôles de l’autorité compétente (comme la CNIL en France).

Délivrance de la certification

  • Les certifications sont délivrées soit par un organisme de certification agréé (article 43), soit par l’autorité de contrôle compétente.
  • Les critères pour la certification doivent être approuvés par l’autorité de contrôle ou, dans certains cas, par le comité européen de la protection des données. Une certification commune peut conduire à l’obtention d’un label européen de protection des données.

Processus de certification

  • Le responsable du traitement ou le sous-traitant qui souhaite obtenir une certification doit fournir à l’organisme de certification ou à l’autorité compétente toutes les informations et l’accès nécessaires aux activités de traitement.
  • La certification est valable pour une durée maximale de trois ans, renouvelable si les critères sont toujours respectés.
  • La certification peut être retirée si les critères de conformité ne sont plus respectés.

Transparence et registre public

  • Toutes les certifications, labels ou marques approuvés sont inscrits dans un registre public tenu par le comité européen de la protection des données. Ce registre est accessible au public par des moyens appropriés, afin d’assurer transparence et visibilité.

Article 42 du RGPD – Exemples concrets

  • Exemple 1 : Certification pour une plateforme e-commerce
    Une boutique en ligne obtient une certification en matière de sécurité des données pour démontrer qu’elle protège correctement les informations de ses clients (comme les coordonnées bancaires) et qu’elle respecte le RGPD.
  • Exemple 2 : Label pour les services cloud
    Un fournisseur de services cloud basé hors de l’UE obtient un label européen de protection des données, prouvant qu’il applique des garanties appropriées pour le traitement des données personnelles européennes.
  • Exemple 3 : Retrait de la certification
    Si une entreprise certifiée modifie ses processus de traitement sans respecter les critères initiaux, l’organisme de certification peut lui retirer la certification et en informer le registre public.

← Article 41 – Suivi des codes de conduite approuvés
Article 43 – Organismes de certification →

Les articles du RGPD mentionnant l'article 42