Article 41
Suivi des codes de conduite

Textes
Officiels
Guidelines Jurisprudence Analyse du
droit européen
Analyse du
droit national

Le GDPR

L’article 41 autorise, sous certaines conditions, un organisme indépendant à contrôler le respect d’un code de conduite agréé visé à l’article 40, sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre de l'article  57 et 58. Le 1er paragraphe précise que seul un organisme disposant d'un niveau d'expertise approprié au regard de l'objet du code agréé peut exercer ce contrôle.

Le deuxième paragraphe définit les conditions auxquelles doit répondre ledit organisme pour effectuer le contrôle :

-il doit prouver son indépendance et son expertise au regard de l’objet du code dont il assure le contrôle (a) ;

-il doit offrir des procédures lui permettant d’apprécier, de contrôler le respect du code par les responsables ou sous-traitants, et d’examiner périodiquement son fonctionnement (b) ;

-il doit établir des procédures transparentes pour traiter des réclamations relatives aux violations ou à l’application du code par un responsable ou un sous-traitant, tout en garantissant l’absence de conflits d’intérêts (c) ;

-il doit également démontrer à l’autorité de contrôle que ses taches n’entrainent pas de conflits d’intérêts (d).

Il appartient à l’autorité de contrôle compétente de soumettre le projet d’agrément au comité européen de la protection des données, conformément au mécanisme de contrôle de la cohérence visé à l'article 63 (§3).

Sans préjudice des compétences des autorités de contrôle, ledit organisme peut, sous réserve des garanties requises, prendre des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, y compris suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises (§4).

L'autorité de contrôle compétente révoque l'agrément de l’organisme, si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme ne sont pas conformes au Règlement (§5).

La disposition ne s'applique pas au traitement de données à caractère personnel effectué par les autorités et les organismes publics (§6).

La Directive

Aucune disposition de la Directive ne prévoyait un suivi des Codes approuvés dès lors qu’aucune procédure d’agrément de tels codes n’était prévue.

Difficultés probables ?

On peut se demander quel sera en droit national le statut de l’organisme de contrôle, distinct de l’autorité de contrôle national. A priori, il ne s’agira pas d’une institution publique, mais privée, qui aurait dès lors des pouvoirs de sanctions quant à une entreprise, établie le cas échéant dans un pays tiers.

Le Règlement ne dit rien non plus quant à la prise en charge des coûts de ce contrôle obligatoire, ce qui risque de poser également difficultés, outre la gestion d’éventuels conflits d’intérêts.

Notons également que la disposition ne s’applique pas aux autorités et institutions publiques alors même que ceux-ci ne sont pas exclus de l’article 38 et sont donc poussés également à l’adoption de codes. On peut aussi se demander à quelles conditions précises répondent ces qualifications d’autorités publiques, qui ne sont pas définies par le Règlement.

Sommaire

Union Européenne

Union Européenne

Comité européen de la protection des données (EDPB)

Lignes directrices relatives aux codes de conduite et aux organismes de suivi - 1/2019 (4 juin 2019)

L’objectif de ces lignes directrices est d’offrir des orientations pratiques et une aide à l’interprétation s’agissant de l’application des articles 40 et 41 du RGPD. Elles ont été conçues pour aider à préciser les procédures et les règles encadrant la présentation, l’approbation et la publication des codes à la fois au niveau national et au niveau européen. Elles visent à définir les critères minimaux requis par une autorité de contrôle compétente (ci-après une «ACC») pour que celle-ci accepte de mener l’examen approfondi et l’évaluation d’un code . En outre, elles visent à établir les facteurs liés au contenu qui doivent être pris en compte afin d’évaluer si un code spécifique prévoit et favorise le bon fonctionnement et l’application effective9 du RGPD. Enfin, elles sont destinées à fixer les exigences en matière de contrôle efficace du respect d’un code10 .

Ces lignes directrices doivent également servir de cadre clair pour permettre à toutes les ACC, au comité et à la Commission d’évaluer les codes de façon cohérente et de rationaliser les procédures prévues pour le processus d’évaluation. Ce cadre devrait également offrir une plus grande transparence en garantissant que les propriétaires des codes désireux d’obtenir l’approbation de ceux-ci connaissent l’intégralité du processus et prennent la mesure des exigences formelles et des critères pertinents requis pour l’approbation.

Les orientations relatives aux codes de conduite conçues comme un outil au service des transferts de données, conformément à l’article 40, paragraphe 3, du RGPD, seront abordées dans des lignes directrices distinctes qui seront publiées par le comité européen de la protection des données (CEPD).

Tous les codes approuvés antérieurement11 devront être examinés et réévalués conformément aux exigences du RGPD, puis soumis une nouvelle fois pour approbation conformément aux exigences des articles 40 et 41 et aux procédures définies dans le présent document.

Lien

Retour au sommaire
Règlement
1e 2e

Art. 41

1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l'article 40 peut être effectué par un organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code et qui est agréé à cette fin par l'autorité de contrôle compétente.

2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d'un code de conduite lorsque cet organisme a:

a) prouvé, à la satisfaction de l'autorité de contrôle compétente, son indépendance et son expertise au regard de l'objet du code;

b) établi des procédures qui lui permettent d'apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d'examiner périodiquement son fonctionnement;

c) établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et

d) prouvé, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêts.

3. L'autorité de contrôle compétente soumet le projet de critères d'agrément d'un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l'article 63.

4. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.

5. L'autorité de contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme constituent une violation du présent règlement.

6. Le présent article ne s'applique pas au traitement effectué par les autorités publiques et les organismes publics.

Proposition 1 close

Pas de disposition correspondante

Proposition 2 close

1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 52 et 53, le contrôle du respect du code de conduite visé à l'article 38, paragraphe 1 ter, peut être effectué par un organisme disposant d'un niveau d'expertise approprié au regard de l'objet du code agréé à cette fin par l'autorité de contrôle compétente.

2. Un organisme visé au paragraphe 1 peut être agréé à cette fin si:

a) il a prouvé, à la satisfaction de l'autorité de contrôle compétente, son indépendance et l'expertise dont il dispose au regard de l'objet du code;

b) il a établi des procédures qui lui permettent d'apprécier si les responsables du traitement ou les sous-traitants satisfont aux conditions pour appliquer le code, de contrôler le respect des dispositions dudit code et d'examiner son fonctionnement périodiquement;

c) il a établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public;

d) il prouve, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêt.

3. L'autorité de contrôle compétente soumet le projet relatif aux critères d'agrément d'un organisme visé au paragraphe 1 au comité européen de la protection des données conformément au mécanisme de contrôle de la cohérence visé à l'article 57.

4. Sans préjudice des dispositions du chapitre VIII, un organisme visé au paragraphe 1 peut, sous réserve des garanties requises, prendre des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, y compris suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.

5. L'autorité de contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme ne sont pas conformes au présent règlement.

 6. Le présent article ne s'applique pas au traitement de données à caractère personnel effectué par les autorités et les organismes publics.

Directive close

Pas de disposition correspondante

Aucune disposition spécifique

Ancienne loi close

Pas de disposition correspondante

United Kingdom close

51. General duties of Commissioner

(1) It shall be the duty of the Commissioner to promote the following of good practice by data controllers and, in particular, so to perform his functions under this Act as to promote the observance of the requirements of this Act by data controllers.

(2) The Commissioner shall arrange for the dissemination in such form and manner as he considers appropriate of such information as it may appear to him expedient to give to the public about the operation of this Act, about good practice, and about other matters within the scope of his functions under this Act, and may give advice to any person as to any of those matters.

(3) Where—

(a) the [F1 Secretary of State] so directs by order, or

(b) the Commissioner considers it appropriate to do so, the Commissioner shall, after such consultation with trade associations, data subjects or persons representing data subjects as appears to him to be appropriate, prepare and disseminate to such persons as he considers appropriate codes of practice for guidance as to good practice.

(4) The Commissioner shall also—

(a) where he considers it appropriate to do so, encourage trade associations to prepare, and to disseminate to their members, such codes of practice, and

(b) where any trade association submits a code of practice to him for his consideration, consider the code and, after such consultation with data subjects or persons representing data subjects as appears to him to be appropriate, notify the trade association whether in his opinion the code promotes the following of good practice.

(5) An order under subsection (3) shall describe the personal data or processing to which the code of practice is to relate, and may also describe the persons or classes of persons to whom it is to relate.

[F2(5A)In determining the action required to discharge the duties imposed by subsections (1) to (4), the Commissioner may take account of any action taken to discharge the duty imposed by section 52A (data-sharing code) [F3or section 52AA (direct marketing code)].]

(6) The Commissioner shall arrange for the dissemination in such form and manner as he considers appropriate of—

(a) any Community finding as defined by paragraph 15(2) of Part II of Schedule 1,

(b) any decision of the European Commission, under the procedure provided for in Article 31(2) of the Data Protection Directive, which is made for the purposes of Article 26(3) or (4) of the Directive, and

(c) such other information as it may appear to him to be expedient to give to data controllers in relation to any personal data about the protection of the rights and freedoms of data subjects in relation to the processing of personal data in countries and territories outside the European Economic Area.

(7) The Commissioner may, with the consent of the data controller, assess any processing of personal data for the following of good practice and shall inform the data controller of the results of the assessment.

(8) The Commissioner may charge such sums as he may F4... determine for any [F5 relevant] services provided by the Commissioner by virtue of this Part.

[F6(8A) In subsection (8) “relevant services” means—

(a) the provision to the same person of more than one copy of any published material where each of the copies of the material is either provided on paper, a portable disk which stores the material electronically or a similar medium,

(b) the provision of training, or

(c) the provision of conferences.

(8B)The Secretary of State may by order amend subsection (8A).]

(9) In this section—

“good practice” means such practice in the processing of personal data as appears to the Commissioner to be desirable having regard to the interests of data subjects and others, and includes (but is not limited to) compliance with the requirements of this Act;

“trade association” includes any body representing data controllers. 

52. Reports and codes of practice to be laid before Parliament

(1) The Commissioner shall lay annually before each House of Parliament a general report on the exercise of his functions under this Act.

(2) The Commissioner may from time to time lay before each House of Parliament such other reports with respect to those functions as he thinks fit.

(3) The Commissioner shall lay before each House of Parliament any code of practice prepared under section 51(3) for complying with a direction of the [F1 Secretary of State], unless the code is included in any report laid under subsection (1) or (2).

close