Article 43 - Organismes de certification
1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d'un niveau d'expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l'autorité de contrôle pour qu'elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l'article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:- a) l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56;
- b) l'organisme national d'accréditation désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (20), conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.
- a) démontré, à la satisfaction de l'autorité de contrôle compétente, leur indépendance et leur expertise au regard de l'objet de la certification;
- b) pris l'engagement de respecter les critères visés à l'article 42, paragraphe 5, et approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou par le comité, en vertu de l'article 63;
- c) mis en place des procédures en vue de la délivrance, de l'examen périodique et du retrait d'une certification, de labels et de marques en matière de protection des données;
- d) établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et
- e) démontré, à la satisfaction de l'autorité de contrôle compétente, que leurs tâches et leurs missions n'entraînent pas de conflit d'intérêts.
4. Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l'évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L'agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme de certification satisfait aux exigences énoncées au présent article.
5. Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.
6. Les exigences visées au paragraphe 3 du présent article et les critères visés à l'article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.
7. Sans préjudice du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément d'un organisme de certification en application du paragraphe 1 du présent article si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme de certification constituent une violation du présent règlement.
8. La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l'article 42, paragraphe 1.
9. La Commission peut adopter des actes d'exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
En savoir plus...
L'article 43 du RGPD explique la procédure d'établissement des organismes de certification, afin de contribuer aux mécanismes de certification prévus à l'article 42. Comme indiqué dans l'article susmentionné, la certification est un moyen par lequel les responsables du traitement et les sous-traitants peuvent démontrer qu'ils respectent les obligations légales qui leur incombent en vertu du RGPD. Toutefois, la certification en elle-même ne prouve pas le respect des obligations, elle n'en constitue qu'un élément. À cette fin, les organismes de certification peuvent aider les responsables du traitement et les sous-traitants à démontrer leur conformité en certifiant leurs opérations de traitement.Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
Droit souple
Lignes directrices et recommandations
Références
Cet article cite...
Cet article est cité par...
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !6 000 euros d’amende pour un journal ayant publié des données personnelles excessives dans un article, incluant des données de santé.
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de PUBLICACIONES Y EDICIONES BARACA 208, S.L. pour avoir publié un article dans un journal (en l’occurrence, numérique) contenant des données personnelles inutiles. L’affai [...]
QWANT : la CNIL estime que le moteur de recherche traite des données personnelles et lui adresse un rappel à ses obligations légales
La société QWANT est une société française qui a lancé son moteur de recherche en 2013. En raison des fortes mesures de protection de la vie privée qu’elle mettait en œuvre, la société estimait que le moteur de recherche ne collectait aucune donnée personnelle lorsque les utilisateurs eff [...]
En Espagne, un particulier condamné à 10 000 euros d’amende pour avoir diffusé des données sur un réseau social
L’autorité espagnole a aujourd’hui publié une décision de de sanction à l’encontre d’un particulier, A.A.A., pour avoir illégalement diffusé des données personnelles sur une application mobile. Cette affaire fait suite à une plainte concernant la publication d’informations relatives à B.B.B., [...]
100 000 euros d’amende pour défaut d’information et des lacunes sécurité dans le traitement des données personnelles
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de la société ATRIUM LEX SFC, S.L. (une entreprise d’immobilier) pour ne pas avoir respecté les obligations d’information et de sécurité prévues par le RGPD, avec une amende de 100 000 euros à la clé. L’affaire a d [...]
PPC Energie Muntenia condamné à 3 000 euros d’amende en Roumanie pour du marketing illégal
L’autorité roumaine a aujourd’hui publié le résumé d’une décision par laquelle elle a condamné l’opérateur PPC Energie Muntenia pour du marketing téléphonique réalisé de manière illicite. Comme souvent, l’enquête a été engagée suite à une plainte où le plaignant déclarait avoir été contacté par [...]
Une entreprise reçoit de vives critiques pour le traitement des données personnelles d’un ancien employé
L’autorité danoise a aujourd’hui publié une décision dans une affaire où une entreprise avait indûment accédé au compte e-mail personnel d’un ancien employé et téléchargé des e-mails comme preuve dans un litige civil concernant un différend en matière d’emploi entre l’entreprise et [...]
Un Roumanie, un lycée sanctionné pour un système de vidéosurveillance étendu jusque dans les zones sanitaires
L’autorité roumaine a, hier, annoncé avoir adressé un avertissement le lycée Vasile Conta à Târgu Neamț pour avoir installé un système de vidéosurveillance ne répondant pas aux obligations du RGPD. L’enquête a été initiée à la suite d’une plainte signalant que ce lycée traite des données person [...]
Une entreprise condamnée à une amende de 6 000€ pour l’envoi de SMS publicitaires non sollicités et l’absence de mécanisme de désinscription
L’autorité espagnole a aujourd’hui publié une décision de sanction à l’encontre de BREOGAN AUTOLUX, S.L., pour avoir enfreint la loi espagnole (la LSSI) en matière de marketing. Comme très souvent en Espagne, l’affaire a débuté par une plainte d& [...]
Surveillance vidéo cachée dans le service de néonatologie : amende de 271 000 euros pour le centre médical concerné
Le président de l’UODO, Mirosław Wróblewski, a annoncé avoir infligé deux amendes au Centre Médical Ujastek Sp. z o.o. basé à Cracovie, d’un montant total de 1 145 891,25 PLN (soit environ 271 000 euros) pour avoir installé des dispositifs d’enregistrement d’image dans 2 salles du s [...]
Surveillance excessive des salariés : sanction de 40 000 euros à l’encontre d’une entreprise du secteur immobilier
La CNIL a aujourd’hui annoncé avoir sanctionné une société (non nommée) d’une amende de 40 000 euros en raison d’une surveillance disproportionnée de l’activité de ses salariés, à travers un logiciel paramétré pour comptabiliser des périodes « d’inactivité » supposée et pour effectuer des captures d’é [...]
<< Retourner au menu