Article 43 – Organismes de certification

Article 43 - Organismes de certification

1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d'un niveau d'expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l'autorité de contrôle pour qu'elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l'article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:
  • a) l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56;
  • b) l'organisme national d'accréditation désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (20), conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.
2. Les organismes de certification visés au paragraphe 1 ne sont agréés conformément audit paragraphe que lorsqu'ils ont:
  • a) démontré, à la satisfaction de l'autorité de contrôle compétente, leur indépendance et leur expertise au regard de l'objet de la certification;
  • b) pris l'engagement de respecter les critères visés à l'article 42, paragraphe 5, et approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou par le comité, en vertu de l'article 63;
  • c) mis en place des procédures en vue de la délivrance, de l'examen périodique et du retrait d'une certification, de labels et de marques en matière de protection des données;
  • d) établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et
  • e) démontré, à la satisfaction de l'autorité de contrôle compétente, que leurs tâches et leurs missions n'entraînent pas de conflit d'intérêts.
3. L'agrément des organismes de certification visés aux paragraphes 1 et 2 du présent article se fait sur la base de critères approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou, par le comité en vertu de l'article 63. En cas d'agrément en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues dans le règlement (CE) no 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

4. Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l'évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L'agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme de certification satisfait aux exigences énoncées au présent article.

5. Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.

6. Les exigences visées au paragraphe 3 du présent article et les critères visés à l'article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.

7. Sans préjudice du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément d'un organisme de certification en application du paragraphe 1 du présent article si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme de certification constituent une violation du présent règlement.

8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l'article 42, paragraphe 1.

9. La Commission peut adopter des actes d'exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.


En savoir plus...

L'article 43 du RGPD explique la procédure d'établissement des organismes de certification, afin de contribuer aux mécanismes de certification prévus à l'article 42. Comme indiqué dans l'article susmentionné, la certification est un moyen par lequel les responsables du traitement et les sous-traitants peuvent démontrer qu'ils respectent les obligations légales qui leur incombent en vertu du RGPD. Toutefois, la certification en elle-même ne prouve pas le respect des obligations, elle n'en constitue qu'un élément. À cette fin, les organismes de certification peuvent aider les responsables du traitement et les sous-traitants à démontrer leur conformité en certifiant leurs opérations de traitement.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

Aucun considérant pertinent n'a été trouvé dans notre base de données.


Droit souple

Références

En savoir plus...



Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - Applications mobiles
21 juillet 2023
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)
7 juillet 2021
> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)
13 avril 2021
> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)
9 mars 2021
> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)
15 décembre 2020
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020
> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)
29 janvier 2020

Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019

Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Actualités

Profitez de nos actualités en lien avec cet article !

Note: le flux RSS correpondant à cet article semble vide. Nous vous proposons donc le flux ci-dessous, qui utilise un filtre plus large.


AEPD (autorité espagnole)
12 février 2025

6 000 euros d’amende pour un journal ayant publié des données personnelles excessives dans un article, incluant des données de santé.

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de PUBLICACIONES Y EDICIONES BARACA 208, S.L.  pour avoir publié un article dans un journal (en l’occurrence, numérique) contenant des données personnelles inutiles. L’affai [...]

CNIL
11 février 2025

QWANT : la CNIL estime que le moteur de recherche traite des données personnelles et lui adresse un rappel à ses obligations légales

La société QWANT est une société française qui a lancé son moteur de recherche en 2013. En raison des fortes mesures de protection de la vie privée qu’elle mettait en œuvre, la société estimait que le moteur de recherche ne collectait aucune donnée personnelle lorsque les utilisateurs eff [...]

AEPD (autorité espagnole)
10 février 2025

En Espagne, un particulier condamné à 10 000 euros d’amende pour avoir diffusé des données sur un réseau social

L’autorité espagnole a aujourd’hui publié une décision de de sanction à l’encontre d’un particulier, A.A.A., pour avoir illégalement diffusé des données personnelles sur une application mobile. Cette affaire fait suite à une plainte concernant la publication d’informations relatives à B.B.B., [...]

AEPD (autorité espagnole)
10 février 2025

100 000 euros d’amende pour défaut d’information et des lacunes sécurité dans le traitement des données personnelles

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de la société ATRIUM LEX SFC, S.L. (une entreprise d’immobilier) pour ne pas avoir respecté les obligations d’information et de sécurité prévues par le RGPD, avec une amende de 100 000 euros à la clé. L’affaire a d [...]

ANSPDCP (autorité roumaine)
10 février 2025

PPC Energie Muntenia condamné à 3 000 euros d’amende en Roumanie pour du marketing illégal

L’autorité roumaine a aujourd’hui publié le résumé d’une décision par laquelle elle a condamné l’opérateur PPC Energie Muntenia pour du marketing téléphonique réalisé de manière illicite. Comme souvent, l’enquête a été engagée suite à une plainte où le plaignant déclarait avoir été contacté par [...]

Datatilsynet (autorité danoise)
10 février 2025

Une entreprise reçoit de vives critiques pour le traitement des données personnelles d’un ancien employé

L’autorité danoise a aujourd’hui publié une décision dans une affaire où une entreprise avait indûment accédé au compte e-mail personnel d’un ancien employé et téléchargé des e-mails comme preuve dans un litige civil concernant un différend en matière d’emploi entre l’entreprise et [...]

ANSPDCP (autorité roumaine)
08 février 2025

Un Roumanie, un lycée sanctionné pour un système de vidéosurveillance étendu jusque dans les zones sanitaires

L’autorité roumaine a, hier, annoncé avoir adressé un avertissement le lycée Vasile Conta à Târgu Neamț pour avoir installé un système de vidéosurveillance ne répondant pas aux obligations du RGPD. L’enquête a été initiée à la suite d’une plainte signalant que ce lycée traite des données person [...]

AEPD (autorité espagnole)
05 février 2025

Une entreprise condamnée à une amende de 6 000€ pour l’envoi de SMS publicitaires non sollicités et l’absence de mécanisme de désinscription

L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de BREOGAN AUTOLUX, S.L., pour avoir enfreint la loi espagnole (la LSSI) en matière de marketing. Comme très souvent en Espagne, l’affaire a débuté par une plainte d& [...]

UODO (autorité polonaise)
04 février 2025

Surveillance vidéo cachée dans le service de néonatologie : amende de 271 000 euros pour le centre médical concerné

Le président de l’UODO, Mirosław Wróblewski, a annoncé avoir infligé deux amendes au Centre Médical Ujastek Sp. z o.o. basé à Cracovie, d’un montant total de 1 145 891,25 PLN (soit environ 271 000 euros) pour avoir installé des dispositifs d’enregistrement d’image dans 2 salles du s [...]

CNIL
04 février 2025

Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier

La CNIL a aujourd’hui annoncé avoir sanctionné une société (non nommée) d’une amende de 40 000 euros en raison d’une surveillance disproportionnée de l’activité de ses salariés, à travers un logiciel paramétré pour comptabiliser des périodes « d’inactivité » supposée et pour effectuer des captures d’é [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu
Retour en haut