Quelle peut être la contribution de la certification à la protection des données personnelles? (What Can be the Contribution of Certification to Data Protection?)

Trinity College Law Review - 212 (2017)

22 Pages Posted: 28 Jan 2017 Last revised: 7 Jun 2019

See all articles by Eric Lachaud

Eric Lachaud

Tilburg University - LTMS, home of Tilt and Tilec

Date Written: January 21, 2017

Abstract

French Abstract: L’introduction de mécanismes de certification dans les articles 42 et 43 dans le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données est une nouveauté en droit européen de la protection des données personnelles. Elle participe d’un mouvement plus général que l’on rencontre dans d’autres domaines du droit européen dans lesquels les dispositifs d’autorégulation et de co-régulation jouent un rôle sans cesse croissant. L’introduction d’un tel mécanisme nous invite à nous interroger sur sa contribution à la protection des données personnelles en Europe. Le Règlement (UE) 2016/679 est en phase d’implémentation et n’entrera en vigueur qu’en Mai 2018. On ne peut donc qu’émettre un certain nombre d’hypothèses qu’il conviendra ensuite de vérifier une fois le Règlement en place. On note ainsi que la certification pourrait compléter la réglementation traditionnelle en apportant la preuve de son application conforme, offrant ainsi un élément de confiance au public et aux autorités. On constate également qu’elle pourrait promouvoir de nouvelles formes de régulation dans lequel le rôle des différents acteurs pourrait être redéfini et celui de la technologie développé. La certification ne fait néanmoins pas l’unanimité auprès des observateurs quant à son efficacité. Cette procédure, particulièrement lorsqu’elle est d’origine privée, souffre d’être, en même temps, un examen et un service rendu à un client, ce qui parfois met son impartialité en doute. En outre, le dispositif mis en place par le législateur européen dans les articles 42 et 43 du nouveau Règlement ne milite pas en faveur d’une adoption massive de cette procédure. La procédure demeure complexe et l’intérêt pour les entreprises de l’adopter n’est pas évident. La première partie de cet article présente un état de l’art en matière de certification des traitements de données personnelles en Europe. La seconde analyse les différents bénéfices pour la protection des données personnelles de l’introduction de la certification dans la réglementation européenne. La dernière partie souligne les limites intrinsèques de la procédure de certification et celles liées à l’interprétation qui en est donné par le législateur européen dans le Règlement (UE) 2016/679.

English Abstract:The Introduction of certification mechanisms in Article 42 and 43 of Regulation (EU) 2016/679 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data is something new in the European legal framework. It represents an additional step in the increasing involvement of self-regulation and co-regulation instruments into the European regulation. The introduction of such mechanisms offers the opportunity to question the contribution that certification mechanisms can have on the improvement of data protection. The regulation will enter into force in May 2018 and one can only make assumptions that should be confirmed once the regulation will be live. The certification sounds an interesting proofing instrument able to demonstrate the conformity of data controllers and, thus, raising the level of confidence of the public and the authorities in the compliance. The certification could also promote some new forms of regulation in which the role of the stakeholders could be redefined and the role of technology developed. However, the actual efficiency of certification remains questionable. The applicant to a certification is also a customer and this ambiguity sometimes challenges the impartiality of this procedure. Moreover, the process suggested in the Regulation (EU) 2016/679 is unattractive. It remains complex and the interest for business to invest in it is questionable. The first section of this paper presents the state of art regarding the data protection certification in Europe. The second goes through the benefits of introducing certification schemes into the European regulation. The last section of the paper underlines the intrinsic limits of the certification procedure and the drawbacks of the processes included in the Regulation (EU) 2016/679.

Note: Downloadable document is in French.

Keywords: Certification, Self-Regulation, Co-Regulation, Data Protection, Privacy, GDPR, Article 42, Article 43

JEL Classification: L15, K40

Suggested Citation

Lachaud, Eric, Quelle peut être la contribution de la certification à la protection des données personnelles? (What Can be the Contribution of Certification to Data Protection?) (January 21, 2017). Trinity College Law Review - 212 (2017) , Available at SSRN: https://ssrn.com/abstract=2903242 or http://dx.doi.org/10.2139/ssrn.2903242

Eric Lachaud (Contact Author)

Tilburg University - LTMS, home of Tilt and Tilec ( email )

Tilburg
Netherlands

Do you have a job opening that you would like to promote on SSRN?

Paper statistics

Downloads
106
Abstract Views
653
rank
295,415
PlumX Metrics