Article 42 RGPD : la certification décryptée

Lorsque le Comité européen de la protection des données a approuvé, le 10 octobre 2022, le mécanisme Europrivacy comme premier European Data Protection Seal au sens de l’Art. 42(5) du RGPD, il a fait sortir de sa dormance de quatre ans l’instrument que le règlement de 2016 promettait depuis le considérant 100. La certification RGPD n’est ni un label commercial, ni une norme privée comme ISO 27701, ni une simple attestation. C’est un mécanisme juridique dont l’effet — encadré — est de fournir au responsable de traitement un élément de preuve d’accountability (Art. 24(3)) et, depuis l’Art. 46(2)(f), un instrument autonome de transferts internationaux. Cet article anatomise les huit paragraphes de l’Art. 42 et restitue l’écosystème de certification tel qu’il existe en France au printemps 2026 — où coexistent le référentiel CNIL de certification des compétences du DPO de 2018, Europrivacy au plan européen, et l’attente des premiers schémas sectoriels approuvés au titre de l’EUCS pour les services cloud.

Ce que dit l’article 42 du RGPD

L’Art. 42 s’intitule « Certification ». Il figure au chapitre IV section 5 du RGPD, juste après l’Art. 40 sur les codes de conduite et avant l’Art. 43 sur les organismes de certification. Sa structure est analogue à celle de l’Art. 40 : un volet d’encouragement (Art. 42(1) à 42(3)), un volet d’effet juridique et de portée (Art. 42(4)), un volet procédural d’octroi et de renouvellement (Art. 42(5) à 42(7)), et un volet de publicité par le registre du CEPD (Art. 42(8)).

L’enjeu pratique est de comprendre la différence entre la certification au sens de l’Art. 42 et tout autre mécanisme. Les certifications de l’Art. 42 sont émises soit par un organisme de certification agréé au sens de l’Art. 43 et accrédité par l’instance nationale d’accréditation (COFRAC en France), soit par l’autorité de contrôle elle-même. Elles reposent sur des critères approuvés par l’autorité de contrôle compétente au titre de l’Art. 58(3)(f), ou — pour le sceau européen — par le Comité européen de la protection des données au titre de l’Art. 63. Toutes les autres certifications — ISO 27001, ISO 27701, SOC 2, HDS, SecNumCloud — relèvent d’écosystèmes parallèles. Elles peuvent constituer des éléments de preuve utiles dans la démonstration d’accountability, mais ne produisent pas les effets que l’Art. 42 attache spécifiquement à la certification.

Les sanctions encourues en cas de manquement aux obligations couvertes par la certification relèvent du plafond bas de l’Art. 83(4)(b) — jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial. L’organisme de certification peut, sur le fondement de l’Art. 43(5), retirer la certification, sans préjudice de la sanction pécuniaire prononcée par la CNIL.

Art. 42(1) : l’obligation d’encourager des États et de la Commission

L’Art. 42(1) est rédigé en termes programmatiques mais juridiquement obligatoires. Les États membres, les autorités de contrôle, le CEPD et la Commission « encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération. »

Trois enseignements pratiques découlent de ce paragraphe. Premier enseignement : la certification est par construction sectorielle ou opérationnelle. Un schéma de certification qui se contenterait de paraphraser le RGPD article par article ne serait pas approuvé — l’autorité de contrôle attend une grille de critères précise, vérifiable, applicable à un périmètre déterminé (un produit, un processus, une activité, un secteur). Deuxième enseignement : la mention « en particulier au niveau de l’Union » fonde le sceau européen Art. 42(5) seconde phrase, qui s’oppose à la certification nationale approuvée par une seule autorité. Europrivacy est aujourd’hui le seul sceau européen approuvé, sur le fondement de l’avis 28/2022 du CEPD. Troisième enseignement : les TPE-PME sont expressément visées, ce qui pèse sur la conception économique des schémas — un dispositif de certification à plusieurs centaines de milliers d’euros par audit serait inaccessible aux structures que le texte vise à protéger. Europrivacy revendique précisément un format adapté aux PME.

Art. 42(2) : la certification comme outil de transferts internationaux

L’Art. 42(2) prolonge la portée du mécanisme : les certifications peuvent aussi servir aux responsables de traitement et sous-traitants non soumis au RGPD au titre de l’Art. 3 pour démontrer l’existence de garanties appropriées dans le cadre des transferts hors UE au sens de l’Art. 46(2)(f). Concrètement, un opérateur américain, indien ou brésilien peut obtenir une certification Art. 42 approuvée par une autorité européenne, prendre des engagements contraignants et opposables vis-à-vis des personnes concernées, et offrir ainsi à ses clients européens un instrument de transfert alternatif aux clauses contractuelles types et aux BCR.

Les Lignes directrices 7/2022 du CEPD du 14 février 2023 sur la certification comme outil de transferts (parallèles aux Lignes directrices 4/2021 sur les codes de conduite Art. 46(2)(e)) fixent les exigences supplémentaires : engagements unilatéraux contraignants, droits opposables et voies de recours effectives, gestion documentée des demandes d’autorités de pays tiers depuis l’arrêt CJUE C-311/18 Schrems II du 16 juillet 2020, notification au CEPD des évolutions matérielles, articulation avec les enquêtes des autorités. Aucun schéma de certification Art. 46(2)(f) n’est, à ce jour, formellement approuvé pour les transferts — le terrain reste celui des clauses contractuelles types et de l’analyse d’impact sur les transferts. Le potentiel demeure, en particulier pour qualifier des prestataires établis dans les pays « certifiables » mais sans décision d’adéquation.

Art. 42(3) : caractère volontaire et transparence

L’Art. 42(3) pose deux principes. D’abord, la certification est volontaire : aucune entreprise n’est tenue de se faire certifier au sens de l’Art. 42, et la non-certification n’emporte aucune présomption négative. Ensuite, la procédure d’accès doit être transparente. Cette exigence se traduit, dans le référentiel d’agrément que la CNIL exige des organismes au titre de l’Art. 43, par la publication des critères, du barème tarifaire, de la durée d’instruction, des conditions de retrait, et du dispositif de traitement des plaintes.

L’unique exception au caractère volontaire concerne les secteurs où le législateur national ou européen rend la certification obligatoire — c’est ce que prépare le règlement (UE) 2024/1689 AI Act pour certains systèmes d’IA à haut risque, ou le règlement (UE) 2024/2847 Cyber Resilience Act pour les produits comportant des éléments numériques. Ces certifications sectorielles obligatoires ne sont pas des certifications Art. 42 RGPD au sens strict, mais s’articulent avec elles.

Art. 42(4) : effet juridique et non-substitution

C’est le paragraphe le plus important pour comprendre l’effet d’une certification Art. 42, et c’est aussi celui qui produit le plus de malentendus côté direction générale. L’Art. 42(4) prévoit deux règles cumulatives. Première règle : la certification « n’allège pas la responsabilité du responsable du traitement ou du sous-traitant quant au respect du règlement et est sans préjudice des missions et des pouvoirs des autorités de contrôle ». Seconde règle implicite (mais largement reprise par les lignes directrices CEPD) : la certification constitue un élément de preuve d’accountability et de privacy by design, sans valoir présomption irréfragable de conformité.

Ce que cela veut dire concrètement. Un responsable certifié reste pleinement responsable du respect du règlement. La CNIL conserve l’intégralité de ses pouvoirs d’enquête, de mise en demeure et de sanction au titre de l’Art. 58. La certification ne fait pas écran. Elle pèse en revanche dans deux directions très tangibles : elle est expressément mentionnée au titre des critères d’individualisation de la sanction à l’Art. 83(2)(j) (« l’application de codes de conduite approuvés en vertu de l’Art. 40 ou de mécanismes de certification approuvés en vertu de l’Art. 42 »), donc elle joue comme circonstance atténuante ; et elle nourrit la démonstration d’accountability au titre de l’Art. 24(3) et de privacy by design Art. 25, de sorte qu’elle facilite la défense en phase contradictoire.

Dans ma pratique de conseil auprès de PME-ETI, j’invite à présenter la certification au comité exécutif comme un réducteur d’exposition et un facilitateur commercial, pas comme un « passeport conformité ». Le passeport n’existe pas.

Art. 42(5) : qui certifie et sur quels critères

L’Art. 42(5) fixe la double porte d’entrée procédurale. Première porte : la certification est délivrée par les organismes de certification agréés au sens de l’Art. 43, ou par l’autorité de contrôle compétente, sur la base de critères approuvés par cette autorité au titre de l’Art. 58(3)(f). C’est la voie de la certification nationale. Seconde porte : lorsque les critères sont approuvés par le CEPD au titre de l’Art. 63, la certification donne lieu à un European Data Protection Seal. C’est la voie du sceau européen.

Cette dualité explique pourquoi un mécanisme comme Europrivacy revêt un poids particulier. Approuvé par l’autorité de protection luxembourgeoise (CNPD) après avis du CEPD 28/2022 du 10 octobre 2022, Europrivacy bénéficie de la reconnaissance dans tous les États membres. À l’inverse, un schéma approuvé par la seule CNIL produit ses effets en France mais nécessite une démarche complémentaire pour être reconnu ailleurs.

L’écosystème français à mai 2026 distingue plusieurs strates qu’il faut savoir lire :

• Référentiel CNIL de certification des compétences du DPO — délibérations n° 2018-317 et n° 2018-318 du 20 septembre 2018. C’est une certification de personnes, pas d’opérations de traitement. Plus de 7 500 DPO certifiés à fin 2025 selon le bilan CNIL. Elle nourrit le respect de l’Art. 37(5) (qualités professionnelles du DPO) sans s’imposer juridiquement.
• Référentiel CNIL de certification des compétences des organismes de formation DPO — délibération n° 2018-316 du 20 septembre 2018.
• Référentiel CNIL en cours d’approbation pour les services cloud destinés aux PME — annoncé dans le plan stratégique CNIL 2025-2028. Premiers schémas attendus pour 2026-2027.
• Europrivacy — sceau européen Art. 42(5) approuvé en 2022. Couvre les opérations de traitement (produits, services, processus). Opéré par le Centre européen de certification et de protection de la vie privée (ECCP) à Luxembourg, avec une trentaine d’organismes de certification agréés dans l’UE dont AFNOR Certification, Bureau Veritas et LSTI en France.

Art. 42(6) : obligation de coopération du certifié

L’Art. 42(6) impose au responsable de traitement ou au sous-traitant qui sollicite ou détient une certification de fournir à l’organisme de certification (ou à l’autorité de contrôle compétente) toutes les informations et l’accès aux activités de traitement nécessaires à la conduite de la procédure de certification. Concrètement, l’audit Europrivacy mobilise 5 à 15 jours-homme côté entreprise selon la taille et le périmètre, avec accès aux registres, aux contrats de sous-traitance Art. 28, aux mentions d’information, aux procédures de gestion des droits des personnes et des violations Art. 33-34, aux analyses d’impact, et aux mesures techniques au titre de l’Art. 32.

Ce paragraphe a une portée pratique souvent sous-estimée. L’organisme de certification a, par construction, accès à des éléments documentaires et opérationnels sensibles. Le contrat conclu avec l’organisme doit prévoir des engagements de confidentialité robustes et l’articulation avec d’éventuelles enquêtes ultérieures de la CNIL ou d’une autorité judiciaire — l’Art. 43(4) impose à l’organisme de signaler à l’autorité de contrôle les retraits ou refus de certification, ce qui peut, dans certaines configurations, déclencher une enquête de la CNIL.

Art. 42(7) : durée et renouvellement

L’Art. 42(7) fixe la durée maximale de validité de la certification à trois ans, renouvelable dans les mêmes conditions, sous réserve que les critères continuent d’être remplis. Le retrait est possible en cours de période lorsque les conditions ne sont plus respectées (Art. 42(7) seconde phrase et Art. 43(5)).

La triennalité du cycle est un paramètre opérationnel à intégrer dans la planification budgétaire de la conformité. Elle se combine avec des audits intermédiaires de surveillance (généralement annuels pour Europrivacy), des audits inopinés en cas de signalement, et un audit complet de renouvellement. Le coût total cumulé d’un cycle Europrivacy pour une PME de 50 à 200 personnes se situe, à observation 2025-2026, dans une fourchette de 25 000 à 70 000 € (audit initial + surveillance + renouvellement), hors temps interne.

Art. 42(8) : registre public CEPD et publicité

L’Art. 42(8) confie au CEPD la tenue du registre public des mécanismes de certification, labels et marques approuvés. Le registre est accessible sur edpb.europa.eu (rubrique « Our Documents > Register for certification mechanisms »). Y figurent les schémas approuvés, les critères, les organismes de certification agréés et la date d’expiration de l’approbation.

Ce registre joue un rôle de tiers de confiance : un acheteur public ou un client final qui souhaite vérifier la portée réelle d’une mention « certifié RGPD » trouvera dans le registre la nature du mécanisme invoqué (Art. 42 ou hors Art. 42), son périmètre exact, et son statut. C’est la clé d’arbitrage face aux RGPD-washing — apposer une mention « certifié RGPD » qui ne correspond à aucun mécanisme Art. 42 est une pratique trompeuse au sens du Code de la consommation (Art. L. 121-1).

Articulation avec les autres instruments de conformité

La certification Art. 42 ne se substitue à aucun autre instrument de gouvernance. Elle se combine avec :

• les codes de conduite Art. 40 — où la certification peut être l’un des éléments de preuve d’adhésion ;
• les règles d’entreprise contraignantes (BCR) Art. 47 pour les transferts intra-groupe ;
• les clauses contractuelles types 2021/914 pour les transferts vers les pays tiers ;
• les certifications hors Art. 42 (ISO 27001, ISO 27701, SecNumCloud, HDS), qui couvrent la sécurité ou des aspects connexes mais n’offrent pas l’ancrage juridique de l’Art. 42 ;
• les analyses d’impact Art. 35 et la consultation préalable Art. 36 ;
• l’accountability matérielle au titre de l’Art. 24 et la privacy by design Art. 25.

Dans le quotidien d’un programme de conformité, la certification joue principalement deux rôles. D’une part, elle structure et discipline le programme — l’audit oblige à formaliser ce qui demeure souvent flou (registre, sous-traitance, durées de conservation, transferts, procédures d’exercice des droits). D’autre part, elle constitue un signal commercial — sur les marchés publics et auprès des grands comptes, la certification accélère le qualification fournisseur, en particulier lorsque la PME ne dispose pas d’un cabinet juridique interne pour répondre aux dizaines de questions sécurité-conformité d’un appel d’offres.

Plan opérationnel en six étapes pour préparer une certification

Pour une PME ou ETI qui souhaite s’engager dans une démarche de certification Art. 42, j’organise habituellement le projet en six chantiers.

Chantier 1 — Qualification du périmètre. Choisir entre certification d’un produit (logiciel, plateforme), d’un service (hébergement, conseil), d’un processus (traitement RH, gestion clients) ou de l’organisation. C’est la décision la plus structurante. Europrivacy autorise les quatre périmètres, à des coûts d’audit très différents.

Chantier 2 — Choix du schéma et de l’organisme. Arbitrer entre sceau européen Art. 42(5) seconde phrase (Europrivacy à mai 2026), schéma national lorsqu’il est approuvé, ou attendre. Sélectionner ensuite l’organisme de certification accrédité COFRAC sur le périmètre visé. Demander le barème, la durée d’instruction et la liste des références.

Chantier 3 — Écart-analyse. Comparer la documentation et les pratiques aux critères du schéma. Identifier les écarts majeurs (registre incomplet, contrats de sous-traitance non conformes, mentions d’information lacunaires, défaut de base légale, absence d’AIPD lorsque requise) et les écarts mineurs. Établir un plan de remédiation chiffré et calendaire — 6 à 12 mois est un ordre de grandeur typique.

Chantier 4 — Remédiation et documentation. Refondre la documentation aux exigences du schéma. C’est l’étape qui pèse le plus en temps interne et où l’appui du DPO ou d’un conseil externe est décisif. Tracer toutes les actions au registre des actions correctives — la preuve de l’effectivité de la remédiation est aussi importante que l’action elle-même.

Chantier 5 — Audit initial et délivrance. L’audit Europrivacy se déroule en deux phases : revue documentaire à distance, puis audit terrain. La phase contradictoire après émission du rapport ouvre 15 à 30 jours pour répondre aux non-conformités mineures. Les non-conformités majeures bloquent la délivrance. La certification est délivrée pour trois ans (Art. 42(7)).

Chantier 6 — Maintien et renouvellement. Mettre en place le pilotage du cycle de surveillance : audit annuel, suivi des modifications réglementaires (nouvelles lignes directrices CEPD, nouvelles décisions CJUE), gestion des évolutions du périmètre, préparation du renouvellement triennal. Réintégrer les écarts détectés en surveillance dans le plan d’action permanent.

Ce qu’il faut retenir

• L’Art. 42 RGPD crée un mécanisme de certification volontaire distinct des certifications privées (ISO, SOC 2), avec un effet juridique précis : élément de preuve d’accountability (Art. 24(3)), circonstance atténuante (Art. 83(2)(j)), instrument de transferts internationaux (Art. 46(2)(f)).
• La certification est délivrée soit par un organisme agréé au titre de l’Art. 43 (accrédité COFRAC en France), soit par l’autorité de contrôle elle-même, sur la base de critères approuvés. Le sceau européen requiert l’approbation du CEPD au titre de l’Art. 63.
• Europrivacy est aujourd’hui le seul European Data Protection Seal approuvé (avis CEPD 28/2022 du 10 octobre 2022). Côté français, la CNIL maintient les référentiels de certification des compétences du DPO et des organismes de formation depuis 2018.
• La certification n’allège pas la responsabilité du responsable de traitement (Art. 42(4)) et la CNIL conserve l’intégralité de ses pouvoirs Art. 58. Ce n’est pas un « passeport conformité ».
• La durée de validité est de trois ans maximum (Art. 42(7)), renouvelable, avec surveillance annuelle. Coût indicatif pour une PME : 25 000 à 70 000 € sur un cycle complet.
• La certification se combine avec — et ne remplace pas — les codes de conduite Art. 40, les BCR Art. 47, les clauses contractuelles types et la documentation d’accountability.

---

Recevez nos analyses de conformité chaque semaine. Abonnez-vous à la newsletter pour décrypter ensemble les décisions CNIL et CJUE, les nouvelles lignes directrices du CEPD et les chantiers réglementaires européens qui structurent votre conformité.

---

FAQ

La certification RGPD est-elle obligatoire pour les entreprises ?

Non. L’Art. 42(3) du RGPD pose le principe du caractère volontaire de la certification. Aucune entreprise n’est tenue d’obtenir une certification Art. 42, et l’absence de certification ne fait pas peser de présomption négative. La certification est en revanche un signal commercial et un facteur de réduction du risque en phase contradictoire devant la CNIL.

Quelle est la différence entre Europrivacy et ISO 27701 ?

Europrivacy est une certification au sens de l’Art. 42 RGPD, approuvée par le CEPD (avis 28/2022 du 10 octobre 2022) et délivrée par des organismes agréés au titre de l’Art. 43. Elle couvre la conformité au RGPD lui-même. ISO 27701 est une norme privée internationale qui étend ISO 27001 à la gestion de la vie privée. Elle peut nourrir la démonstration d’accountability mais ne produit pas les effets juridiques spécifiques de l’Art. 42 (Art. 46(2)(f) transferts, Art. 83(2)(j) atténuation).

Une certification RGPD réduit-elle la responsabilité du responsable de traitement ?

Non, l’Art. 42(4) l’exclut explicitement. La certification ne fait pas écran à la responsabilité du responsable de traitement, et l’autorité de contrôle conserve l’intégralité de ses pouvoirs d’enquête et de sanction au titre de l’Art. 58. Elle joue comme élément de preuve d’accountability et comme circonstance atténuante au titre de l’Art. 83(2)(j) si une sanction venait à être prononcée.

Combien de temps dure une certification RGPD ?

L’Art. 42(7) fixe la durée maximale à trois ans, renouvelables dans les mêmes conditions sous réserve que les critères continuent d’être remplis. Le cycle Europrivacy prévoit en pratique une surveillance annuelle entre les audits triennaux complets. La certification peut être retirée à tout moment lorsque les conditions ne sont plus respectées.

Une certification peut-elle servir d’instrument de transfert hors UE ?

Oui, depuis l’Art. 46(2)(f) du RGPD. Une certification accompagnée d’engagements contraignants et opposables — comme précisé par les Lignes directrices 7/2022 du CEPD du 14 février 2023 — peut servir d’instrument de transfert vers un pays tiers. Aucun schéma n’a toutefois encore été formellement approuvé sur ce fondement en 2026 ; la voie standard demeure les clauses contractuelles types 2021/914 et les analyses d’impact sur les transferts post-Schrems II.