Article 43 - Organismes de certification
1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d'un niveau d'expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l'autorité de contrôle pour qu'elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l'article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:- a) l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56;
- b) l'organisme national d'accréditation désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (20), conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.
- a) démontré, à la satisfaction de l'autorité de contrôle compétente, leur indépendance et leur expertise au regard de l'objet de la certification;
- b) pris l'engagement de respecter les critères visés à l'article 42, paragraphe 5, et approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou par le comité, en vertu de l'article 63;
- c) mis en place des procédures en vue de la délivrance, de l'examen périodique et du retrait d'une certification, de labels et de marques en matière de protection des données;
- d) établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et
- e) démontré, à la satisfaction de l'autorité de contrôle compétente, que leurs tâches et leurs missions n'entraînent pas de conflit d'intérêts.
4. Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l'évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L'agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme de certification satisfait aux exigences énoncées au présent article.
5. Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.
6. Les exigences visées au paragraphe 3 du présent article et les critères visés à l'article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.
7. Sans préjudice du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément d'un organisme de certification en application du paragraphe 1 du présent article si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme de certification constituent une violation du présent règlement.
8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l'article 42, paragraphe 1.
9. La Commission peut adopter des actes d'exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
En savoir plus...
L'article 43 du RGPD explique la procédure d'établissement des organismes de certification, afin de contribuer aux mécanismes de certification prévus à l'article 42. Comme indiqué dans l'article susmentionné, la certification est un moyen par lequel les responsables du traitement et les sous-traitants peuvent démontrer qu'ils respectent les obligations légales qui leur incombent en vertu du RGPD. Toutefois, la certification en elle-même ne prouve pas le respect des obligations, elle n'en constitue qu'un élément. À cette fin, les organismes de certification peuvent aider les responsables du traitement et les sous-traitants à démontrer leur conformité en certifiant leurs opérations de traitement.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
Droit souple
Lignes directrices et recommandations
Guides pratiques
Documents anciens
Références
Cet article cite...
Cet article est cité par...
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.
RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une […]
Un employeur réprimandé pour traitement illicite de données pénales de l’un de ses employés L’autorité belge a aujourd’hui publié une décision de sanction par laquelle elle condamne une entreprise (restée anonyme) pour traitement illicite de données. Dans cette affaire, un employé d’un organisme public (plaignant) a déposé plainte contre son employeur après avoir constaté qu’une […]
Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière […]
L’autorité italienne rappelle que les certificats d’arrêt de travail ne doivent pas contenir de données de santé Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné une autorité locale de santé à hauteur de 17 000 euros pour avoir délivré un certificat d’arrêt de travail indiquant le service qui avait fourni le service […]
La Cour de Justice de l’UE clarifie les dispositions de l’article 88 du RGPD Dans un arrêt en date du 19 décembre 2024 (C-65/23), la Cour a clarifié les modalités d’application de l’article 88 du RGPD, et la manière de l’articuler avec le reste du RGPD. La Cour a ainsi estimé que : 1) une […]
En Italie, OpenAI condamné à réaliser une campagne d’information de six mois et payer une amende de 15 millions d’euros. L’autorité italienne a annoncé aujourd’hui avoir adopté une décision corrective et sanctionnatrice à l’encontre d’OpenAI en lien avec la gestion du service ChatGPT. La décision, qui constate les violations précédemment reprochées à la société californienne, […]
30 000 euros d’amende pour un médecin ayant publié des photographies médicales sur un réseau social L’autorité hellénique a publié aujourd’hui une décision de sanction à l’encontre d’un médecin, avec 30 000 euros d’amende à la clé, pour avoir publié des photographies d’une partie du corps de la plaignante sur un réseau social géré par […]
Aspiration de données : sanction de 200 000 euros à l’encontre de la société KASPR Le 5 décembre 2024, la CNIL a prononcé une amende de 200 000 euros à l’encontre de la société KASPR, notamment pour avoir collecté sur LinkedIn les coordonnées d’utilisateurs qui avaient pourtant choisis d’en limiter la visibilité. La société KASPR […]
Amende de 4,75 millions d’euros pour Netflix pour ne pas avoir correctement informé ses clients L’autorité néerlandaise a aujourd’hui annoncé avoir condamné Netflix à payer une amende de 4,75 millions d’euros pour des manquements en matière d’information. En effet, une enquêtelancée par l’autorité en 2019 (faisant suite à une plainte de NOYB) a permis de […]
La Commission irlandaise de protection des données inflige une amende de 251 millions d’euros à Meta La Commission irlandaise de protection des données (DPC) a annoncé aujourd’hui ses décisions finales à la suite de deux enquêtes sur Meta Platforms Ireland Limited. Ces enquêtes ont été lancées par la DPC à la suite d’une violation de […]
