S’Abonner
Login
Faire valider un Code de conduite par la CNIL

·

·

LegalPlanet > CNIL | RGDP > Faire valider un Code de conduite par la CNIL
Faire valider un Code de conduite par la CNIL
,

Un code de conduite ?

Un code de conduite est un outil de redevabilité (ou « accountability » en anglais) qui permet aux adhérents de démontrer leur conformité avec les exigences du RGPD en justifiant des bonnes pratiques mises en place.

Bien qu’il prenne en compte les exigences minimales du RGPD, un code de conduite peut parfois aller au-delà et intégrer des recommandations supplémentaires adaptées aux spécificités du secteur concerné.

Ce code résulte d’une démarche volontaire et partagée : d’une part, l’organisation représentative du secteur décide d’élaborer le code, et d’autre part, les professionnels concernés choisissent de l’adopter.

Un Outil Pratique pour les Professionnels

Le code de conduite est conçu pour répondre aux besoins pratiques des professionnels, notamment des micro, petites et moyennes entreprises, afin de les aider à mettre en œuvre les dispositions du RGPD. Il doit être rédigé de manière claire et compréhensible pour être accessible même aux professionnels qui ne sont pas nécessairement des experts en protection des données.

Il sert à mettre en lumière les bonnes pratiques du secteur, en proposant par exemple :

  • Des modèles de mentions d’information,
  • Des modèles de clauses contractuelles,
  • Des préconisations en matière de mesures de sécurité, tous présentés dans un vocabulaire spécifique au secteur.

Différence avec d’autres Instruments

Bien qu’il présente des points communs avec d’autres instruments comme les chartes, les guides pratiques ou les codes de déontologie, un code de conduite n’est ni une charte, ni un simple guide pratique. Il constitue un outil juridiquement contraignant qui impose aux adhérents de se conformer aux règles écrites dans le code. De plus, il oblige les adhérents à accepter qu’un organisme tiers contrôle l’application du code, sauf pour les organismes publics.

Qui Peut Élaborer un Code de Conduite ?

L’élaboration d’un code de conduite repose sur une démarche sectorielle qui doit être initiée par une organisation représentative du secteur d’activité. Il peut s’agir d’une association, d’une fédération ou d’un autre organisme représentant des responsables de traitement ou des sous-traitants. Cette organisation doit être capable de démontrer sa représentativité au sein du secteur, ce qui peut se faire par des indicateurs tels que :

  • Le nombre d’adhérents,
  • L’expertise de l’organisation dans le domaine.

Les Avantages d’un Code de Conduite

Un code de conduite présente plusieurs avantages, notamment :

  • La construction d’un socle commun de bonnes pratiques en matière de protection des données,
  • La démonstration de la conformité au RGPD dans le cadre des activités couvertes par le code,
  • L’harmonisation des pratiques au sein d’un secteur,
  • Le soutien aux micro, petites et moyennes entreprises dans leur démarche de conformité au RGPD en leur fournissant un instrument simple et opérationnel,
  • L’envoi d’un signal positif aux clients et aux professionnels du secteur, montrant l’engagement des adhérents à respecter les principes de protection des données.

Les Points à Aborder dans un Code de Conduite à Soumettre à la CNIL

Le contenu d’un code de conduite est strictement encadré par le RGPD et les lignes directrices adoptées par le Comité Européen de la Protection des Données (CEPD), qui fournissent des explications et des exemples pratiques. Ces lignes directrices aident à garantir que le code de conduite respecte pleinement les exigences du RGPD tout en répondant aux besoins opérationnels du secteur.

Exigences Formelles du Code de Conduite

Lorsque l’organisation décide d’élaborer un code de conduite, elle doit s’assurer que ce dernier répond aux exigences suivantes :

  1. Pertinence du contenu : Le code de conduite doit aborder les questions pertinentes en matière de protection des données pour le secteur concerné. Il peut être général ou plus ciblé sur un type spécifique de traitement de données.
  2. Clarté du format : Le code doit être rédigé dans un format facilement compréhensible, de façon à faciliter son application pratique par les professionnels du secteur qui ne sont pas nécessairement des experts en protection des données.
  3. Mesures opérationnelles : Le code doit inclure des mesures concrètes et opérationnelles que les adhérents peuvent appliquer pour se mettre en conformité avec le RGPD. Il ne doit pas simplement répéter ou reformuler les dispositions du RGPD.
  4. Garantie de sécurité et conformité : Il doit prévoir des garanties permettant de limiter les risques liés aux traitements de données personnelles, telles que des bonnes pratiques en matière de sécurité des données.
  5. Mécanismes de contrôle : Le code doit établir des mécanismes de contrôle pour s’assurer de la bonne application des dispositions par les adhérents. Ces mécanismes doivent préciser l’encadrement des missions de l’organisme en charge du contrôle. Même si la désignation d’un organisme de contrôle n’est pas obligatoire, le code doit inclure des mécanismes permettant de garantir la bonne application.

Autres Éléments à Inclure

Outre les exigences formelles, voici d’autres éléments importants à inclure dans le code de conduite :

  1. Introduction du projet : Le code doit commencer par une introduction présentant ses objectifs, son champ d’application, et la manière dont il facilitera l’application du RGPD.
  2. Représentativité du porteur du code : Le porteur du code doit démontrer sa représentativité dans le secteur, en se basant sur des éléments comme le nombre d’organismes représentés ou l’expertise du porteur dans le secteur ou sur les types de traitements concernés.
  3. Champ d’application : Il doit définir clairement le champ d’application matériel (les traitements de données concernés) et territorial (les États dans lesquels il est applicable).
  4. Caractère national ou européen : Le code doit préciser s’il est de caractère national ou européen. Si le caractère européen est retenu, des éléments justifiant cette qualification doivent être fournis, ainsi qu’une liste des autorités de contrôle concernées.
  5. Autorité de contrôle compétente : Le porteur du code doit désigner l’autorité de contrôle compétente et justifier le choix de la CNIL si celle-ci est choisie comme autorité de contrôle.
  6. Gouvernance du code : Le code doit expliquer comment la gouvernance sera assurée, en détaillant les modalités d’adhésion, de sortie du code, de mise à jour, et les critères de sélection de l’organisme de contrôle.
  7. Contrôle régulier de l’application : Un organisme chargé du contrôle régulier de la bonne application du code de conduite par les adhérents doit être désigné. Cependant, pour les codes de conduite relatifs aux autorités et organismes publics, cette désignation n’est pas obligatoire, bien que des mécanismes de contrôle soient recommandés.
  8. Consultation des professionnels du secteur : Le code doit inclure un résumé de la consultation des professionnels du secteur et, si possible, des personnes concernées. Cette consultation peut se faire par une campagne d’information électronique, un questionnaire, un sondage en ligne, ou un vote en assemblée générale.
  9. Respect du droit national : Le code doit assurer le respect des dispositions spécifiques nationales qui peuvent s’appliquer dans certains États membres.
  10. Langue du code : Le code doit être rédigé dans la langue de l’autorité de contrôle compétente. Par exemple, tout document soumis à la CNIL doit être en français, bien qu’une version anglaise puisse être fournie pour des projets de codes de conduite européens.

Les Deux Codes de conduite adoptés par la CNIL

EUCROF (European Clinical Research Organisations Federation)

Ce code s’adresse aux prestataires de services en recherche clinique (CRO en anglais pour Clinical Research Organisations) qui interviennent en tant que sous-traitants pour le compte de promoteurs. Il apporte une dimension opérationnelle aux exigences du RGPD.

Numéro de la délibération d’approbation : 2024-064

► Télécharger le code de conduite (version française)

► Download the code of conduct (English version)

► Annexe (français et anglais)

Date d’approbation : 12 septembre 2024

Codes de conduite adoptés par la CNIL

CISPE (Cloud Infrastructure Services Providers in Europe)
Ce code s’adresse aux fournisseurs de services d’infrastructure cloud situés sur le territoire de l’Union européenne. Il est spécifiquement dédié à cette catégorie de sous-traitants (« Infrastructure as a Service » ou « IaaS »). Il apporte une dimension opérationnelle aux principes européens et nationaux de la protection des données.

Numéro de la délibération d’approbation : 2021-065

Télécharger le code de conduite (version française)

Download the code of conduct (English version)

Date d’approbation : 3 juin 2021

Comment Faire Approuver un Code de Conduite par la CNIL ?

Le processus d’approbation d’un code de conduite européen est une procédure complexe et minutieuse qui peut durer entre huit et quatorze mois en moyenne. Ce délai est nécessaire pour garantir que le code respecte pleinement les exigences du RGPD et offre la meilleure sécurité juridique possible à l’échelle européenne.

La procédure comprend plusieurs étapes qui impliquent des échanges entre le porteur du code, l’autorité compétente (la CNIL) et ses homologues dans les autres États membres de l’UE. L’objectif principal de ces échanges est de s’assurer que le projet du code de conduite respecte les exigences légales et apporte les garanties appropriées pour la protection des données personnelles.

Les Trois Phases de la Procédure d’Instruction

  1. Première phase – Analyse par la CNIL : Après avoir soumis le projet de code de conduite via le téléservice, la CNIL analyse le dossier. Cette phase comprend des échanges entre la CNIL et le porteur du code afin de s’assurer que le projet répond aux exigences légales du RGPD. Des ajustements peuvent être demandés si nécessaire jusqu’à ce que toutes les exigences soient satisfaites.
  2. Deuxième phase – Avis des autorités de contrôle volontaires : Une fois le projet validé par la CNIL, celui-ci est transmis à deux autorités de contrôle volontaires. Ces autorités analysent le projet et envoient leurs commentaires à la CNIL, qui informe le porteur du code des retours reçus. Le porteur peut être invité à prendre en compte ces observations et ajuster le projet en conséquence.
  3. Troisième phase – Consultation des autorités de contrôle concernées : Une fois les avis des autorités volontaires intégrés, le projet est envoyé à toutes les autorités de contrôle concernées par le code de conduite, c’est-à-dire les autorités des États membres où le code sera appliqué. Cette étape peut entraîner de nouvelles observations ou demandes de modifications. Le porteur du code doit alors répondre à ces demandes.

Enfin, le projet est soumis pour avis au Comité Européen de la Protection des Données (CEPD), conformément au mécanisme de cohérence prévu par l’article 63 du RGPD. Ce mécanisme assure la cohérence de l’application du RGPD au sein de l’Union européenne.

Le CEPD soumet ensuite son avis à la Commission européenne, qui prendra la décision finale. La Commission européenne prononcera l’application générale du code de conduite dans toute l’Union européenne, conformément aux articles 40.8 et 40.9 du RGPD.

Le Contrôle de la Bonne Application du Code de Conduite

Le contrôle de la bonne application d’un code de conduite est obligatoire pour garantir la conformité des adhérents avec les exigences du RGPD. Ce contrôle est généralement confié à un organisme dédié dont la mission est de veiller à ce que le code soit correctement appliqué. Le RGPD prévoit que cet organisme soit indépendant des autorités de contrôle, et il peut être soit interne au porteur du code, soit un ou plusieurs organismes tiers.

Le Rôle de l’Organisme de Contrôle

L’organisme de contrôle a plusieurs missions clés qui contribuent à la bonne application du code de conduite :

  • Audits préalables et réguliers : Il effectue des audits avant l’adhésion au code et de manière régulière après l’adhésion pour s’assurer que les adhérents respectent les exigences du code de conduite.
  • Traitement des réclamations : Il est chargé de recevoir et de traiter les réclamations concernant des violations du code de conduite ou de la manière dont il est appliqué par les responsables de traitement ou les sous-traitants.
  • Prise de mesures en cas de violation : En cas de non-conformité, l’organisme peut appliquer des sanctions comme la suspension ou l’exclusion d’un adhérent.
  • Mise à jour du code : L’organisme participe également à la mise à jour du code de conduite en fonction des évolutions législatives et des retours d’expérience des adhérents.

Devenir Organisme de Contrôle : Les Critères d’Agrément

Pour devenir un organisme de contrôle agréé, il faut remplir plusieurs conditions essentielles :

  1. Identification dans le code de conduite : Le code de conduite doit explicitement désigner l’organisme en question comme responsable du contrôle.
  2. Respect des exigences du référentiel d’agrément : L’organisme doit respecter les exigences définies par le référentiel d’agrément de la CNIL.
  3. Phase finale d’approbation du code : Le code de conduite de référence doit être dans sa phase finale d’approbation par la CNIL, ou pour les codes européens, avoir reçu un avis favorable du Comité Européen de la Protection des Données (CEPD).

Le Processus d’Agrément

L’agrément des organismes de contrôle est régulé par l’article 41 du RGPD. Ce processus vise à garantir que l’organisme de contrôle remplit toutes les conditions nécessaires pour exercer sa mission efficacement.

Exigences Générales :

L’organisme doit démontrer :

  • La conformité au RGPD dans tous les traitements effectués dans le cadre de ses missions.
  • Des ressources humaines, financières et matérielles proportionnées à l’ampleur du code de conduite.
  • L’exécution des missions définies par le code.
  • La conservation sécurisée des documents liés à ses missions.
Exigences Particulières :

L’organisme doit également garantir :

  • Indépendance : L’indépendance fonctionnelle, matérielle et décisionnelle de l’organisme doit être démontrée, ainsi que la mise en place de procédures formelles pour encadrer ses missions.
  • Absence de conflits d’intérêts : Des procédures doivent être en place pour éviter tout conflit d’intérêts et toute influence extérieure.
  • Expertise adéquate : Le personnel de l’organisme doit posséder les compétences nécessaires, tant opérationnelles que décisionnelles, pour mener à bien ses missions.
  • Procédures de contrôle : Le contrôle doit être effectué de manière régulière, complète et transparente, avec des audits inopinés et des inspections annuelles.
  • Procédure de traitement des plaintes : L’organisme doit disposer de mécanismes pour traiter les plaintes relatives à la violation du code ou à sa mauvaise application.

Durée de Validité de l’Agrément

L’agrément d’un organisme de contrôle est valable pendant cinq ans. À l’issue de cette période, l’organisme doit soumettre une demande de renouvellement.

Le Processus de Demande d’Agrément

Le processus de demande d’agrément inclut plusieurs étapes :

  • Soumission du dossier : Le dossier de demande d’agrément est soumis à la CNIL, qui vérifie la complétude du dossier dans un délai de dix jours. Si des informations manquent, la CNIL demande des compléments.
  • Instruction de la demande : Une fois le dossier complet, il est examiné par la CNIL qui, après instruction, soumet le dossier à la délibération pour la délivrance de l’agrément.
  • Notification : Une fois l’agrément accordé, la CNIL notifie la décision au demandeur et publie la liste des organismes agréés sur son site web.

Renouvellement et Modification de l’Agrément

  • Renouvellement : La demande de renouvellement doit être soumise au plus tard six mois avant la date d’expiration de l’agrément.
  • Modification : En cas de modification substantielle de l’organisme de contrôle (par exemple, des changements dans sa structure ou ses ressources), l’organisme doit en informer la CNIL.

Suspension ou Retrait de l’Agrément

Si un organisme ne respecte plus les exigences de l’agrément ou viole le RGPD dans l’exercice de ses fonctions, la CNIL peut décider de suspendre ou retirer son agrément. Des sanctions telles qu’une amende administrative peuvent également être appliquées, pouvant atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’organisme.

Les organismes de contrôle déjà désignés

Ont été désignés dans le cadre des Codes de conduite EUCROF et CISPE approuvés par la CNIL :

Organisme de contrôle du code de conduite
Bureau Veritas Italia Spa

N° de label 2021-117
Date de délivrance 07-10-2021
Date d’expiration 07-10-2026

Organisme de contrôle du code de conduite
Laboratoire national de métrologie et d’essai (LNE)

N° de label 2021-112
Date de délivrance 23-09-2021
Date d’expiration 23-09-2026

Organisme de contrôle du code de conduite
EY CERTIFYPOINT

N° de label 2021-076
Date de délivrance 17-06-2021
Date d’expiration 17-06-2026

  • Bienvenue, je suis votre assistant juridique
Réflexion en cours .... ...
Chat Icon