LogoMeilleurAvocats.fr
AvocatsAssistant IABlogPrix
ConnexionDéposer ma demande

Vous avez un problème juridique ?

Décrivez votre situation en 2 minutes — un avocat spécialisé vous répond sous 24h.

Déposer ma demandeJe suis avocat
Logo MeilleurAvocats.frMeilleurAvocats.fr

Mise en relation avocat–client par l'IA. Gratuit pour les particuliers.

Particuliers

  • Déposer une demande
  • Trouver un avocat
  • Assistant IA gratuit
  • Bibliothèque juridique
  • Guides pratiques
  • Jurisprudence

Avocats

  • Pour les avocats
  • Espace avocat
  • Tarifs et formules
  • Recevoir des leads
  • Programme d'affiliation
  • Contact commercial

Spécialités

  • Droit général
  • Droit du travail
  • Droit de la sécurité sociale et de la protection sociale
  • Droit fiscal et droit douanier
  • Droit de la famille, des personnes et de leur patrimoine
  • Droit immobilier

Légal

  • Mentions légales
  • Confidentialité
  • CGU
  • Cookies
  • Contact

Newsletter juridique hebdomadaire

Décisions clés, évolutions législatives, conseils pratiques — chaque semaine.

© 2026 MeilleurAvocats.fr— KONSEIL SAS. Tous droits réservés.

Mentions légales|Confidentialité|Cookies

BOB★La messagerie française & cryptée pour des échanges confidentiels entre avocats et clients.

En savoir +TéléchargerBOB
AccueilDélibérations CNIL2025-064
DélibérationEn vigueur

Délibération 2025-064 du 10 juillet 2025

Délibération n° 2025-064 du 10 juillet 2025 portant approbation des critères de la certification nationale « Lexing certification RGPD » portée par la société Lexing

Numéro2025-064
Datejeudi 10 juillet 2025
NatureDélibération
Type d'acteRéférentiel/Règlement type/Norme
ÉtatEn vigueur
RéférenceCNILTEXT000052044325

Résumé IA

La CNIL approuve les critères de la certification nationale « Lexing certification RGPD » portée par la société Lexing. Cette certification, d'une durée de trois ans, permet d'attester la conformité de traitements de données personnelles mis en œuvre par des responsables de traitement établis dans l'UE. Elle ne s'applique pas aux activités de sous-traitance, aux responsables conjoints, ni aux transferts de données vers des pays tiers. Les organismes certificateurs seront agréés par le COFRAC.

Texte intégral

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD), notamment son article 42 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés" ), notamment son article 8-I-2° h) ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment son article 74 ;

Vu l’avis 3/2025 du Comité européen de la protection des données (CEPD) relatif au projet de décision de l’autorité de contrôle française concernant l’approbation des critères de la certification "Lexing certification RGPD" portée par la société Lexing, adopté le 8 avril 2025 ;

Après avoir entendu le rapport de Mme Anne Debet, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Formule les observations suivantes :

L’article 42.5 du RGPD prévoit que la certification est délivrée sur la base de critères approuvés par une autorité de contrôle compétente en application de l’article 58.3 f).

L’article 64.1 c) du RGPD prévoit que l’autorité de contrôle compétente communique son projet de décision d’approbation au Comité européen de la protection des données (CEPD) conformément au mécanisme de "contrôle de la cohérence" .

Le 20 janvier 2025, la CNIL a été saisie par la société Lexing ( "le porteur") d’une demande d’approbation des critères d’un projet de certification nationale.

Le 30 janvier 2025, la CNIL a soumis ce projet de certification à l’avis du CEPD, qui a adopté un avis favorable avec recommandations le 8 avril 2025.

Les critères de la certification "Lexing certification RGPD" v.5 répondent aux exigences prévues par l’article 42 du RGPD.

Les responsables de traitement qui souhaitent candidater à la certification soumettront leurs traitements de données à caractère personnel à une évaluation réalisée par un organisme certificateur agréé en vertu de l'article 43 du RGPD.

Les certifications sont délivrées pour une durée de 3 ans.

Le projet du porteur suit une approche généraliste pour permettre la certification d’une grande diversité de traitements de données : la certification est ouverte à l’usage de n’importe quelle technologie et aux acteurs de tous les secteurs.

Ne sont pas éligibles à la certification, les traitements de données à caractère personnel mis en œuvre en qualité de sous-traitant au titre de l’article 28 du RGPD, en qualité de responsable conjoint du traitement au titre de l’article 26 du RGPD ou par un responsable de traitement établi hors de l’Union européenne et soumis au RGPD au titre de son article 3.2.


La certification ne fournit pas les garanties nécessaires dans le cadre d’un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, telles que visées à l’article 46 du RGPD.

Décide :

  • de l’approbation des critères de la certification nationale "Lexing certification RGPD" v.5, annexés à la délibération ;
  • que le Comité français d’accréditation (COFRAC), instance nationale d’accréditation, procèdera à l’agrément des organismes certificateurs, conformément à la convention de coopération conclue entre la CNIL et ce dernier ;
  • que les critères de la certification seront publiés par la CNIL et qu’ils seront transmis au CEPD afin d’être consignés dans le registre des mécanismes de certification et les labels en matière de protection des données, conformément à l’article 43.6 du RGPD ;
  • en cas de modification des critères, la CNIL, après en avoir été informée par le porteur, décidera si une nouvelle procédure d’approbation est nécessaire.

Cette décision sera publiée sur le site Légifrance.


La présidente,

M.-L. Denis

Délibérations similaires

DélibérationAvis

Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie

L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.

19/03/2026

DélibérationDisposition interne CNIL

Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée

La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.

19/03/2026

DélibérationAvis

Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien

La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.

12/03/2026

DélibérationAvis

Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)

L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.

05/03/2026

← Retour aux délibérations