Le CEPD a adopté ses lignes directrices sur la certification et l’identification des critères de certification conformément aux articles 42 et 43 du Règlement 2016/679.
Objectifs du document
L’objectif principal de ces lignes directrices est d’identifier des critères généraux susceptibles de s’appliquer à tous les types de mécanismes de certification établis conformément aux articles 42 et 43 du RGPD. À cette fin, elles :
- Ont exploré les raisons de la certification en tant qu’outil de responsabilisation ;
- Ont expliqué les concepts clés des dispositions relatives à la certification prévues aux articles 42 et 43 ; et
- Ont expliqué la portée de la certification en vertu des articles 42 et 43 et son objectif.
Elles ont fourni des conseils sur l’interprétation et la mise en œuvre des dispositions des articles 42 et 43. Ces lignes aident les États membres, les autorités de contrôle et les organismes d’accréditation nationaux pour établir une approche plus cohérente et harmonieuse pour la mise en œuvre des mécanismes de certification conformément au RGPD.
Ces lignes sont pertinentes pour :
Le CEPD a précisé que ses lignes directrices sont pertinentes pour :
« les autorités de contrôle compétentes et le CEPD, lorsqu’ils approuvent les critères de certification prévus par l’article 42, paragraphe 5, et à l’article 58, paragraphe 3, point f) ;
les organismes de certification lors de la rédaction et de la révision des critères de certification avant d’être soumis à l’autorité de contrôle compétente pour approbation, conformément à l’article 42, paragraphe 5 ;
les autorités de contrôle, lors de la rédaction de leurs propres critères de certification ;
la Commission européenne, habilitée à adopter des actes délégués afin de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en vertu de l’article 43, paragraphe 8 ;
le CEPD lorsqu’il rend à la Commission européenne un avis sur les exigences en matière de certification conformément à l’article 70,paragraphe 1, point q) et à l’article 43, paragraphe 8;
les organismes d’accréditation nationaux, qui doivent prendre en compte les critères de certification en vue de l’accréditation d’organismes de certification conformément à la norme EN-ISO / IEC 17065/2012 et aux exigences supplémentaires définies à l’article 43 ; et
les responsables de traitement et les sous-traitants lorsqu’ils définissent leur propre stratégie de conformité au RGPD et considèrent la certification comme un moyen de démontrer la conformité ».