Doctrine
Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
Article 43 du RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données
RGPD - Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 43 - Organismes de certification


Version en vigueur
Entrée en vigueur : 24 mai 2016

1.   Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, les organismes de certification disposant d'un niveau d'expertise approprié en matière de protection des données délivrent et renouvellent les certifications, après en avoir informé l'autorité de contrôle pour qu'elle puisse exercer au besoin les pouvoirs qui lui sont dévolus en vertu de l'article 58, paragraphe 2, point h). Les États membres veillent à ce que ces organismes de certification soient agréés par une des entités suivantes ou les deux:

a)

l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56;

b)

l'organisme national d'accréditation désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (20), conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.

2.   Les organismes de certification visés au paragraphe 1 ne sont agréés conformément audit paragraphe que lorsqu'ils ont:

a)

démontré, à la satisfaction de l'autorité de contrôle compétente, leur indépendance et leur expertise au regard de l'objet de la certification;

b)

pris l'engagement de respecter les critères visés à l'article 42, paragraphe 5, et approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou par le comité, en vertu de l'article 63;

c)

mis en place des procédures en vue de la délivrance, de l'examen périodique et du retrait d'une certification, de labels et de marques en matière de protection des données;

d)

établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et

e)

démontré, à la satisfaction de l'autorité de contrôle compétente, que leurs tâches et leurs missions n'entraînent pas de conflit d'intérêts.

3.   L'agrément des organismes de certification visés aux paragraphes 1 et 2 du présent article se fait sur la base de critères approuvés par l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 ou, par le comité en vertu de l'article 63. En cas d'agrément en application du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues dans le règlement (CE) no 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.

4.   Les organismes de certification visés au paragraphe 1 sont chargés de procéder à l'évaluation appropriée conduisant à la délivrance de la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement. L'agrément est délivré pour une durée maximale de cinq ans et peut être renouvelé dans les mêmes conditions tant que l'organisme de certification satisfait aux exigences énoncées au présent article.

5.   Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.

6.   Les exigences visées au paragraphe 3 du présent article et les critères visés à l'article 42, paragraphe 5, sont publiés par les autorités de contrôle sous une forme aisément accessible. Les autorités de contrôle transmettent aussi ces exigences et ces critères au comité. Le comité consigne dans un registre tous les mécanismes de certification et les labels en matière de protection des données et les met à la disposition du public par tout moyen approprié.

7.   Sans préjudice du chapitre VIII, l'autorité de contrôle compétente ou l'organisme national d'accréditation révoque l'agrément d'un organisme de certification en application du paragraphe 1 du présent article si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme de certification constituent une violation du présent règlement.

8.   La Commission est habilitée à adopter des actes délégués en conformité avec l'article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l'article 42, paragraphe 1.

9.   La Commission peut adopter des actes d'exécution visant à fixer des normes techniques pour les mécanismes de certification, les labels et les marques en matière de protection des données, ainsi que les mécanismes aux fins de la promotion et de la reconnaissance de ces mécanismes de certification, labels et marques. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

Décisions6

Afficher tout (6)
1CNIL, Délibération du 22 septembre 2022, n° 2022-095

[…] Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), notamment ses articles 43 et 57-1-p ;

 Lire la suite…
  • Certification·
  • Évaluation·
  • Iso·
  • Traitement de données·
  • Protection des données·
  • Cnil·
  • Critère·
  • Cible·
  • Client·
  • Personnel
2CJUE, n° C-687/21, Arrêt de la Cour, BL contre MediaMarktSaturn Hagen-Iserlohn GmbH, 25 janvier 2024

[…] L'article 6 dudit règlement, intitulé « Licéité du traitement », définit, à son paragraphe 1, les conditions qui doivent être remplies pour qu'un traitement soit licite. 9 Le chapitre IV du RGPD, intitulé « Responsable du traitement et sous-traitant », comporte les articles 24 à 43 de celui-ci. 10 Figurant sous la section 1 de ce chapitre IV, intitulée « Obligations générales », cet article 24, lui-même intitulé « Responsabilité du responsable du traitement », énonce, à ses paragraphes 1 et 2 :

 Lire la suite…
  • Principes, objectifs et missions des traités·
  • Politique intérieure de l'Union européenne·
  • Rapprochement des législations·
  • Mesures de rapprochement·
  • Protection des données·
  • Télécommunications·
  • Responsable du traitement·
  • Règlement·
  • Traitement de données·
  • Caractère
3Conseil d'État, Juge des référés, 19 juin 2020, 440916, Inédit au recueil Lebon
Rejet Conseil d'État : Rejet

[…] 21. L'article 28 du règlement général sur la protection des données prévoit que : " 1. […] Sans préjudice d'un contrat particulier entre le responsable du traitement et le sous-traitant, le contrat ou l'autre acte juridique visé aux paragraphes 3 et 4 du présent article peut être fondé, en tout ou en partie, sur les clauses contractuelles types visées aux paragraphes 7 et 8 du présent article, y compris lorsqu'elles font partie d'une certification délivrée au responsable du traitement ou au sous-traitant en vertu des articles 42 et 43. / 7. […]

 Lire la suite…
  • Données de santé·
  • Plateforme·
  • Protection des données·
  • Responsable du traitement·
  • Épidémie·
  • État d'urgence·
  • Système·
  • Personne concernée·
  • Transfert de données·
  • Caractère
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion
Afficher tout (6)

Commentaires24

Afficher tout (24)
www.august-debouzy.com · 16 décembre 2020

Il apparait aux auteurs du présent article que dès lors qu'une certification, conformément aux articles 42 et 43 du RGPD n'est pas obligatoire, les normes (ou critères de certification), fruits du travail d'acteurs privés et œuvres protégées par le droit d'auteur, n'ont pas vocation à être mises à disposition dans leur intégralité gratuitement.

 Lire la suite…
Florence Chafiol, Alice Hourquebie · August et Debouzy · 16 décembre 2020

L'article 43 (6) du Règlement Général sur la Protection des Données (ci-après le « RGPD ») prévoit que les exigences liées à l'agrément et les critères de certification doivent être « publiés par les autorités de contrôle sous une forme aisément accessible ». […] L'interprétation de la notion « aisement accessible » par des acteurs européens

 Lire la suite…
Testez Doctrine gratuitement
pendant 7 jours
Démarrer
Vous avez déjà un compte ?Connexion
Afficher tout (24)

Doctrine / Droit de l'Union Européenne / Règlements / 2016 / Règlement RGPD n°2016/679

  1. Doctrine
  2. Droit de l'Union Européenne
  3. Règlements
  4. 2016
  5. Règlement RGPD n°2016/679
Contactez notre service commercial au 01 84 80 33 48