Quelle Peut Etre la Contribution de la Certification à la Protection des Données Personnelles?

• Author: Eric Lachaud
• Position: PhD candidate, TILT, the Tilburg Institute for Law, Technology and Society, Tilburg University, the Netherlands
• Pages: 212-232

© 2017 Eric Lachaud and Dublin University Law Society

QUELLE PEUT ETRE LA CONTRIBUTION DE LA

CERTIFICATION À LA PROTECTION DES DONNÉES

PERSONNELLES?

ERIC LACHAUD*

Introduction

L’introduction de mécanismes de certification dans les articles 42 et 43

dans le Règlement (UE) 2016/679 nous invite à nous interroger sur la

possible contribution de cette procédure dans la régulation des données

personnelles en Europe. La certification pourrait compléter la

réglementation traditionnelle en apportant la preuve de son application

conforme, offrant ainsi un élément de confiance au public et aux

autorités. Elle pourrait également promouvoir de nouvelles formes de

régulation dans lequel le rôle des différents acteurs pourrait être redéfini

et celui de la technologie développé. Cependant, la certification ne fait

pas l’unanimité auprès des observateurs quant à son efficacité. En outre,

le dispositif mis en place par le législateur européen dans les articles 42 et

43 du nouveau Règlement ne milite pas en faveur d’une adoption massive

de cette procédure par les entreprises. L’introduction de ce Règlement,

sans être l’élément le plus innovant de cette réforme,

1

n’en demeure pas

moins une innovation en droit européen. C’est en effet la première fois

qu’un mécanisme complet de certification, mais également

d’accréditation, est intégré dans un texte législatif européen.

Certains auteurs

2

définissent la certification comme une procédure

d’évaluation de la conformité. Il s’agit, selon eux, d’une procédure

volontaire d’évaluation de la conformité effectuée par un auditeur

* PhD candidate, TILT, the Tilburg Institute for Law, Technology and Society, Tilburg

University, the Netherlands.

1

Le droit à l’oubli dans l’article 17, l’extension du champ d’application dans l’article 3 du

Règlement (UE) 2016/679 aux sociétés non établies sur le territoire de l’UE ou l’obligation de

rendre compte de sa conformité dans l’article 22 sont autant de nouveautés qui vont

profondément modifier le droit de la protection des données personnelles en Europe et au-

delà.

2

PH Eijleter, Guido Jan Marie Evers et RAJ van Gestel, De inkadering van certificatie en

accreditatie in beleid en wetgeving (Instituut Centrum voor Wetgevingsvraagstukken

Universiteit van Tilburg 2003) 12.

2017] La Certification et la Protection des Données

213

externe et accréditée

3

sur la base d’exigences publiées par une autorité

reconnue. L’évaluation, si elle s’avère positive, donne lieu à la délivrance

d’une attestation formelle de conformité.

4

La délivrance et la

maintenance de la certification sont conditionnées par le maintien de la

conformité qui est réévaluée périodiquement. D’un point de vue

juridique, la certification est communément définie une marque

commerciale déposée protégeant les droits des tiers qui ont été autorisés

à utiliser

5

cette marque. La certification peut également être définie

comme un système de management

6

dans lequel une série de

composants

7

interagissent entre eux, faisant de la certification un

mécanisme et, en même temps, le résultat de l’action de ce mécanisme.

Définir la certification comme une procédure parait plus logique dans la

mesure où l’attestation de conformité ne peut être que la conclusion de la

procédure.

Théoriquement, l’attestation de conformité ne peut pas être

délivrée sans une évaluation concluant à la conformité. Cependant, cette

relation n’est pas toujours vraie. Certaines formes de certification sont

délivrées à la suite d’une auto-évaluation ou parfois en tant qu’auto-

déclaration de conformité sans réelle évaluation.

8

La certification

demeure une procédure très souple qui autorise de nombreux

arrangements. Cette souplesse rend sa définition difficile. S’interroger

sur la contribution de la certification à la protection des données

personnelles revient à préciser en quoi cette procédure peut améliorer

directement ou indirectement le niveau de protection des données

personnelles. Il convient de noter que la contribution de la certification

n’est pas une contribution directe comme pourrait l’être la

3

Gabriele Jahn et al, ‘The Reliability of Certification: Quality Labels as a Consumer Policy

Tool’ (2005) Journal of Consumer Policy 28(1) 57.

4

EU best practice guidelines for voluntary certification schemes for agricultural products et

foodstuffs [2010] OJ C 341/5.

5

Jeffrey Belson, Certification Marks (London: Sweet and Maxwell 2002) 20.

6

Michael E Conroy, ‘Can Advocacy-Led Certification Systems Transform Global Corporate

Practices? Evidence and Some Theory Program on Development, Peacebuilding, and the

Environment’ Working paper series 21 (Political Economy Research Institute University of

Massachusetts Amherst 2001) 64.

7

Michael E Conroy, Breted! How the certification revolution is transforming global

corporations (New Society 2007) 12; Civic Consulting, ‘A Pan-European Trustmark for E-

Commerce: Possibilities and Opportunities’ (Directorate-General for Internal Policy,

European Parliament 2012) 40-41; JVD Staaij, Certification as sustainable self-regulation

(Rotterdam School of Management Erasmus University 2008) 35.

8

Jan Trzaskowski, E-Commerce Trustmarks in Europe: an overview and comparison of

Trustmarks in the European Union, Icelet and Norway (European Consumer Centre Denmark

2006) 11.