1. Sans préjudice des tâches et des pouvoirs de l’autorité de contrôle compétente en vertu des articles 57 et 58, les organismes de certification qui possèdent un niveau approprié d’expertise en matière de protection des données délivrent et renouvellent la certification, après en avoir informé l’autorité de contrôle afin de lui permettre d’exercer, le cas échéant, les pouvoirs qui lui sont conférés en vertu de l’article 58, paragraphe 2, point h).
Les États membres veillent à ce que ces organismes de certification soient accrédités par l’un des organismes suivants ou par les deux :
|
(a) |
l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56; |
|
(b) |
l’organisme national d’accréditation désigné conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (20), conformément à la norme EN-ISO/IEC 17065/2012 et aux exigences supplémentaires établies par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56. |
2. Les organismes de certification visés au paragraphe 1 ne sont agréés conformément audit paragraphe que lorsqu’ils ont:
|
(a) |
démontré, à la satisfaction de l’autorité de contrôle compétente, leur indépendance et leur expertise au regard de l’objet de la certification; |
|
(b) |
pris l’engagement de respecter les critères visés à l’article 42, paragraphe 5, et approuvés par l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56 ou par le comité, en vertu de l’article 63; |
|
(c) |
mis en place des procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labels et de marques en matière de protection des données; |
|
(d) |
établi des procédures et des structures pour traiter les réclamations relatives aux violations de la certification ou à la manière dont la certification a été ou est appliquée par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public; et |
|
(e) |
démontré, à la satisfaction de l’autorité de contrôle compétente, que leurs tâches et leurs missions n’entraînent pas de conflit d’intérêts. |
3. L’accréditation des organismes de certification visée aux paragraphes 1 et 2 du présent article s’effectue sur la base de critères approuvés par l’autorité de contrôle compétente en vertu de l’article 55 ou 56 ou par le conseil d’administration en vertu de l’article 63.
Dans le cas de l’accréditation en vertu du paragraphe 1, point b), du présent article, ces exigences complètent celles prévues par le règlement (CE) n° 765/2008 et les règles techniques qui décrivent les méthodes et procédures des organismes de certification.
4. Les organismes de certification visés au paragraphe 1 sont responsables de l’évaluation appropriée conduisant à la certification ou au retrait de cette certification, sans préjudice de la responsabilité du responsable du traitement ou du sous-traitant en ce qui concerne le respect du présent règlement.
L’accréditation est délivrée pour une période maximale de cinq ans et peut être renouvelée dans les mêmes conditions, pour autant que l’organisme de certification satisfasse aux exigences énoncées dans le présent article.
5. Les organismes de certification visés au paragraphe 1 communiquent aux autorités de contrôle compétentes les raisons de la délivrance ou du retrait de la certification demandée.
6. Les exigences visées au paragraphe 3 du présent article et les critères visés à l’article 42, paragraphe 5, sont rendus publics par l’autorité de contrôle sous une forme aisément accessible.
Les autorités de contrôle transmettent également ces exigences et critères au conseil.
Le conseil rassemble tous les mécanismes de certification et les sceaux de protection des données dans un registre et les met à la disposition du public par tout moyen approprié.
7. Sans préjudice du chapitre VIII, l’autorité de contrôle compétente ou l’organisme national d’accréditation révoque l’agrément d’un organisme de certification en application du paragraphe 1 du présent article si les conditions d’agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l’organisme de certification constituent une violation du présent règlement.
8. La Commission est habilitée à adopter des actes délégués en conformité avec l’article 92, aux fins de préciser les exigences à prendre en considération en ce qui concerne les mécanismes de certification en matière de protection des données visés à l’article 42, paragraphe 1.
9. La Commission peut adopter des actes d’exécution établissant des normes techniques pour les mécanismes de certification et les sceaux et marques de protection des données, ainsi que des mécanismes de promotion et de reconnaissance de ces mécanismes de certification, sceaux et marques.
Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.
Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.
Once you have submitted your details, you’ll be our top priority!
