Article 41
Suivi des codes de conduite

Textes
Officiels
Guidelines
& Jurisprudence
Analyse du
droit européen
Analyse du
droit national

Le GDPR

L’article 41 autorise, sous certaines conditions, un organisme indépendant à contrôler le respect d’un code de conduite agréé visé à l’article 40, sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre de l'article  57 et 58. Le 1er paragraphe précise que seul un organisme disposant d'un niveau d'expertise approprié au regard de l'objet du code agréé peut exercer ce contrôle.

Le deuxième paragraphe définit les conditions auxquelles doit répondre ledit organisme pour effectuer le contrôle :

-il doit prouver son indépendance et son expertise au regard de l’objet du code dont il assure le contrôle (a) ;

-il doit offrir des procédures lui permettant d’apprécier, de contrôler le respect du code par les responsables ou sous-traitants, et d’examiner périodiquement son fonctionnement (b) ;

-il doit établir des procédures transparentes pour traiter des réclamations relatives aux violations ou à l’application du code par un responsable ou un sous-traitant, tout en garantissant l’absence de conflits d’intérêts (c) ;

-il doit également démontrer à l’autorité de contrôle que ses taches n’entrainent pas de conflits d’intérêts (d).

Il appartient à l’autorité de contrôle compétente de soumettre le projet d’agrément au comité européen de la protection des données, conformément au mécanisme de contrôle de la cohérence visé à l'article 63 (§3).

Sans préjudice des compétences des autorités de contrôle, ledit organisme peut, sous réserve des garanties requises, prendre des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, y compris suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises (§4).

L'autorité de contrôle compétente révoque l'agrément de l’organisme, si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme ne sont pas conformes au Règlement (§5).

La disposition ne s'applique pas au traitement de données à caractère personnel effectué par les autorités et les organismes publics (§6).

La Directive

Aucune disposition de la Directive ne prévoyait un suivi des Codes approuvés dès lors qu’aucune procédure d’agrément de tels codes n’était prévue.

Difficultés probables ?

On peut se demander quel sera en droit national le statut de l’organisme de contrôle, distinct de l’autorité de contrôle national. A priori, il ne s’agira pas d’une institution publique, mais privée, qui aurait dès lors des pouvoirs de sanctions quant à une entreprise, établie le cas échéant dans un pays tiers.

Le Règlement ne dit rien non plus quant à la prise en charge des coûts de ce contrôle obligatoire, ce qui risque de poser également difficultés, outre la gestion d’éventuels conflits d’intérêts.

Notons également que la disposition ne s’applique pas aux autorités et institutions publiques alors même que ceux-ci ne sont pas exclus de l’article 38 et sont donc poussés également à l’adoption de codes. On peut aussi se demander à quelles conditions précises répondent ces qualifications d’autorités publiques, qui ne sont pas définies par le Règlement.

Groupe 29

Comité européen de la protection des données (EDPB)

Lignes directrices 1/2019 relatives aux codes de conduite et aux organismes de suivi au titre du règlement (UE) 2016/679 (4 juin 2019)

L’objectif de ces lignes directrices est d’offrir des orientations pratiques et une aide à l’interprétation s’agissant de l’application des articles 40 et 41 du RGPD. Elles ont été conçues pour aider à préciser les procédures et les règles encadrant la présentation, l’approbation et la publication des codes à la fois au niveau national et au niveau européen. Elles visent à définir les critères minimaux requis par une autorité de contrôle compétente (ci-après une «ACC») pour que celle-ci accepte de mener l’examen approfondi et l’évaluation d’un code . En outre, elles visent à établir les facteurs liés au contenu qui doivent être pris en compte afin d’évaluer si un code spécifique prévoit et favorise le bon fonctionnement et l’application effective9 du RGPD. Enfin, elles sont destinées à fixer les exigences en matière de contrôle efficace du respect d’un code10 .

 Ces lignes directrices doivent également servir de cadre clair pour permettre à toutes les ACC, au comité et à la Commission d’évaluer les codes de façon cohérente et de rationaliser les procédures prévues pour le processus d’évaluation. Ce cadre devrait également offrir une plus grande transparence en garantissant que les propriétaires des codes désireux d’obtenir l’approbation de ceux-ci connaissent l’intégralité du processus et prennent la mesure des exigences formelles et des critères pertinents requis pour l’approbation.

Les orientations relatives aux codes de conduite conçues comme un outil au service des transferts de données, conformément à l’article 40, paragraphe 3, du RGPD, seront abordées dans des lignes directrices distinctes qui seront publiées par le comité européen de la protection des données (CEPD).

Tous les codes approuvés antérieurement11 devront être examinés et réévalués conformément aux exigences du RGPD, puis soumis une nouvelle fois pour approbation conformément aux exigences des articles 40 et 41 et aux procédures définies dans le présent document.

Lien

Règlement
1e 2e

Art. 41

1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l'article 40 peut être effectué par un organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code et qui est agréé à cette fin par l'autorité de contrôle compétente.

2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d'un code de conduite lorsque cet organisme a:

a) prouvé, à la satisfaction de l'autorité de contrôle compétente, son indépendance et son expertise au regard de l'objet du code;

b) établi des procédures qui lui permettent d'apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d'examiner périodiquement son fonctionnement;

c) établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et

d) prouvé, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêts.

3. L'autorité de contrôle compétente soumet le projet de critères d'agrément d'un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l'article 63.

4. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.

5. L'autorité de contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme constituent une violation du présent règlement.

6. Le présent article ne s'applique pas au traitement effectué par les autorités publiques et les organismes publics.

Proposition 1 close

Pas de disposition correspondante

Proposition 2 close

1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 52 et 53, le contrôle du respect du code de conduite visé à l'article 38, paragraphe 1 ter, peut être effectué par un organisme disposant d'un niveau d'expertise approprié au regard de l'objet du code agréé à cette fin par l'autorité de contrôle compétente.

2. Un organisme visé au paragraphe 1 peut être agréé à cette fin si:

a) il a prouvé, à la satisfaction de l'autorité de contrôle compétente, son indépendance et l'expertise dont il dispose au regard de l'objet du code;

b) il a établi des procédures qui lui permettent d'apprécier si les responsables du traitement ou les sous-traitants satisfont aux conditions pour appliquer le code, de contrôler le respect des dispositions dudit code et d'examiner son fonctionnement périodiquement;

c) il a établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public;

d) il prouve, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêt.

3. L'autorité de contrôle compétente soumet le projet relatif aux critères d'agrément d'un organisme visé au paragraphe 1 au comité européen de la protection des données conformément au mécanisme de contrôle de la cohérence visé à l'article 57.

4. Sans préjudice des dispositions du chapitre VIII, un organisme visé au paragraphe 1 peut, sous réserve des garanties requises, prendre des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, y compris suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.

5. L'autorité de contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme ne sont pas conformes au présent règlement.

 6. Le présent article ne s'applique pas au traitement de données à caractère personnel effectué par les autorités et les organismes publics.

Directive close

Pas de disposition correspondante

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Art. 21

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

I. - Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi entraîne une violation des droits et libertés mentionnés à l'article 1er de la présente loi et que le président de la commission considère qu'il est urgent d'intervenir, il saisit la formation restreinte, qui peut, dans le cadre d'une procédure d'urgence contradictoire définie par décret en Conseil d'Etat, adopter l'une des mesures suivantes :

(...)

4° La suspension provisoire de l'agrément délivré à un organisme de certification ou un organisme chargé du respect d'un code de conduite ;

(...)

Art. 23

Modifié par l'ordonnance n° 2018-1125 du 12 décembre 2018

Lorsqu'un organisme de certification ou un organisme chargé du respect d'un code de conduite a manqué à ses obligations ou n'a pas respecté les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou celles de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 20 à 22, le retrait de l'agrément qui a été délivré à cet organisme.

Ancienne loi close

Pas de disposition correspondante

close