Lexique IT
Code de conduite
Les codes de conduite sont des outils de responsabilisation volontaires qui définissent des règles spécifiques en matière de protection des données à caractère personnel pour certaines catégories de responsables du traitement et de sous-traitants.
Ils sont destinés à contribuer à la bonne application du RGPD compte tenu de la spécificité des différents secteurs de traitement des données à caractère personnel et des besoins spécifiques des micro, petites et moyennes entreprises.
Ils s’imposent aux organismes qui y adhèrent et constituent ainsi un outil juridiquement contraignant.
Ils participent ainsi à leur accountability car il permettent de démontrer leur conformité en justifiant de leurs bonnes pratiques, et résultent d’une démarche volontaire. Ils peuvent également créer un climat de confiance pour les personnes concernées, ainsi que de sécurité juridique pour les organismes des secteurs concernés.
Les codes de conduites peuvent notamment traiter des sujets suivants :
- Le traitement loyal et transparent ;
- Les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques ;
- La collecte des données à caractère personnel ;
- La pseudonymisation des données à caractère personnel ;
- Les informations communiquées aux personnes et l’exercice des droits des personnes concernées ;
- Les informations communiquées aux enfants et la protection dont bénéficient les enfants ;
- Les mesures techniques et organisationnelles ;
- La notification des violations ;
- Les transferts de données en dehors de l’Union ;
- Les procédures de règlement des litiges.
Les codes de conduites peuvent également fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou une organisation internationale dès lors que les responsables du traitement ou sous-traitant prennent l’engagement contraignant et doté de force obligatoire de les appliquer.
Les États membres, les autorités de contrôle, le Comité européen de la Protection des données et la Commission européenne encouragent l’élaboration de codes de conduite par les associations et autres organismes représentant les catégories de responsables du traitement ou de sous-traitant.
Avant leur application, les codes de conduite élaborés doivent être approuvés puis publiés par l’autorité de contrôle compétente qui a l’obligation de les consigner dans un registre mis à la disposition du public.
Afin d’être approuvés par l’autorité de contrôle, les rédacteurs d’un code de conduite doivent notamment être en mesure de démontrer :
- Que l’établissement du code réponde à un besoin particulier ;
- Que ce code facilite l’application effective du RGPD ;
- Les modalités d’application pratiques du RGPD.
Puisqu’ils ont une valeur contraignante pour les organismes adhérents, leur bonne application fait l’objet de vérifications régulières par l’organisme de contrôle prévu dans les codes de conduite concernés.
Point RGPD
« Lors de l’élaboration d’un code de conduite, ou lors de sa modification ou prorogation, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants devraient consulter les parties intéressées, y compris les personnes concernées lorsque cela est possible, et tenir compte des contributions transmises et des opinions exprimées à la suite de ces consultations. »
Point jurisprudence
L’autorité de contrôle autrichienne considère que « l’accréditation d’un organisme de contrôle que le titulaire du code de conduite rejette expressément est exclue, de même que l’accréditation d’un organisme de contrôle concurrent si le titulaire du code de conduite a déjà indiqué expressément son soutien à un autre candidat à l’accréditation ».
Datenschutzbehörde, 28 septembre 2020, N°2020-0.605.768
Le Cabinet Bouchara vous accompagne notamment dans :
- La mise en conformité de votre organisme au RGPD ;
- La rédaction de politiques de protection des données (politique de confidentialité, charte informatique…) ;
- La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impact relative à la vie privée, consultation préalable…) ;
- L’obtention de certifications et l’adhésion à des codes de conduite ;
- L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de données à caractère personnel ;
- La rédaction et transmission de vos codes de conduites à la CNIL pour approbation ;
- L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;
- La rédaction et la négociation de vos accords de traitements de données (DPA) ;
- La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites ;
- La formation et la sensibilisation de vos collaborateurs.
Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.