Article 40
Codes de conduite

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national
Afficher les considérants du Règlement liés à l'article 40 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 40 keyboard_arrow_up

(77) Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(98) Il y a lieu d'encourager les associations ou autres organismes représentant des catégories de responsables du traitement ou de sous-traitants à élaborer des codes de conduite, dans les limites du présent règlement, de manière à en faciliter la bonne application, compte tenu des spécificités des traitements effectués dans certains secteurs et des besoins spécifiques des micro, petites et moyennes entreprises. Ces codes de conduite pourraient, en particulier, définir les obligations qui incombent aux responsables du traitement et aux sous-traitants, compte tenu du risque que le traitement peut engendrer pour les droits et libertés des personnes physiques.

(99) Lors de l'élaboration d'un code de conduite, ou lors de sa modification ou prorogation, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants devraient consulter les parties intéressées, y compris les personnes concernées lorsque cela est possible, et tenir compte des contributions transmises et des opinions exprimées à la suite de ces consultations.

(158) Lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s'appliquer à ce traitement, étant entendu qu'il ne devrait pas s'appliquer aux des personnes décédées. Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l'intérêt public devraient être des services qui, en vertu du droit de l'Union ou du droit d'un État membre, ont l'obligation légale de collecter, de conserver, d'évaluer, d'organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l'intérêt public général et d'y donner accès. Les États membres devraient également être autorisés à prévoir un traitement ultérieur des données à caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux génocides, aux crimes contre l'humanité, notamment l'Holocauste, ou aux crimes de guerre.

(167) Afin d'assurer des conditions uniformes d'exécution du présent règlement, il convient de conférer des compétences d'exécution à la Commission lorsque le présent règlement le prévoit. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 40.

Le GDPR

L’article 40 réitère la volonté européenne d’encourager la confection de codes destinés à contribuer à la bonne application du Règlement. Ces codes devraient être élaborés en fonction de la spécificité des différents secteurs de traitement de données et des besoins spécifiques des micros, petites et moyennes entreprises (§ 1).

Ces codes pourront être élaborés, modifiés ou prorogés par des organismes représentant des catégories de responsables ou de sous-traitants. Ils auront pour objet de préciser les modalités d’application des dispositions du Règlement (§ 2), notamment :

-le principe de loyauté et de transparence des données (a) ;

-les intérêts légitimes défendus par les responsables dans des contextes spécifiques (b) ;

-la collecte des données (c) ;

-la pseudonymisation des données (d) ;

-l’information du public et des personnes concernées (e)

-l’exercice des droits des personnes concernées (f)  Etc.

Comme il découle du considérant 98, ces codes pourraient en particulier préciser les devoirs qui incombent aux responsables du traitement et aux sous-traitants en vue de gérer le risque auquel le traitement peut exposer les droits et libertés des personnes physiques.

Ces codes seront soumis à l'autorité de contrôle qui est compétente au titre de l'article 55. L'autorité de contrôle rend alors un avis sur la conformité au Règlement, selon le cas, du projet de code de conduite, de la modification ou de la prorogation du code existant, et les approuve si elle estime qu'il fournit des garanties appropriées suffisantes (§5).

Ensuite, l’autorité de contrôle nationale enregistre le code et en publie les références, s’il ne concerne pas des traitements mis en œuvre dans plusieurs États membres (§ 6).

A défaut, elle les soumet, avant approbation, au comité européen de la protection des données qui donne un avis sur leur conformité au Règlement, voire sur l’existence de garanties appropriées dans le cas particulier des codes visés au § 3 (§ 7). Si l’avis est positif, le comité européen soumet son avis à la Commission (§ 8). Cette dernière peut alors adopter des actes d'exécution afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes qui ont été approuvées sont d'application générale sur le territoire de l'Union. Dans ce dernier cas, elle en assure alors une publicité appropriée (§ 9 et 10).

Le comité européen de la protection des données recueille quant à lui tous les codes de conduite approuvés ainsi que les modifications qui y ont été apportées dans un registre et les met à la disposition du public par tout moyen approprié (§ 11).

L’article 40 prévoit aussi en son § 3 que de Codes de conduite approuvés par l’autorité de contrôle nationale et ayant une application générale sur le territoire de l’Union pourraient être appliqués à des responsables du traitement ou des sous-traitants qui ne sont pas soumis au Règlement conformément à l'article 3, afin de fournir les garanties appropriées dans le cadre des transferts de données à caractère personnel à un pays tiers ou à une organisation internationale qui doit offrir de telles garanties appropriées et qui n’a pas été considéré comme assurant un niveau de protection adéquat (art. 46, § 2, e). Ces responsables du traitement ou sous-traitants prennent alors l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'une autre manière, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

L’article 41 prévoit quant à lui une procédure spécifique de suivi de ces codes. Ces codes doivent d’ailleurs contenir les mécanismes permettant à l’organisme chargé du suivi de procéder au contrôle obligatoire du respect du code par les sous-traitants et/ou responsables.

La Directive

L’article 27 de la Directive encourageait l’élaboration de codes de conduite sectoriels en vue de contribuer à la bonne application des dispositions nationales prises par les États membres. Ces derniers devaient prévoir une possibilité pour les associations représentantes de catégories de responsables du traitement de soumettre ceux-ci à l’examen des autorités nationales. Par ailleurs, la même possibilité était prévue concernant des projets de codes communautaires à soumettre cette fois au groupe « 29 » qui pouvait, alors assurer une publicité aux codes approuvés.

Belgique

Ni la législation belge, ni la législation française ne prévoyaient de dispositions spécifiques à ce propos.

Difficultés probables ?

Le nouveau régime des codes de conduite peut apporter beaucoup afin de préciser l’application des dispositions du Règlement à des secteurs particuliers et aux entreprises qu’ils recouvrent. Leur caractère obligatoire potentiel dans toute l’Union pourrait aussi favoriser une meilleure harmonisation de la Règlementation, ce qui est assurément positif.

Le problème proviendra du fait que l’initiative reviendra aux organismes représentatifs eux-mêmes, qui seront souvent les seuls à avoir les moyens d’élaboration de tels outils (sauf certains grands groupes d’entreprises ou certaines institutions publiques). L’enjeu de l’implémentation sera alors de prévoir une politique efficace d’encouragement et d’information de ces organisations afin de les convaincre des bénéfices potentiels pour leurs membres.

Remarquons que la procédure d’adoption est particulièrement lourde et dépendra largement de l’efficacité et la rapidité du comité européen et des autorités nationales de contrôle.

Sommaire

Union Européenne

France

Union Européenne

Comité européen de la protection des données (EDPB)

Guidelines on codes of conduct as tools for transfers - 4/2021 (7 juillet 2021)

The aim of these guidelines is to specify the application of Article 40-3 of the GDPR relating to codes of conduct as appropriate safeguards for transfers of personal data to third countries in accordance with Article 46-2-e) of the GDPR. They also aim to provide practical guidance including on the content of such codes of conduct, their adoption process and the actors involved as well as the requirements to be met and guarantees to be provided by a code of conduct for transfers.

These guidelines should further act as a clear reference for all SAs, the Board and assist the Commission in evaluating codes in a consistent manner and to streamline the procedures involved in the assessment process. They should also provide greater transparency, ensuring that code owners who intend to seek approval for a code of conduct intended to be used as a tool for transfers (“code(s) intended for transfers” hereafter) are fully aware of the process and understand the formal requirements and the appropriate thresholds required for setting up such a code of conduct.

The present guidelines complement the EDPB Guidelines 1/2019 on codes of conduct and Monitoring Bodies under Regulation 2016/679 which establish the general framework for the adoption of codes of conduct. The considerations set out in Guidelines 1/2019 notably regarding the admissibility, submission and criteria for approval are thus also valid in the context of the preparation of codes intended for transfers.

Lien

Lignes directrices relatives aux codes de conduite et aux organismes de suivi au titre du règlement (UE) 2016/679 - 1/2019 (4 juin 2019)

L’objectif de ces lignes directrices est d’offrir des orientations pratiques et une aide à l’interprétation s’agissant de l’application des articles 40 et 41 du RGPD. Elles ont été conçues pour aider à préciser les procédures et les règles encadrant la présentation, l’approbation et la publication des codes à la fois au niveau national et au niveau européen. Elles visent à définir les critères minimaux requis par une autorité de contrôle compétente (ci-après une «ACC») pour que celle-ci accepte de mener l’examen approfondi et l’évaluation d’un code . En outre, elles visent à établir les facteurs liés au contenu qui doivent être pris en compte afin d’évaluer si un code spécifique prévoit et favorise le bon fonctionnement et l’application effective9 du RGPD. Enfin, elles sont destinées à fixer les exigences en matière de contrôle efficace du respect d’un code10 .

 Ces lignes directrices doivent également servir de cadre clair pour permettre à toutes les ACC, au comité et à la Commission d’évaluer les codes de façon cohérente et de rationaliser les procédures prévues pour le processus d’évaluation. Ce cadre devrait également offrir une plus grande transparence en garantissant que les propriétaires des codes désireux d’obtenir l’approbation de ceux-ci connaissent l’intégralité du processus et prennent la mesure des exigences formelles et des critères pertinents requis pour l’approbation.

Les orientations relatives aux codes de conduite conçues comme un outil au service des transferts de données, conformément à l’article 40, paragraphe 3, du RGPD, seront abordées dans des lignes directrices distinctes qui seront publiées par le comité européen de la protection des données (CEPD).

Tous les codes approuvés antérieurement11 devront être examinés et réévalués conformément aux exigences du RGPD, puis soumis une nouvelle fois pour approbation conformément aux exigences des articles 40 et 41 et aux procédures définies dans le présent document.

Lien

Retour au sommaire

France

La CNIL

Référentiel relatif à l'agrément des organismes chargés de contrôler le respect des codes de conduite (30 avril 2020)

Lien

Code de Conduite des Fournisseurs d'Infrastructures Cloud relatif à la Protection des Données

Ce code, porté par Cloud Infrastructure Service Providers Europe (CISPE), s’adresse aux fournisseurs de services d’infrastructure cloud situés sur le territoire de l’Union européenne. Il apporte une dimension opérationnelle aux principes européens et nationaux de la protection des données.

Lien

Retour au sommaire

Sommaire

France

Retour au sommaire

France

Jurisprudence française

CE Fr., n°452668 (8 avril 2022)

Par la question – réponse n° 12 mise en ligne le 18 mars 2021 sur le site internet de la CNIL, cette autorité a fait part aux responsables de traitement et personnes concernées de son interprétation de l’article 82 de la loi n° 78-17 du 6 janvier 1978, quant à la portée et au champ d’application des exemptions à l’obligation de consentement préalable au dépôt des traceurs de connexion, en ce qui concerne les opérations dites d’affiliation.

1) Eu égard à sa teneur, cette prise de position, émise par l’autorité de régulation sur son site internet, est susceptible de produire des effets notables sur la situation des personnes qui se livrent à des opérations d’affiliation et des utilisateurs et abonnés de services électroniques. Il suit de là que cette question-réponse n° 12 et le refus de la CNIL de la retirer sont susceptibles de faire l’objet d’un recours pour excès de pouvoir.

2) a) Les opérations d’affiliation sur lesquelles porte la question – réponse n° 12 impliquent l’utilisation de traceurs de connexion afin de déterminer si l’internaute qui a accompli un acte d’achat sur un site marchand s’est connecté sur ce site à partir d’un lien figurant sur celui de l’opérateur affilié. Ces traceurs ont pour seule finalité de permettre la rémunération de l’affilié par l’éditeur du site marchand, le cas échéant par l’intermédiaire d’une plateforme d’affiliation. Ils n’ont pas pour finalité de permettre ou de faciliter la communication par voie électronique au sens de l’article 82 de la loi du 6 janvier 1978, dès lors qu’aucun traceur de connexion de la nature de ceux utilisés pour la facturation des opérations d’affiliation n’est nécessaire pour qu’un internaute se connecte à un site marchand à partir d’un site édité par un tiers et y effectue un achat.

Ils ne peuvent davantage être regardés comme strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur, alors que la rémunération de l’affilié par l’éditeur du site marchand ne répond pas à une demande de l’utilisateur.

Par ailleurs, la circonstance que certains traceurs seraient nécessaires à la viabilité économique d’un site ou d’un partenariat ne saurait conduire à les ranger dans l’une ou l’autre des exceptions prévues par l’article 82 de la loi du 6 janvier 1978.

Enfin, ces traceurs n’ont, en tout état de cause, pas la même finalité que ceux permettant la mesure de l’audience des sites internet.

Par suite, la CNIL n’a pas méconnu l’article 82 de la loi du 6 janvier 1978 en exigeant que le consentement des utilisateurs soit recueilli préalablement au dépôt et à l’utilisation des traceurs en cause.

b) Il ressort des termes de la question-réponse n° 12 que les éléments donnés par cette réponse portent uniquement sur les traceurs de connexion utilisés exclusivement à des fins de facturation des opérations d’affiliation.

Elle ne s’applique ainsi pas aux traceurs de connexion mis en œuvre pour les besoins de services de remboursement, dits de « cashback », ou de récompense, dits de « reward », par lesquels un internaute, après s’être inscrit pour ce type de services auprès de l’éditeur d’un site partenaire, bénéficie d’un remboursement partiel ou d’un avantage, comme des bons de réduction ou des tarifs préférentiels, ou attache une conséquence à son achat, lorsqu’il effectue un acte d’achat sur un site marchand auquel il s’est connecté à partir d’un lien figurant sur ce site partenaire, quand bien même ces mêmes traceurs peuvent également servir à la facturation d’opérations assimilables à l’affiliation entre ces éditeurs.

Les éléments de réponse contestés n’ont donc pas pour objet, et n’auraient pu avoir légalement pour effet, d’exiger que le dépôt et l’utilisation de tels traceurs soient précédés du recueil du consentement de l’internaute, dans la mesure où ils sont alors strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Arrêt rendu

Retour au sommaire
Règlement
1e 2e

Art. 40

1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.

2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d'application du présent règlement, telles que:

a) le traitement loyal et transparent;

b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques;

c) la collecte des données à caractère personnel;

d) la pseudonymisation des données à caractère personnel;

e) les informations communiquées au public et aux personnes concernées;

f) l'exercice des droits des personnes concernées;

g) les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d'obtenir le consentement des titulaires de la responsabilité parentale à l'égard de l'enfant;

h) les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l'article 32;

i) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées;

j) le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou

k) les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.

3. Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d'application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l'article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et doté de force obligatoire au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

4. Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l'organisme visé à l'article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer, sans préjudice des missions et des pouvoirs de l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.

5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l'autorité de contrôle qui est compétente en vertu de l'article 55. L'autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu'il offre des garanties appropriées suffisantes.

6. Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle enregistre et publie le code de conduite.

7. Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle qui est compétente en vertu de l'article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l'article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, s'il offre des garanties appropriées.

8. Lorsque l'avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.

9. La Commission peut décider, par voie d'actes d'exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 sont d'application générale au sein de l'Union. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

10. La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu'ils sont d'application générale conformément au paragraphe 9.

11. Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.

Proposition 1 close

1. Les États membres, les autorités de contrôle et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données, à la bonne application des dispositions du présent règlement, en ce qui concerne notamment:

a) le traitement loyal et transparent des données;

b) la collecte des données;

c) l'information du public et des personnes concernées;

d) les demandes formulées par les personnes concernées dans l'exercice de leurs droits;

e) l'information et la protection des enfants;

f) le transfert de données vers des pays tiers ou à des organisations internationales;

g) les mécanismes de suivi et visant à assurer le respect des dispositions du code par les responsables du traitement qui y adhèrent;

h) les procédures extrajudiciaires et les autres procédures de règlement des conflits permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées relatifs au traitement de données à caractère personnel, sans préjudice des droits des personnes concernées au titre des articles 73 et 75.

2. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans un État membre qui ont l'intention d'élaborer des codes de conduite ou de modifier des codes de conduite existants ou d'en proroger la validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État membre concerné. L’autorité de contrôle peut rendre un avis sur la conformité, avec le présent règlement, du projet de code de conduite ou de la modification. Elle recueille les observations des personnes concernées ou de leurs représentants sur ces projets.

3. Les associations et les autres organisations représentant des catégories de responsables du traitement dans plusieurs États membres peuvent soumettre à la Commission des projets de codes de conduite ainsi que des modifications ou prorogations de codes de conduite existants.

4. La Commission peut adopter des actes d'exécution afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes de conduite existants qui lui ont été soumis en vertu du paragraphe 3 sont d’applicabilité générale sur le territoire de l'Union. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.

5. La Commission assure une publicité appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient d’applicabilité générale conformément au paragraphe 4.

Proposition 2 close

1. Les États membres, les autorités de contrôle, le comité européen de la protection des données et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données et des besoins spécifiques des micro, petites et moyennes entreprises, à la bonne application des dispositions du présent règlement.

1 bis. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou en proroger la validité, afin de préciser les modalités d'application des dispositions du présent règlement, telles que:

a) le traitement loyal et transparent des données;

a bis) les intérêts légitimes défendus par les responsables du traitement dans des contextes spécifiques;

b) la collecte des données;

b bis) la pseudonymisation des données à caractère personnel;

c) l'information du public et des personnes concernées;

d) l'exercice des droits des personnes concernées;

e) l'information et la protection des enfants et la manière de recueillir le consentement des parents et des tuteurs de l'enfant;

e bis) les mesures et les procédures visées aux articles 22 et 23 et les mesures visant à assurer la sécurité du traitement visé à l'article 30;

f) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication à la personne concernée de ces violations;

f) (…)

1 bis ter. Outre l'adhésion du responsable du traitement ou du sous-traitant soumis au règlement, les codes de conduite approuvés en application du paragraphe 2 peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement conformément à l'article 3, afin de fournir les garanties appropriées dans le cadre des transferts de données à caractère personnel à un pays tiers ou à une organisation internationale conformément aux conditions visées à l'article 42, paragraphe 2, point d). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'une autre manière, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

1 ter. Ce code de conduite comprend les mécanismes permettant à l'organisme visé à l'article 38 bis , paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous traitants qui s'engagent à l'appliquer, sans préjudice des missions et des pouvoirs de l'autorité de contrôle qui est compétente au titre de l'article 51 ou de l'article 51 bis .

2. Les associations et les autres organismes visés au paragraphe 1 bis qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code à l'autorité de contrôle qui est compétente au titre de l'article 51. L'autorité de contrôle rend un avis sur la conformité au présent règlement du projet de code de conduite, de la modification ou de la prorogation du code existant, et approuve ce projet de code de conduite, cette modification ou cette prorogation du code existant si elle estime qu'il fournit des garanties appropriées suffisantes.

2 bis. Lorsque l'avis visé au paragraphe 2 confirme que le code de conduite ou le code modifié ou prorogé est conforme au présent règlement et que le code est approuvé, et s'il ne concerne pas des traitements mis en œuvre dans plusieurs États membres, l'autorité de contrôle enregistre le code de conduite et en publie les références.

2b. Si le projet de code de conduite concerne des traitements mis en œuvre dans plusieurs États membres, l'autorité de contrôle compétente au titre de l'article 51 le soumet, avant approbation, suivant la procédure visée à l'article 57, au comité européen de la protection des données, qui donne un avis sur la conformité au présent règlement du projet de code de conduite, de la modification ou de la prorogation du code existant ou, dans la situation visée au paragraphe 1 bis ter, sur la fourniture de garanties appropriées.

3. Si l'avis visé au paragraphe 2 ter confirme que le code de conduite ou le code modifié ou prorogé est conforme au présent règlement ou, dans la situation visée au paragraphe 1 bis ter, fournit des garanties appropriées, le comité européen de la protection des données soumet son avis à la Commission .

4. La Commission peut adopter des actes d'exécution afin de constater par voie de décision que les codes de conduite approuvés ainsi que les modifications ou prorogations de codes de conduite existants approuvés qui lui ont été soumis en vertu du paragraphe 3 sont d'application générale sur le territoire de l'Union. Les actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 5. La Commission assure une publicité appropriée aux codes approuvés dont elle a constaté par voie de décision qu'ils étaient d'application générale conformément au paragraphe 4 .

 5 bis. Le comité européen de la protection des données recueille tous les codes de conduite approuvés ainsi que les modifications qui y ont été apportées dans un registre et les met à la disposition du public par tout moyen approprié, comme le portail européen e-Justice.

Directive close

Art. 27

1. Les États membres et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les États membres en application de la présente directive.

2. Les États membres prévoient que les associations professionnelles et les autres organisations représentant d'autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l'intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre à l'examen de l'autorité nationale.

Les États membres prévoient que cette autorité s'assure, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. Si elle l'estime opportun, l'autorité recueille les observations des personnes concernées ou de leurs représentants.

3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l'article 29. Celui-ci se prononce, entre autres, sur la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. S'il l'estime opportun, il recueille les observations des personnes concernées ou de leurs représentants. La Commission peut assurer une publicité appropriée aux codes qui ont été approuvés par le groupe.

Aucune disposition spécifique

Ancienne loi close

Pas de disposition spécifique sur les codes de conduite

close