Les codes de conduite RGPG

Les codes de conduite RGPG
Article RGPD

A l’occasion de la délivrance du premier agrément en matière de suivi de code de conduite le 17 juin 2021, précédé par la délivrance d’un premier code de conduite européen le 3 juin 2021, nous avons décidé de nous pencher sur ce sujet.

Qu’est-ce qu’un « code de conduite » ?

Les codes de conduite, prévus à l’article 40 du RGPD, font partie de ces outils qui vont permettre à des organismes de démontrer qu’ils sont conformes au RGPD.

Contrairement à une certification qui va pouvoir être obtenue à la suite d’une évaluation, un code de conduite est développé spécifiquement pour un secteur d’activité. La CNIL parle d’ailleurs d’un « outil sectoriel » qui permettra de contribuer à la bonne application du RGPD pour ce secteur, tout en prenant compte de ses particularités.

Qui peut créer un code de conduite ?

La création du code de conduite ne sera pas faite directement par le secteur d’activité concerné. La création du code de conduite sera en fait réalisée par un organisme représentant le secteur d’activité (association, fédération, etc.).

Quel est le contenu d’un code de conduite ?

Comme évoqué précédemment, un code de conduite doit pouvoir permettre aux organismes d’un secteur d’être conformes ou qu’ils soient conformes avec le RGPD. Mais le code de conduite n’est pas juste un cachet de conformité.

Le code de conduite va également décortiquer le RGPD pour permettre son application au secteur. Cela veut dire que l’on pourra notamment trouver dans un code :

  • Des éléments relatifs la mise en œuvre d’activités de traitement spécifiques au secteur : catégories de données traitées, durées de conservation, etc. ;
  • Des éléments relatifs aux études d’impacts : quels seront les traitements concernés par l’obligation et quelle trame utiliser ;
  • Des modèles de mentions d’informations ;
  • Des modèles de clauses types ;
  • Etc.

Le code de conduite est donc une véritable boîte à outils qui permettra aux organismes d’un même secteur d’harmoniser leurs pratiques et d’être conformes à la règlementation.

Le contenu attendu d’un code de conduite est prévu à l’article 40 du RGPD mais également dans les Lignes directrices du Comité européen de la protection des données à ce sujet.

Comment faire valider un code de conduite ?

La validation d’un code de conduite se fera nécessairement devant l’autorité de contrôle compétente.

  • Si le code de conduite est national : l’autorité de contrôle compétente sera l’autorité de contrôle habituellement compétente sur le territoire concerné ;
  • Si le code de conduite est européen : l’autorité de contrôle compétente sera l’autorité de contrôle dite chef de file mais la validation du code de conduite passera d’abord par une relecture du code par les autorités de contrôles européennes et par la délivrance d’un avis du Comité européen de la protection des données.

Qui assure le suivi des codes de conduite ?

Les autorités de contrôle ? Non !

Le suivi du code de conduite est réalisé par un organisme disposant d’un agrément qui a été délivré par l’autorité de contrôle ! Sans cet organisme de contrôle, le code de conduite ne sera pas opérationnel !

Ainsi, si on prend l’exemple le plus récent en matière de code de conduite :

  • La CNIL a approuvé un code de conduite européen dédié aux fournisseurs de services d’infrastructure cloud (CISPE) le 3 juin 2021, et,
  • Elle a agréé l’organisme EY CERTIFYPOINT B.V le 17 juin 2021.

Ce code permettra donc à ses adhérents d’assurer et de démontrer leur conformité, et l’organisme EY CERTIFYPOINT B.V s’assurera de la conformité des adhérents à ce code 

Et vous ? Avez-vous pensé à la création d’un code de conduite ?

Quelques ressources pour en savoir plus sur les codes de conduite :

Partager l'article

Articles similaires

Sous-traitant : soyez prêt à démontrer votre conformité !
Article RGPD

Sous-traitant : soyez prêt à démontrer votre conformité !

Comment faire pour démontrer sa conformité en tant que sous-traitant
Lire la suite
Les transferts hors UE | Episode 5: Les dérogations
Article RGPD

Les transferts hors UE | Episode 5: Les dérogations

Les règles d’entreprise contraignantes font partie des garanties appropriées permettant d’encadrer les transferts hors UE.
Lire la suite