1. Les États membres, les autorités de contrôle, le Conseil et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données et de sceaux et marques de protection des données, afin de démontrer la conformité au présent règlement des opérations de traitement effectuées par les responsables du traitement et les sous-traitants.
Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en compte.
2. Outre l’adhésion des responsables du traitement ou des sous-traitants soumis au présent règlement, des mécanismes de certification de la protection des données, des sceaux ou des marques approuvés en vertu du paragraphe 5 du présent article peuvent être établis afin de démontrer l’existence de garanties appropriées fournies par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l’article 3 dans le cadre de transferts de données à caractère personnel vers des pays tiers ou des organisations internationales dans les conditions visées à l’article 46, paragraphe 2, point f).
Ces responsables du traitement ou sous-traitants s’engagent de manière contraignante et exécutoire, au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, à appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
3. La certification est volontaire et accessible via un processus transparent.
4. Une certification en vertu du présent article ne diminue par la responsabilité du responsable du traitement ou du sous-traitant quant au respect du présent règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle qui sont compétentes en vertu de l’article 55 ou 56.
5. Une certification au titre du présent article est délivrée par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente, sur la base de critères approuvés par cette autorité de contrôle compétente conformément à l’article 58, paragraphe 3, ou par le conseil d’administration conformément à l’article 63.
Lorsque les critères sont approuvés par le conseil, il peut en résulter une certification commune, le label européen de protection des données.
6. Le responsable du traitement ou le sous-traitant qui soumet son traitement au mécanisme de certification fournit à l’organisme de certification visé à l’article 43 ou, le cas échéant, à l’autorité de contrôle compétente toutes les informations ainsi que l’accès à ses activités de traitement, qui sont nécessaires pour mener la procédure de certification.
7. La certification est délivrée à un responsable du traitement ou à un sous-traitant pour une période maximale de trois ans et peut être renouvelée, dans les mêmes conditions, pour autant que les exigences pertinentes continuent d’être satisfaites.
La certification est retirée, selon le cas, par les organismes de certification visés à l’article 43 ou par l’autorité de contrôle compétente lorsque les exigences de la certification ne sont pas ou plus respectées.
8. Le comité consigne dans un registre tous les mécanismes de certification et les labels ou les marques en matière de protection des données et les met à la disposition du public par tout moyen approprié.
Veillez à ce que l’ensemble de votre entreprise dispose de la formation de sensibilisation nécessaire sur les bases du RGPD et de la sécurité informatique.
Once you have submitted your details, you’ll be our top priority!