Section suivante

Annexe

JORF n°0233 du 7 octobre 2022

Délibération n°2022-095 du 22 septembre 2022

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), notamment ses articles 43 et 57-1-p ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 8-I-2°-h ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment son article 74 ;

Vu les lignes directrices 1/2018 relatives à la certification et à la définition des critères de certification conformément aux articles 42 et 43 du règlement (UE) 2016/679 adoptées le 4 juin 2019 par le Comité européen de la protection des données ;

Vu les lignes directrices 4/2018 relatives à l'agrément des organismes de certification au titre de l'article 43 du règlement (UE) 2016/679 adoptées le 4 décembre 2018 par le Comité européen de la protection des données ;

Vu l'avis 12/2022 relatif au projet de référentiel de la Commission concernant l'agrément des organismes de certification adopté le 4 juillet 2022 par le Comité européen de la protection des données au titre du mécanisme de contrôle de la cohérence des articles 63 et 64 du RGPD ;

Sur la proposition de Mme Anne DEBET, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Formule les observations suivantes :

  1. L'article 43 du règlement général sur la protection des données (RGPD) prévoit que la délivrance d'une certification peut être effectuée par un organisme qui dispose d'un niveau d'expertise approprié en matière de protection des données. Ces organismes doivent être agréés à cette fin ;
  2. L'article 57-1-p du RGPD prévoit que chaque autorité de contrôle rédige et publie les exigences relatives à l'agrément des organismes de certification en application de l'article 43 ;
  3. L'article 64-1-c du RGPD indique que les projets de décision visant à approuver des exigences d'agrément établies par chaque autorité de contrôle au niveau national sont soumis au mécanisme de « contrôle de la cohérence » et doivent être communiqués au Comité européen de la protection des données (CEPD) ;
  4. Le 27 janvier 2022, un projet d'agrément a été adopté par la Commission et soumis au CEPD le 31 janvier 2022. Le CEPD a adopté un avis favorable relatif à ce projet le 4 juillet 2022, qui a été notifié à la Commission le 11 juillet 2022.

Adopte les exigences d'un référentiel relatif à l'agrément des organismes de certification pour les mécanismes de certification approuvés au titre de l'article 42 du règlement général sur la protection des données.
Cette décision sera publiée au Journal officiel de la République française.

1 version

Annexe

La présidente,

M.-L. Denis