L'article 43 du Règlement général sur la protection des données (RGPD) établit le cadre juridique des organismes chargés de délivrer les certifications en matière de protection des données prévues à l'article 42. Ces organismes de certification jouent un rôle essentiel dans le mécanisme de responsabilisation (accountability) instauré par le RGPD, en garantissant que les responsables de traitement et sous-traitants candidats à la certification respectent effectivement les critères approuvés par les autorités de contrôle ou le Comité européen de la protection des données (CEPD).
L'accréditation des organismes de certification constitue une garantie de leur compétence, de leur indépendance et de leur impartialité dans l'exercice de leurs missions d'évaluation et de certification. Elle est délivrée soit par l'autorité de contrôle compétente, soit par l'organisme national d'accréditation conformément au règlement (CE) n° 765/2008 et à la norme européenne ISO/IEC 17065/2012. Cette double voie d'accréditation permet de s'appuyer sur l'expertise des organismes nationaux d'accréditation tout en garantissant le contrôle des autorités de protection des données.
L'article 43 précise les conditions d'accréditation des organismes de certification, leurs missions, les exigences auxquelles ils doivent satisfaire et les conditions de révocation de leur accréditation. Il garantit ainsi la fiabilité et la crédibilité des certifications délivrées et contribue à renforcer la confiance des personnes concernées et des partenaires commerciaux dans les pratiques de traitement des données des organisations certifiées.
Texte officiel de l'article 43 du RGPD
L'article 43 du RGPD dispose notamment que :
« 1. Sans préjudice des missions et pouvoirs de l'autorité de contrôle compétente en vertu des articles 55 et 56, les organismes de certification qui disposent d'un niveau approprié d'expertise au regard de la protection des données accordent la certification et la renouvellent après avoir informé l'autorité de contrôle afin qu'elle puisse exercer ses pouvoirs en application de l'article 58, paragraphe 2, point h), si besoin est. Les États membres veillent à ce que ces organismes de certification soient accrédités par l'une des entités suivantes ou par les deux : a) l'autorité de contrôle compétente en vertu des articles 55 ou 56 ; b) l'organisme national d'accréditation désigné en vertu du règlement (CE) n° 765/2008 du Parlement européen et du Conseil en conformité avec la norme européenne ISO/IEC 17065/2012 et avec les exigences supplémentaires établies par l'autorité de contrôle compétente en vertu de l'article 55 ou 56.
2. Les organismes de certification visés au paragraphe 1 ne sont accrédités conformément à ce paragraphe que s'ils ont : a) démontré de manière indépendante qu'ils possèdent l'expertise nécessaire en matière de protection des données à caractère personnel ; b) s'engagent à respecter les critères visés à l'article 42, paragraphe 5 ; c) établi des procédures pour la délivrance, le réexamen périodique et le retrait des certifications, labels et marques de protection des données ; d) établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes pour les personnes concernées et le public ; et e) démontré de manière indépendante qu'ils ne se trouvent pas dans une situation de conflit d'intérêts avec le responsable du traitement ou le sous-traitant qui relève de l'évaluation.
3. L'accréditation des organismes de certification visés aux paragraphes 1 et 2 du présent article a lieu sur la base de critères approuvés par l'autorité de contrôle compétente en vertu de l'article 55 ou 56 ou par le comité en application de l'article 63. Dans le cas d'une accréditation en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues par le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures utilisées par les organismes de certification.
4. Les organismes de certification visés au paragraphe 1 sont chargés : a) de délivrer et de renouveler la certification de manière appropriée ; b) de retirer la certification en cas de non-respect, selon le cas, des critères visés à l'article 42, paragraphe 5 ; et c) d'informer l'autorité de contrôle compétente des raisons pour lesquelles la certification a été délivrée ou retirée.
5. Les organismes de certification visés au paragraphe 1 publient sur demande les critères approuvés pour la certification visée à l'article 42, paragraphe 5, ainsi que les exigences relatives à la protection des données applicables en matière de certification.
6. L'autorité de contrôle compétente révoque l'accréditation d'un organisme de certification visé au paragraphe 1 du présent article si les conditions d'accréditation ne sont pas ou plus remplies ou si les mesures prises par l'organisme de certification enfreignent le présent règlement.
7. La Commission peut préciser les exigences à prendre en compte pour les mécanismes de certification en matière de protection des données visés à l'article 42, paragraphe 1, par voie d'actes d'exécution. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
8. La Commission peut adopter des actes délégués, conformément à l'article 92, afin de préciser les exigences à prendre en compte pour les mécanismes de certification visés à l'article 42, paragraphe 1, aux fins d'une application ultérieure dans l'ensemble de l'Union. »
Ce texte établit les conditions d'accréditation des organismes de certification, leurs missions, les exigences auxquelles ils doivent satisfaire et les conditions de révocation de leur accréditation par l'autorité de contrôle compétente.
Double voie d'accréditation des organismes de certification
Le paragraphe 1 de l'article 43 prévoit que les organismes de certification peuvent être accrédités soit par l'autorité de contrôle compétente en vertu des articles 55 ou 56 du RGPD, soit par l'organisme national d'accréditation désigné en vertu du règlement (CE) n° 765/2008, conformément à la norme européenne ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle compétente.
Cette double voie d'accréditation permet de s'appuyer sur l'expertise et les procédures existantes des organismes nationaux d'accréditation, tout en garantissant que les spécificités de la protection des données personnelles sont prises en compte par les autorités de contrôle. Dans le cas d'une accréditation par l'organisme national d'accréditation, celui-ci doit respecter les exigences supplémentaires établies par l'autorité de contrôle compétente, garantissant ainsi la conformité de l'organisme de certification avec les exigences du RGPD.
Conditions d'accréditation des organismes de certification
Le paragraphe 2 de l'article 43 énumère les cinq conditions cumulatives que doit remplir un organisme pour être accrédité en tant qu'organisme de certification. L'organisme doit d'abord démontrer de manière indépendante qu'il possède l'expertise nécessaire en matière de protection des données à caractère personnel. Cette expertise inclut une connaissance approfondie du RGPD, de la jurisprudence européenne et nationale en matière de protection des données, des bonnes pratiques en matière de sécurité et de conformité et des spécificités des secteurs d'activité concernés par la certification.
L'organisme doit ensuite s'engager à respecter les critères de certification approuvés par l'autorité de contrôle ou le CEPD en application de l'article 42, paragraphe 5 du RGPD. Cet engagement garantit que l'organisme de certification appliquera de manière rigoureuse et impartiale les critères définis pour l'évaluation de la conformité des responsables de traitement et sous-traitants candidats à la certification.
L'organisme doit également établir des procédures pour la délivrance, le réexamen périodique et le retrait des certifications, labels et marques de protection des données. Ces procédures doivent garantir un processus d'évaluation transparent, rigoureux et équitable, ainsi qu'un suivi régulier des organisations certifiées pour vérifier qu'elles maintiennent leur niveau de conformité pendant toute la durée de validité de la certification.
L'organisme doit en outre établir des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable de traitement ou un sous-traitant. Ces procédures doivent être transparentes pour les personnes concernées et le public, garantissant ainsi un accès effectif au mécanisme de réclamation et une gestion impartiale des litiges.
Enfin, l'organisme doit démontrer de manière indépendante qu'il ne se trouve pas dans une situation de conflit d'intérêts avec les responsables de traitement ou sous-traitants qu'il évalue. Cette exigence garantit l'indépendance et l'impartialité de l'organisme de certification dans l'exercice de ses missions d'évaluation et de certification.
Critères d'accréditation
Le paragraphe 3 de l'article 43 précise que l'accréditation des organismes de certification a lieu sur la base de critères approuvés par l'autorité de contrôle compétente en vertu de l'article 55 ou 56, ou par le Comité européen de la protection des données (CEPD) en application de l'article 63 du RGPD. Cette approbation garantit que les critères d'accréditation sont conformes aux exigences du RGPD et cohérents au niveau européen.
Dans le cas d'une accréditation par l'organisme national d'accréditation en application du paragraphe 1, point b), les exigences fixées par l'autorité de contrôle complètent celles prévues par le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures utilisées par les organismes de certification. Cette articulation garantit la prise en compte des spécificités de la protection des données personnelles dans le processus d'accréditation.
Missions des organismes de certification
Le paragraphe 4 de l'article 43 énumère les trois missions principales des organismes de certification. Ils sont chargés de délivrer et de renouveler la certification de manière appropriée, en vérifiant que les responsables de traitement ou sous-traitants candidats respectent les critères de certification approuvés par l'autorité de contrôle ou le CEPD.
Ils doivent également retirer la certification en cas de non-respect des critères visés à l'article 42, paragraphe 5 du RGPD. Ce pouvoir de retrait garantit l'effectivité de la certification et la crédibilité du mécanisme de certification. Un organisme de certification ne retirant pas la certification d'une organisation ne respectant plus les critères s'expose à la révocation de son accréditation par l'autorité de contrôle.
Enfin, les organismes de certification doivent informer l'autorité de contrôle compétente des raisons pour lesquelles la certification a été délivrée ou retirée. Cette obligation d'information garantit la transparence du processus de certification et permet à l'autorité de contrôle d'exercer ses pouvoirs de surveillance et de contrôle prévus à l'article 58, paragraphe 2, point h) du RGPD.
Publication des critères de certification
Le paragraphe 5 de l'article 43 impose aux organismes de certification de publier sur demande les critères approuvés pour la certification visée à l'article 42, paragraphe 5, ainsi que les exigences relatives à la protection des données applicables en matière de certification. Cette publication garantit la transparence du processus de certification et permet aux organisations candidates de comprendre les exigences auxquelles elles doivent satisfaire pour obtenir la certification.
La transparence des critères de certification est essentielle pour garantir la confiance des personnes concernées et des partenaires commerciaux dans la valeur de la certification. Elle permet également aux organisations de préparer leur dossier de candidature en conséquence et de mettre en œuvre les mesures nécessaires pour satisfaire aux critères de certification.
Révocation de l'accréditation
Le paragraphe 6 de l'article 43 confère à l'autorité de contrôle compétente le pouvoir de révoquer l'accréditation d'un organisme de certification si les conditions d'accréditation ne sont pas ou plus remplies, ou si les mesures prises par l'organisme de certification enfreignent le RGPD. Cette disposition garantit que l'accréditation peut être retirée à un organisme de certification ne remplissant plus les conditions d'expertise, d'indépendance ou de procédures de certification requises.
La révocation de l'accréditation constitue une sanction grave, susceptible de remettre en cause l'existence même des certifications délivrées par l'organisme si aucun organisme de certification accrédité ne peut reprendre le suivi des organisations certifiées. Les organismes de certification doivent donc veiller en permanence à maintenir le niveau d'expertise, d'indépendance et de procédures de certification requis par l'article 43 et par les critères d'accréditation établis par l'autorité de contrôle.
Précisions par la Commission européenne
Le paragraphe 7 de l'article 43 confère à la Commission européenne le pouvoir de préciser les exigences à prendre en compte pour les mécanismes de certification en matière de protection des données par voie d'actes d'exécution, adoptés conformément à la procédure d'examen prévue à l'article 93, paragraphe 2 du RGPD. Ces actes d'exécution peuvent harmoniser les exigences de certification au niveau européen et faciliter la reconnaissance mutuelle des certifications entre États membres.
Le paragraphe 8 de l'article 43 confère également à la Commission européenne le pouvoir d'adopter des actes délégués, conformément à l'article 92 du RGPD, afin de préciser les exigences à prendre en compte pour les mécanismes de certification aux fins d'une application ultérieure dans l'ensemble de l'Union. Ces actes délégués peuvent compléter les exigences du RGPD en matière de certification et faciliter le développement de certifications communes au niveau européen.
Articulation avec les autres dispositions du RGPD
L'article 43 s'articule étroitement avec l'article 42, qui établit le mécanisme de certification en matière de protection des données et prévoit que les certifications sont délivrées par des organismes de certification accrédités ou par les autorités de contrôle. L'article 43 précise les conditions d'accréditation et les missions de ces organismes de certification.
L'article 43 doit également être lu en lien avec les articles 55 et 56 du RGPD, qui définissent la compétence des autorités de contrôle et préservent leurs missions et pouvoirs en matière de contrôle et de sanction, indépendamment de l'existence d'une certification délivrée par un organisme accrédité. Les organismes de certification complètent l'action des autorités de contrôle, mais ne se substituent pas à elles.
Jurisprudence relative à l'article 43
À ce jour, peu d'organismes de certification ont été accrédités au niveau européen depuis l'entrée en application du RGPD en 2018, en raison de la complexité de la procédure d'accréditation et de l'exigence de garanties strictes en matière d'expertise, d'indépendance et de procédures de certification. Néanmoins, plusieurs projets d'accréditation sont en cours d'examen par les autorités de contrôle nationales et les organismes nationaux d'accréditation.
La CNIL française a défini des critères d'accréditation des organismes de certification, précisant les exigences en matière d'expertise, d'indépendance, de procédures de certification et de traitement des réclamations. Ces critères ont été soumis au Comité européen de la protection des données (CEPD) conformément à la procédure de cohérence prévue à l'article 63 du RGPD et constituent une référence pour les organismes candidats à l'accréditation.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données (CEPD) a adopté les lignes directrices 1/2018 relatives à la certification et à l'identification des critères de certification conformément aux articles 42 et 43 du RGPD. Ces lignes directrices précisent les conditions d'accréditation des organismes de certification, les procédures de certification, les mécanismes de traitement des réclamations et les pouvoirs en cas de non-respect des critères de certification.
La CNIL recommande aux organismes candidats à l'accréditation de démontrer de manière rigoureuse leur expertise, leur indépendance et la robustesse de leurs procédures de certification et de traitement des réclamations. Elle encourage également les organismes de certification à établir un dialogue régulier avec l'autorité de contrôle, afin de faciliter la coordination des actions de contrôle et de garantir la cohérence des pratiques.
Le CEPD insiste sur l'importance de la transparence des critères de certification et des procédures d'évaluation, qui conditionnent la confiance des organisations candidates à la certification et des personnes concernées dans la valeur de la certification. Un organisme de certification opaque ou peu rigoureux ne peut prétendre offrir des garanties suffisantes et appropriées au sens du RGPD.
Implications pratiques pour les organismes de certification
Pour les organismes candidats à l'accréditation, l'article 43 impose de démontrer de manière rigoureuse leur expertise, leur indépendance et la robustesse de leurs procédures de certification et de traitement des réclamations. Les organismes doivent formaliser leurs méthodes d'évaluation, leurs critères d'appréciation de la conformité, leurs procédures de réclamation et leurs mécanismes de retrait de la certification en cas de non-respect des critères.
Les organismes de certification accrédités doivent veiller en permanence à maintenir le niveau d'expertise, d'indépendance et de procédures de certification requis par l'article 43 et par les critères d'accréditation établis par l'autorité de contrôle, sous peine de révocation de leur accréditation. Ils doivent également informer l'autorité de contrôle de toute délivrance ou retrait de certification, ainsi que des raisons pour lesquelles ces décisions ont été prises.
L'article 43 du RGPD établit le cadre juridique des organismes chargés de délivrer les certifications en matière de protection des données. Il impose l'accréditation de ces organismes soit par l'autorité de contrôle compétente, soit par l'organisme national d'accréditation, sous réserve de garanties strictes en matière d'expertise, d'indépendance, de procédures de certification et de traitement des réclamations. Les organismes de certification sont chargés de délivrer, de renouveler et de retirer les certifications, et doivent informer l'autorité de contrôle de leurs décisions. Pour les mécanismes de certification, l'existence d'organismes de certification accrédités est indispensable pour garantir leur fiabilité, leur crédibilité et la confiance des personnes concernées et des partenaires commerciaux.