En l’absence de décision d’adéquation, les exportateurs de données (responsables de traitement et sous-traitants) peuvent s’appuyer sur des mécanismes de certification en tant que garanties appropriées pour les transferts de données à caractère personnel vers des pays tiers.[1] Des mécanismes de certification peuvent être élaborés et mis en place pour démontrer l’existence de garanties appropriées fournies par les importateurs de données (responsables du traitement ou sous-traitants) dans le pays tiers afin de permettre les transferts de données à caractère personnel vers des pays tiers.[2] Les importateurs de données (responsables du traitement ou sous-traitants) certifiés dans des pays tiers doivent, en plus de la certification, prendre des engagements contraignants et exécutoires d’appliquer les garanties sur lesquelles la certification est fondée.[3]
Les mécanismes de certification doivent être approuvés par l’autorité de contrôle compétente et se conformer à l’article 42 et à l’article 46, paragraphe 2, point f), du RGPD,[4] ainsi qu’aux lignes directrices 07/2022 de l’EDPB sur la certification en tant qu’outil de transfert[5], afin de constituer des garanties appropriées dans le cadre des transferts de données à caractère personnel vers des pays tiers ou des organisations internationales. De plus amples informations sont disponibles dans les lignes directrices 07/2022 du comité européen de la protection des données sur la certification en tant qu’outil de transfert. Ces lignes directrices fournissent des orientations sur des aspects spécifiques concernant la certification en tant qu’outil de transfert, tels que l’objectif, le champ d’application et les différents acteurs concernés. En outre, ils contiennent des exigences spécifiques pour l'accréditation d'un organisme de certification et des critères de certification spécifiques visant à démontrer l'existence de garanties appropriées pour les transferts. Enfin, ils précisent les éléments qui devraient être abordés dans les engagements contraignants et exécutoires que les importateurs de données (responsables du traitement ou sous-traitants) dans le pays tiers non soumis au RGPD devraient prendre aux fins de fournir des garanties appropriées aux données transférées vers des pays tiers.
La certification en tant que transfert d'outil peut couvrir les transferts de tous les pays de l'UE (« UE-Seal ») ou simplement les transferts d'un État membre de l'UE vers les pays tiers (certification nationale). Dans ce dernier cas, l’autorité nationale approuve le mécanisme de certification à la suite d’un avis du comité européen de la protection des données. Dans le cas d’un « EU-Seal », l’EDPB approuve le mécanisme de certification. Une fois que la certification en tant qu’outil de transfert est approuvée, les importateurs de données de pays tiers peuvent demander la certification par des organismes de certification. Les exportateurs de données qui transfèrent des données à des importateurs de données certifiés peuvent alors se baser sur le mécanisme de certification comme garantie appropriée.
De plus amples informations sur la procédure d’approbation figurent dans les lignes directrices 1/2018 du comité européen de la protection des données relatives à la certification et à l’identification des critères de certification conformément aux articles 42 et 43 du règlement.
Conformément à l’article 4 du règlement no 7/2020 de la Commission nationale de la protection des données du 3 avril 2020 fixant le montant et les modalités de paiement des redevances dans le cadre de ses pouvoirs d’autorisation et de consultation, chaque « scheme owner », qui soumet à la CNPD une demande d’approbation d’un mécanisme certification conformément à l’article 42, paragraphe 5, du RGPD, doit payer à la CNPD une redevance dont le montant dépend de l’étape de la procédure.
[1] Article 46, paragraphe 2, point f), du RGPD.
[2] Articles 42 et 46, paragraphe 2, point f), du RGPD.
[3] Article 42, paragraphe 2, du RGPD.
[4] Voir les articles 40, 42 et 46 du RGPD.
[5] Comité européen de la protection des données, lignes directrices 07/2022 sur la certification en tant qu’outil de transfert, 14 février 2023.