Article 42 Certification

Objectifs et portée de la certification

La certification poursuit plusieurs objectifs complémentaires. Elle permet aux responsables de traitement et aux sous-traitants de démontrer la conformité de leurs traitements de données personnelles au RGPD, en obtenant une attestation délivrée par un organisme accrédité ou par l'autorité de contrôle. Cette démonstration de conformité facilite les relations commerciales, renforce la confiance des personnes concernées et peut constituer un argument concurrentiel.

Le paragraphe 1 de l'article 42 précise que les besoins spécifiques des micro, petites et moyennes entreprises (PME) sont pris en considération. Cette disposition vise à garantir que les mécanismes de certification ne constituent pas une charge disproportionnée pour les petites structures et qu'ils sont adaptés à leurs ressources et à leurs activités de traitement.

La certification peut couvrir différents aspects des opérations de traitement, tels que les mesures de sécurité, les procédures de gestion des droits des personnes, les mécanismes de protection des données dès la conception, les processus de gestion des violations de données ou encore les transferts internationaux de données. La portée de la certification est déterminée par les critères approuvés par l'autorité de contrôle ou le CEPD.

Certification et transferts internationaux de données

Le paragraphe 2 de l'article 42 prévoit une utilisation particulière de la certification dans le contexte des transferts internationaux de données personnelles vers des pays tiers ou des organisations internationales. Les mécanismes de certification approuvés peuvent être établis pour démontrer l'existence de garanties appropriées fournies par des responsables de traitement ou des sous-traitants situés en dehors de l'Union européenne, conformément à l'article 46, paragraphe 2, point f) du RGPD.

Dans ce cadre, les responsables de traitement ou sous-traitants situés dans des pays tiers doivent prendre un engagement contraignant et exécutoire, par le biais d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer les garanties prévues par la certification, y compris en ce qui concerne les droits des personnes concernées. Ce mécanisme constitue une alternative aux clauses contractuelles types (CCT) et aux règles d'entreprise contraignantes (BCR) pour encadrer les transferts de données vers des pays tiers ne bénéficiant pas d'une décision d'adéquation.

Caractère volontaire et transparent de la certification

Le paragraphe 3 de l'article 42 précise que la certification est délivrée de façon volontaire et est accessible via un processus transparent. Cette disposition garantit que la certification n'est pas obligatoire et que les organisations peuvent choisir librement de s'y soumettre ou non. Elle garantit également que les critères de certification, les procédures d'évaluation et les conditions de délivrance, de renouvellement et de retrait de la certification sont publics et accessibles à toutes les organisations intéressées.

La transparence du processus de certification est essentielle pour garantir la confiance des personnes concernées et des partenaires commerciaux dans la valeur de la certification. Elle permet également aux organisations de comprendre les exigences auxquelles elles doivent satisfaire pour obtenir la certification et de préparer leur dossier de candidature en conséquence.

Portée juridique de la certification

Le paragraphe 4 de l'article 42 précise que la certification ne réduit pas la responsabilité du responsable du traitement ou du sous-traitant concernant le respect du RGPD et est sans préjudice des missions et pouvoirs des autorités de contrôle. Cette disposition rappelle que l'obtention d'une certification ne dispense pas l'organisation de ses obligations au titre du RGPD et ne la met pas à l'abri d'un contrôle ou d'une sanction par l'autorité de contrôle en cas de manquement constaté.

La certification constitue un élément de démonstration de la conformité, mais ne crée pas de présomption irréfragable de respect du RGPD. Les autorités de contrôle conservent l'intégralité de leurs prérogatives de contrôle, d'investigation et de sanction, indépendamment de l'existence d'une certification. Toutefois, l'adhésion à un mécanisme de certification approuvé peut être prise en compte par les autorités de contrôle dans l'appréciation de la conformité de l'organisation et dans la détermination du montant des sanctions administratives en cas de manquement, conformément à l'article 83, paragraphe 2, point j) du RGPD.

Délivrance de la certification

Le paragraphe 5 de l'article 42 prévoit que la certification est délivrée soit par des organismes de certification accrédités conformément à l'article 43 du RGPD, soit directement par l'autorité de contrôle compétente. Dans les deux cas, la certification doit se fonder sur des critères approuvés par l'autorité de contrôle compétente en vertu de l'article 55 ou 56, ou par le Comité européen de la protection des données (CEPD) en application de l'article 63.

Lorsque les critères de certification sont approuvés par le CEPD, cela peut donner lieu à une certification commune, le label européen de protection des données. Ce label commun présente l'avantage d'être reconnu dans l'ensemble des États membres de l'Union européenne, facilitant ainsi les activités transfrontalières et renforçant la confiance des personnes concernées dans les pratiques de traitement des données des organisations certifiées.

Procédure de certification

Le paragraphe 6 de l'article 42 impose au responsable du traitement ou au sous-traitant qui soumet son traitement à la certification de fournir à l'organisme de certification ou à l'autorité de contrôle toutes les informations et tous les accès à ses activités de traitement nécessaires pour mener à bien la procédure de certification. Cette obligation de coopération garantit que l'organisme de certification ou l'autorité de contrôle dispose des éléments nécessaires pour évaluer la conformité des traitements aux critères de certification.

La procédure de certification peut inclure des audits documentaires, des inspections sur site, des entretiens avec les équipes de l'organisation, des tests de sécurité ou d'autres méthodes d'évaluation adaptées à la nature et à la portée des traitements concernés. L'organisme de certification ou l'autorité de contrôle vérifie que les traitements respectent les critères de certification et formule, le cas échéant, des recommandations pour remédier aux écarts constatés avant la délivrance de la certification.

Durée, renouvellement et retrait de la certification

Le paragraphe 7 de l'article 42 fixe la durée maximale de la certification à trois ans. La certification peut être renouvelée dans les mêmes conditions, pour autant que les exigences en la matière continuent d'être satisfaites. Cette limitation dans le temps garantit que la certification fait l'objet d'un réexamen périodique et que les organisations certifiées maintiennent leur niveau de conformité au fil du temps.

La certification doit être retirée par l'organisme de certification ou par l'autorité de contrôle lorsque les exigences de la certification ne sont pas ou plus satisfaites. Ce retrait peut intervenir à la suite d'un contrôle périodique, d'une réclamation ou d'un signalement révélant que l'organisation certifiée ne respecte plus les critères de certification. Le retrait de la certification constitue une sanction grave, susceptible de porter atteinte à la réputation de l'organisation et de remettre en cause ses relations commerciales.

Registre public des certifications

Le paragraphe 8 de l'article 42 confie au Comité européen de la protection des données (CEPD) la mission de rassembler dans un registre tous les mécanismes de certification, labels et marques de protection des données, et de les rendre publics par tout moyen approprié. Ce registre public permet aux personnes concernées, aux organisations et aux autorités de contrôle de consulter la liste des mécanismes de certification reconnus au niveau européen et d'identifier les organisations certifiées.

Ce registre renforce la transparence du dispositif de certification et facilite la reconnaissance mutuelle des certifications entre États membres. Il constitue également un outil de référence pour les organisations souhaitant identifier les mécanismes de certification disponibles et adaptés à leurs activités de traitement.

Articulation avec les autres dispositions du RGPD

L'article 42 s'articule étroitement avec l'article 43, qui définit les conditions d'accréditation des organismes de certification. Il s'articule également avec l'article 46, paragraphe 2, point f), qui prévoit que les certifications peuvent constituer des garanties appropriées pour les transferts internationaux de données vers des pays tiers ne bénéficiant pas d'une décision d'adéquation.

La certification peut également être prise en compte dans l'appréciation de la conformité globale de l'organisation aux obligations du RGPD, notamment en matière de responsabilisation (accountability), de protection des données dès la conception (privacy by design) et de mesures de sécurité appropriées (article 32).

Jurisprudence relative à l'article 42

À ce jour, peu de mécanismes de certification ont été approuvés au niveau européen depuis l'entrée en application du RGPD en 2018, en raison de la complexité de la procédure d'élaboration des critères de certification et d'accréditation des organismes de certification. Néanmoins, plusieurs projets sectoriels sont en cours d'examen par les autorités de contrôle nationales et le Comité européen de la protection des données (CEPD).

La CNIL française a approuvé plusieurs critères de certification, notamment en matière de formation à la protection des données, de centres d'hébergement de données de santé et de prestataires de services en informatique en nuage (cloud computing). Ces certifications fournissent des garanties de conformité reconnues au niveau national et peuvent faciliter les relations commerciales et la confiance des personnes concernées.

Recommandations de la CNIL et du CEPD

Le Comité européen de la protection des données (CEPD) a adopté les lignes directrices 1/2018 relatives à la certification et à l'identification des critères de certification conformément aux articles 42 et 43 du RGPD. Ces lignes directrices précisent les conditions d'élaboration des critères de certification, les exigences d'accréditation des organismes de certification et les procédures de délivrance, de renouvellement et de retrait de la certification.

La CNIL encourage les secteurs d'activité et les organisations à développer des mécanismes de certification adaptés à leurs spécificités, afin de faciliter la mise en conformité et de renforcer la confiance des personnes concernées. Elle recommande aux porteurs de projets de certification de consulter l'autorité de contrôle en amont de l'élaboration des critères, afin d'identifier rapidement les éventuelles difficultés et de garantir la conformité du projet avec le RGPD.

Le CEPD insiste sur l'importance de la transparence des critères de certification et des procédures d'évaluation, qui conditionnent la confiance des organisations candidates à la certification et des personnes concernées dans la valeur de la certification. Un mécanisme de certification opaque ou peu rigoureux ne peut prétendre offrir des garanties suffisantes et appropriées au sens du RGPD.

Implications pratiques pour les responsables de traitement

Pour les organisations, l'obtention d'une certification peut faciliter la démonstration de la conformité au RGPD et renforcer la confiance des personnes concernées et des partenaires commerciaux. La certification peut également constituer un argument concurrentiel et faciliter les transferts internationaux de données vers des pays tiers ne bénéficiant pas d'une décision d'adéquation.

Les organisations candidates à la certification doivent toutefois veiller à respecter effectivement les critères de certification et à maintenir leur niveau de conformité pendant toute la durée de validité de la certification, sous peine de retrait de la certification par l'organisme de certification ou par l'autorité de contrôle. L'obtention d'une certification ne dispense pas l'organisation de ses autres obligations au titre du RGPD et ne la met pas à l'abri d'un contrôle ou d'une sanction par l'autorité de contrôle en cas de manquement constaté.