Expert du droit > RGPD > Article 40 du RGPD : Codes de conduite
Article 40 du RGPD : Codes de conduite
Sommaire :
Comprendre l’article 40
L’article 40 du RGPD définit le code de conduite.
En effet, les associations, fédérations et autres organismes sectoriels représentatifs sont encouragés à créer des codes de conduite, c’est-à-dire des recommandations pratiques et concrètes quant à l’application du RGPD à destination des responsables de traitement ou des sous-traitants, propres à chaque secteur d’activité. Ces codes sont destinés à aider les micro, petites et moyennes entreprises à appliquer le RGPD, dans leur secteur d’activité.
Concrètement, ces guides sont des “tutoriels”, des guides d’explication et de bonnes pratiques de l’application concrète du RGPD, des définitions principales, des mécanismes, des procédures… dans des secteurs spécifiques avec un vocabulaire adapté. Un code de conduite est un socle commun à un secteur d’activité des bonnes pratiques à mettre en place pour assurer la protection de données personnelles.
Ces codes de conduite permettent aux organismes de démontrer leur conformité, en montrant leur implication volontaire et le respect de bonnes pratiques.
La CNIL peut approuver un code de conduite et participer à sa diffusion.
Le code de conduite est contraignant pour les organismes adhérents. Ainsi, tout organisme qui adhère au code de conduite est tenu de le respecter, et accepte que son application soit contrôlée par un organisme tiers. Les organismes tiers chargés du contrôle du respect sont agréés par la CNIL. Les modalités d’exercice sont définies à l’article 41 du RGPD.
Les codes de conduite peuvent aussi servir de référentiel pour tout organisme non soumis au RGPD mais souhaitant avoir un niveau de sécurité et de protection des données similaire dans le cadre d’un contrat par exemple.
Pour le moment, il n’existe qu’un code de conduite approuvé par la CNIL : le code de conduite des fournisseurs d’infrastructures cloud relatif à la protection des données.
Un DPO peut être utile pour vous aider à mettre en place certaines de ces mesures. Pour en savoir +, consultez notre article : Comment trouver son DPO ?
Article 40 du RGPD
- « Les États membres, les autorités de contrôle, le comité et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.
- Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application du présent règlement, telles que:
a) le traitement loyal et transparent;
b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques;
c) la collecte des données à caractère personnel;
d) la pseudonymisation des données à caractère personnel;
e) les informations communiquées au public et aux personnes concernées;
f) l’exercice des droits des personnes concernées;
g) les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d’obtenir le consentement des titulaires de la responsabilité parentale à l’égard de l’enfant;
h) les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l’article 32;
i) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées;
j) le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou
k) les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.
- Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d’application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l’article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et doté de force obligatoire au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
- Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l’organisme visé à l’article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s’engagent à l’appliquer, sans préjudice des missions et des pouvoirs de l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56.
- Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l’intention d’élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l’autorité de contrôle qui est compétente en vertu de l’article 55. L’autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu’il offre des garanties appropriées suffisantes.
- Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle enregistre et publie le code de conduite.
- Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle qui est compétente en vertu de l’article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l’article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3 du présent article, s’il offre des garanties appropriées.
- Lorsque l’avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.
- La Commission peut décider, par voie d’actes d’exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 du présent article sont d’application générale au sein de l’Union. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.
- La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu’ils sont d’application générale conformément au paragraphe 9.
- Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié. »
Jurisprudence
Aucune jurisprudence sur cet article !
👉 Restez informé et soyez averti dès la publication de nouveaux articles.
Comment pouvons-nous vous aider ?
FAQ : Divorce, droit de la famille
Cette procédure peut conduire à des condamnations sous astreinte et des amendes allant jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel, avec le montant le plus élevé retenu. En outre, la CNIL peut décider de rendre la décision publique ce qui peut être dévastateur.
Cette procédure réservée aux cas peu complexes, mais qui peut être prononcée par un seul membre de la CNIL désigné à cet effet, peut amener à des sanctions de mise en conformité sous astreinte et une amende maximale de 20 000 €