La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD), notamment son article 42 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés » ), notamment son article 8-I-2° h) ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 74 ;

Vu l’avis 3/2025 du Comité européen de la protection des données (CEPD) relatif au projet de décision de l’autorité de contrôle française concernant l’approbation des critères de la certification « Lexing certification RGPD » portée par la société Lexing, adopté le 8 avril 2025 ;

Après avoir entendu le rapport de M^me Anne Debet, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

L’article 42.5 du RGPD prévoit que la certification est délivrée sur la base de critères approuvés par une autorité de contrôle compétente en application de l’article 58.3 f).

L’article 64.1 c) du RGPD prévoit que l’autorité de contrôle compétente communique son projet de décision d’approbation au Comité européen de la protection des données (CEPD) conformément au mécanisme de « contrôle de la cohérence » .

Le 20 janvier 2025, la CNIL a été saisie par la société Lexing ( « le porteur ») d’une demande d’approbation des critères d’un projet de certification nationale.

Le 30 janvier 2025, la CNIL a soumis ce projet de certification à l’avis du CEPD, qui a adopté un avis favorable avec recommandations le 8 avril 2025.

Les critères de la certification « Lexing certification RGPD » v.5 répondent aux exigences prévues par l’article 42 du RGPD.

Les responsables de traitement qui souhaitent candidater à la certification soumettront leurs traitements de données à caractère personnel à une évaluation réalisée par un organisme certificateur agréé en vertu de l’article 43 du RGPD.

Les certifications sont délivrées pour une durée de 3 ans.

Le projet du porteur suit une approche généraliste pour permettre la certification d’une grande diversité de traitements de données : la certification est ouverte à l’usage de n’importe quelle technologie et aux acteurs de tous les secteurs.

Ne sont pas éligibles à la certification, les traitements de données à caractère personnel mis en œuvre en qualité de sous-traitant au titre de l’article 28 du RGPD, en qualité de responsable conjoint du traitement au titre de l’article 26 du RGPD ou par un responsable de traitement établi hors de l’Union européenne et soumis au RGPD au titre de son article 3.2.

La certification ne fournit pas les garanties nécessaires dans le cadre d’un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, telles que visées à l’article 46 du RGPD.

Décide :

• de l’approbation des critères de la certification nationale « Lexing certification RGPD » v.5, annexés à la délibération ;
• que le Comité français d’accréditation (COFRAC), instance nationale d’accréditation, procèdera à l’agrément des organismes certificateurs, conformément à la convention de coopération conclue entre la CNIL et ce dernier ;
• que les critères de la certification seront publiés par la CNIL et qu’ils seront transmis au CEPD afin d’être consignés dans le registre des mécanismes de certification et les labels en matière de protection des données, conformément à l’article 43.6 du RGPD ;
• en cas de modification des critères, la CNIL, après en avoir été informée par le porteur, décidera si une nouvelle procédure d’approbation est nécessaire.

Cette décision sera publiée sur le site Légifrance.

La présidente,

M.-L. Denis