Article 43

Organismes de certification

  • Sans pr√©judice des missions et des pouvoirs de l’autorit√© de contr√īle comp√©tente au titre des articles¬†57 et 58, les organismes de certification disposant d’un niveau d’expertise appropri√© en mati√®re de protection des donn√©es d√©livrent et renouvellent les certifications, apr√®s en avoir inform√© l’autorit√© de contr√īle pour qu’elle puisse exercer au besoin les pouvoirs qui lui sont d√©volus en vertu de l’article¬†58, paragraphe¬†2, point¬†h). Les √Čtats membres veillent √† ce que ces organismes de certification soient agr√©√©s par une des entit√©s suivantes ou les deux:
    • a) l’autorit√© de contr√īle qui est comp√©tente en vertu de l’article¬†55 ou 56;
    • b) l’organisme national d’accr√©ditation d√©sign√© conform√©ment au r√®glement (CE) no¬†765/2008 du Parlement europ√©en et du Conseil¬†(20), conform√©ment √† la norme EN-ISO/IEC 17065/2012 et aux exigences suppl√©mentaires √©tablies par l’autorit√© de contr√īle qui est comp√©tente en vertu de l’article¬†55 ou 56.
  • Les organismes de certification vis√©s au paragraphe¬†1 ne sont agr√©√©s conform√©ment audit paragraphe que lorsqu’ils ont:
    • a) d√©montr√©, √† la satisfaction de l’autorit√© de contr√īle comp√©tente, leur ind√©pendance et leur expertise au regard de l’objet de la certification;
    • b) pris l’engagement de respecter les crit√®res vis√©s √† l’article¬†42, paragraphe¬†5, et approuv√©s par l’autorit√© de contr√īle qui est comp√©tente en vertu de l’article¬†55 ou 56 ou par le comit√©, en vertu de l’article¬†63;
    • c) mis en place des proc√©dures en vue de la d√©livrance, de l’examen p√©riodique et du retrait d’une certification, de labels et de marques en mati√®re de protection des donn√©es;
    • d) √©tabli des proc√©dures et des structures pour traiter les r√©clamations relatives aux violations de la certification ou √† la mani√®re dont la certification a √©t√© ou est appliqu√©e par un responsable du traitement ou un sous-traitant, et pour rendre ces proc√©dures et structures transparentes √† l’√©gard des personnes concern√©es et du public; et
    • e) d√©montr√©, √† la satisfaction de l’autorit√© de contr√īle comp√©tente, que leurs t√Ęches et leurs missions n’entra√ģnent pas de conflit d’int√©r√™ts.
  • L’agr√©ment des organismes de certification vis√©s aux paragraphes¬†1 et 2 du pr√©sent article se fait sur la base de crit√®res approuv√©s par l’autorit√© de contr√īle qui est comp√©tente en vertu de l’article¬†55 ou 56 ou, par le comit√© en vertu de l’article¬†63. En cas d’agr√©ment en application du paragraphe¬†1, point¬†b), du pr√©sent article, ces exigences compl√®tent celles pr√©vues dans le r√®glement (CE) no¬†765/2008 et les r√®gles techniques qui d√©crivent les m√©thodes et proc√©dures des organismes de certification.
  • Les organismes de certification vis√©s au paragraphe¬†1 sont charg√©s de proc√©der √† l’√©valuation appropri√©e conduisant √† la d√©livrance de la certification ou au retrait de cette certification, sans pr√©judice de la responsabilit√© du responsable du traitement ou du sous-traitant en ce qui concerne le respect du pr√©sent r√®glement. L’agr√©ment est d√©livr√© pour une dur√©e maximale de cinq ans et peut √™tre renouvel√© dans les m√™mes conditions tant que l’organisme de certification satisfait aux exigences √©nonc√©es au pr√©sent article.
  • Les organismes de certification vis√©s au paragraphe¬†1 communiquent aux autorit√©s de contr√īle comp√©tentes les raisons de la d√©livrance ou du retrait de la certification demand√©e.
  • Les exigences vis√©es au paragraphe¬†3 du pr√©sent article et les crit√®res vis√©s √† l’article¬†42, paragraphe¬†5, sont publi√©s par les autorit√©s de contr√īle sous une forme ais√©ment accessible. Les autorit√©s de contr√īle transmettent aussi ces exigences et ces crit√®res au comit√©. Le comit√© consigne dans un registre tous les m√©canismes de certification et les labels en mati√®re de protection des donn√©es et les met √† la disposition du public par tout moyen appropri√©.
  • Sans pr√©judice du chapitre VIII, l’autorit√© de contr√īle comp√©tente ou l’organisme national d’accr√©ditation r√©voque l’agr√©ment d’un organisme de certification en application du paragraphe¬†1 du pr√©sent article si les conditions d’agr√©ment ne sont pas ou ne sont plus r√©unies ou si les mesures prises par l’organisme de certification constituent une violation du pr√©sent r√®glement.
  • La Commission est habilit√©e √† adopter des actes d√©l√©gu√©s en conformit√© avec l’article¬†92, aux fins de pr√©ciser les exigences √† prendre en consid√©ration en ce qui concerne les m√©canismes de certification en mati√®re de protection des donn√©es vis√©s √† l’article¬†42, paragraphe¬†1.
  • La Commission peut adopter des actes d’ex√©cution visant √† fixer des normes techniques pour les m√©canismes de certification, les labels et les marques en mati√®re de protection des donn√©es, ainsi que les m√©canismes aux fins de la promotion et de la reconnaissance de ces m√©canismes de certification, labels et marques. Ces actes d’ex√©cution sont adopt√©s en conformit√© avec la proc√©dure d’examen vis√©e √† l’article¬†93, paragraphe¬†2.