Logo : Sénat français

Direction de la séance

Projet de loi

Protection des données personnelles

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 351 , 350 )

N° 82

19 mars 2018


 

AMENDEMENT

présenté par

C Favorable
G Favorable
Adopté

Le Gouvernement


ARTICLE 1ER


Alinéa 13

1° Troisième phrase

Après les mots :

l’article 43 du même règlement

insérer les mots :

ou décide, conjointement avec cet organisme, que ce dernier procède à leur agrément

2° Dernière phrase

Supprimer cette phrase.

Objet

L’article 43 du règlement 2016/679 (UE) prévoit trois options pour l’agrément des organismes certificateurs, lequel peut être délivré, soit par la CNIL (art. 43.1.a), soit par l’organisme national d’accréditation désigné conformément au règlement (CE) n° 765/2008 du Parlement européen et du Conseil (art. 43.1.b,  en France, le Comité français d'accréditation - COFRAC), soit par les deux.

 Le f bis de l’article 11 de la loi n°78-17, dans sa rédaction actuelle, prévoit que la CNIL est toujours l’autorité qui va agréer les tiers certificateurs. Elle peut certes agréer « sur la base d’une accréditation délivrée par l’organisme national d’accréditation », en fixant, le cas échéant, des exigences supplémentaires aux normes d’accréditation. Toutefois, cette rédaction ne permet pas au COFRAC d’agréer lui-même des tiers certificateurs. Or il apparaît opportun de permettre, au cas par cas, selon l’objet de certification, que l’agrément des tiers certificateurs puisse se faire alternativement par la CNIL ou par le COFRAC.

 Le présent amendement prévoit ainsi de modifier l’alinéa 13 de l’article 1er du projet de loi afin de prévoir cette possibilité, étant précisé que, tout comme dans l’esprit de la rédaction actuelle, la CNIL restera à l’initiative du choix de l’autorité chargée de cet agrément (elle-même ou le COFRAC), sans pouvoir pour autant imposer ce choix à l’organisme national d’accréditation ni lui déléguer véritablement une telle attribution, ce qui aurait des conséquences excessives en termes de responsabilité, eu égard à la compétence exclusive de la Commission en matière de référentiel d’agrément.

Il est également proposé la suppression de la dernière phrase de l'alinéa 13 selon laquelle la CNIL « peut établir des exigences supplémentaires  en matière de normes d’accréditation ». Cette mention qui est déjà prévue à l'article 43.1.b) du règlement 2016/679 (UE), n’apparaît nécessaire.