En application de l'article 40 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants soumettent un projet de code de conduite, une modification ou une prorogation d'un code existant à la Commission nationale de l'informatique et des libertés.
La commission approuve ce projet de code, cette modification ou cette prorogation dans un délai de quatre mois à compter de la réception de la demande. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
Si la commission saisit, en application du 7 de l'article 40 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à la notification de l'avis rendu par ce comité ou, le cas échéant, de la décision prise par la Commission européenne, en application des règles relatives au mécanisme de contrôle de la cohérence. La commission informe le demandeur de cette saisine et des suites de celle-ci.

Lorsque la Commission nationale de l'informatique et des libertés est saisie d'une demande d'approbation de règles d'entreprises contraignantes mentionnées à l'article 47 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, elle communique un projet de décision au comité européen de la protection des données mentionné à l'article 68 du même règlement dans un délai de six mois. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. La commission informe le demandeur de cette transmission.
Après réception de l'avis du comité européen de la protection des données en vertu de l'article 64 du règlement (UE) 2016/679 du 27 avril 2016 susvisé ou, le cas échéant, après la mise en œuvre de la procédure de règlement des litiges par le comité en application de l'article 65 du même règlement, la commission se prononce sur la demande dans un délai d'un mois. Lorsque la commission ne s'est pas prononcée dans ce délai, la demande est réputée rejetée.

I. − Lorsque qu'elle envisage d'élaborer ou d'approuver les critères des référentiels de certification et d'agrément mentionnés au h du 2° du I de l'article 8 de la loi du 6 janvier 1978 susvisée, la Commission nationale de l'informatique et des libertés se prononce, en fonction notamment du domaine d'activité et de l'objet du référentiel de certification, sur les modalités de certification et d'agrément retenues parmi celles définies au présent article.
La commission peut décider de délivrer elle-même les certifications ou d'en laisser le soin à des organismes tiers.
Lorsque la certification est délivrée par des organismes tiers, la commission détermine, en fonction du domaine d'activité et de l'objet du référentiel de certification, si elle agrée directement ces organismes certificateurs ou si cet agrément peut être délivré par l'organisme national d'accréditation mentionné au b du 1 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 susvisé. Dans ce dernier cas, la commission saisit l'organisme national d'accréditation qui réalise une étude de faisabilité de l'agrément des organismes certificateurs potentiellement concernés. Une convention fixe les modalités de coopération entre la commission et l'organisme national d'accréditation.
II. − Le contenu du dossier des demandes de certification et d'agrément présentées à la commission dans le cadre du I est fixé par la délibération arrêtant les critères de certification ou d'agrément.
La commission se prononce dans un délai de quatre mois à compter de la réception d'une demande complète. Ce délai peut être prolongé de deux mois supplémentaires sur décision de son président. Lorsque la commission ne s'est pas prononcée dans ces délais, la demande est réputée rejetée.
Si la commission saisit, en application du 3 de l'article 43 du règlement (UE) 2016/679 du 27 avril 2016 susvisé, le comité européen de la protection des données mentionné à l'article 68 du même règlement, les délais prévus au deuxième alinéa sont suspendus jusqu'à notification de son avis ou, le cas échéant, de sa décision conformément au 6 de l'article 65 du règlement susvisé. La commission informe le demandeur de cette saisine et des suites de celle-ci.
Le contenu des dossiers de demandes présentées à l'organisme national d'accréditation dans le cadre du I, et les conditions de leur traitement, intégrant les exigences supplémentaires fixées, le cas échéant, par la commission, sont définies par le règlement d'accréditation de l'organisme national d'accréditation. Cette accréditation tient lieu d'agrément.
III. − Les certifications sont délivrées pour une durée précisée par chaque référentiel de certification et qui ne saurait être supérieure à trois ans.
Les organismes de certification sont agréés pour une durée de cinq ans maximum renouvelable dans des conditions fixées par le règlement intérieur de la commission ou, selon le cas, par le règlement d'accréditation de l'organisme national d'accréditation.

Si la commission saisit le Comité européen de la protection des données mentionné à l'article 68 du règlement (UE) 2016/679 du 27 avril 2016 susvisé en dehors des délais prévus aux articles 72 à 74 du présent décret, elle rend une décision au plus tard un mois après la notification de la décision du comité.