Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448 - 254

D

O

C

T

R

I

N

E

personnelles. Comme le souligne
Nicolas Hamblenne « il s'agit d'un
véritable avantage compétitif pour
les entreprises certifiées, tout en
répondant aux besoins spécifiques
des microentreprises, entreprises
familiales et des PMEs, en tant
qu'outil de démonstration rapide
d'un certain niveau de conformité ».
La question demeure de savoir
si, en cas de sanction par une
autorité de protection d'un
manquement à la réglementation,
le fait de disposer d'une certification constituera un facteur
aggravant ou bien une circonstance atténuante. En effet, bien
que la certification constitue(ra)
un atout indéniable pour les
entreprises, ces dernières devront
naturellement respecter leurs
engagements. Dès lors, en cas
de non-respect des obligations
incombant
aux
responsables
de traitement et sous-traitants
certifiés, les autorités de contrôle
pourraient se montrer davantage
sévères.
Sur le plan paneuropéen, la
position et les dispositifs des
autorités
de
protection
des
données personnelles liés à
la certification sont donc très
attendus. L'autorité de protection
des données de Grande-Bretagne
a d'ores et déjà publié des éléments
explicatifs, tandis que l'autorité
du Luxembourg semble vouloir
proposer le premier dispositif de
certification au titre du RGPD, où
l'autorité de protection attesterait elle-même de la conformité,
après réalisation d'un audit par un
organisme accrédité.

sur la question de la certification
RGPD et sur la certification des
transferts de données hors UE19.
La certification se profile en effet
comme un outil majeur pour
encadrer les transferts de données
à caractère personnel en dehors
de l'Union européenne, comme
l'a analysé de façon approfondie la
Commission européenne20.

Notes

Le
principe
d'accountability
étant un principe cardinal du
bon respect de la règlementation,
les certifications nationale et
européenne ont sans aucun doute
un avenir prometteur.

Lorraine MAISNIER-BOCHÉ
Avocat,
Cabinet McDermott Will& Emery
Chargée d'enseignement à
l'Université de Paris II - Paris V
- Paris XI - Atelier Protection des
données personnelles de l'ADIJ

Farid BOUGUETTAYA
Avocat associé,
Cabinet Artemont
Atelier Protection des données
personnelles de l'ADIJ

254

ISO/IEC, 17000:2004, Evaluation de la conformité - Vocabulaire et principes généraux

(2)	

Art. L. 433-3, al. 1er du code de la
consommation

(3)	

Art. L. 433-3, al. 2 du code de la consommation

(4)	

Règlement 765/2008/EC du 9 juillet 2008 fixant
les prescriptions relatives à l'accréditation et à
la surveillance du marché pour la commercialisation des produits

(5)	

Art. 42 du RGPD

(6)	

Voir notamment A. Debet, N. Metallinos, Loi
Informatique et Libertés : adaptation du droit
français avec le RGPD, Comm. com. électr.
2018, étude n°17 ; Y. Poullet, Les modes alternatifs de régulation : codes de conduite, certifications et ADR dans le RGPD, in « Le Règlement
général sur la protection des données » C. de
Terwangne, K. Rosier, CRIDS, 2018 ; O. Tambou,
L'introduction de la certification dans le règlement général de la protection des données
personnelles : quelle valeur ajoutée ?, RLDI
2016/126, n° 3986, p. 43

(7)	

Considérant 100 du RGPD

(8)	

Art. 42-4 du RGPD,

(9)	

CEPD, lignes directrices 1/2018, 4 juin 2019,
version 3.0, et 4/2018, 4 juin 2019, version 3.0

(10)	 Rapport de la Commission européenne
concernant les mécanismes de certification
en protection des données : étude relative aux
articles 42 et 43 du Règlement (UE) 2016/679,
février 2019
(11)	 Sur ce point, voir notamment E. Lachaud, « The
Generak Data Protection Regulation and the
rise of certification as a regulatory instrument », in Computer law and security review,
n°2, vol. 24, 2014
(12)	 Art. 42-4 du RGPD
(13)	 Art. L. 6113-3 et L. 6113-4 du code de la santé
publique
(14)	 Art. L. 161-38 du code de la santé publique
(15)	 Voir notamment F. Eon, L'accélération du
numérique en santé : enjeux et conditions de
son succès, RDSS 2019, 55 ; J. Bossi Malafosse,
Le réglement européen et la protection des
données de santé, Dalloz IP/IT 2017, 260
(16)	 Rapport de la Commission européenne préc.,
p.44
(17)	 Art. L. 1110-4-1 du code de la santé publique
(18)	 Art. L. 1111-8 du code de la santé publique
(19)	 CEPD, programme de travail pour 2019/2020 https://edpb.europa.eu/sites/edpb/files/files/
file1/edpb-2019-02-12plen-2.1edpb_work_
program_en.pdf
(20)	 Rapport de la Commission européenne préc.,
p.174 - sur ce point, voir également R. Perray,
Quelle stratégie pour les transferts de données
personnelles hors de l'Union européenne à
l'aune du RGPD, Comm. com. électr. 2018,
étude n°16

Par ailleurs, il est à noter que
le programme du CEPD pour
l'année 2019 prévoit des travaux



(1)	

Vous avez envie de vous exprimer sur un sujet qui vous tient à cœur, de partager votre analyse
avec la communauté des lecteurs d'Expertises, d'exposer un point de vue différent sur un article
déjà publié, de lancer un débat sur un thème émergent, ou simplement de commenter l'actualité
du droit du numérique ?

Contactez la rédactrice en chef d'Expertises Sylvie Rozenfeld sr@expertises.info

EXPERTISES Juillet-Août 2019
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb-2019-02-12plen-2.1edpb_work_program_en.pdf
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Juillet/Août 2019 - n°448
