Article 40 du RGPD : Codes de conduite

Introduction

Cet article encourage l’élaboration de codes de conduite destinés à faciliter la mise en œuvre des dispositions du RGPD et à promouvoir une application correcte et cohérente des règles en matière de protection des données à caractère personnel.

Explication de l’article

L’article 40 du RGPD introduit la notion de code de conduite, un outil destiné à faciliter l’application concrète du règlement, notamment pour les petites et moyennes structures.

Les associations professionnelles, fédérations et autres organismes représentatifs d’un secteur sont ainsi encouragés à élaborer des codes de conduite sectoriels.

Ces documents ont pour objectif de proposer des recommandations pratiques, adaptées au vocabulaire et aux enjeux de chaque domaine d’activité, à destination des responsables de traitement et des sous-traitants.

Ces codes peuvent prendre la forme de guides pédagogiques, de définitions simplifiées ou de procédures types, pour aider à interpréter et appliquer le RGPD dans des contextes spécifiques.

Un code de conduite constitue un socle commun de bonnes pratiques pour un secteur. Il permet également aux structures adhérentes de démontrer leur engagement en matière de conformité et leur volonté d’adopter des standards reconnus.

Une fois approuvé par la CNIL, le code de conduite devient contraignant pour les organismes qui y adhèrent. Son respect est alors contrôlé par un organisme tiers indépendant, agréé par la CNIL selon les modalités définies à l’article 41 du RGPD.

À noter : même les entités non soumises au RGPD (par exemple, situées hors UE) peuvent s’appuyer sur un code de conduite reconnu pour aligner leur niveau de protection sur les exigences européennes, notamment dans un cadre contractuel.

À ce jour, un seul code de conduite a été formellement approuvé par la CNIL : celui des fournisseurs d’infrastructures cloud.

Ceci est une alerte Toute société ayant des bases de données se doit de respecter les règles du RGPD, quelle que soit la taille de l'entreprise.

Libérez-vous du RGPD

Un DPO externe certifié prend en charge votre conformité et sécurise vos données,
sans contrainte pour vous.

Échanger avec un expert RGPD

Texte original du RGPD

1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.

2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application du présent règlement, telles que:

a) le traitement loyal et transparent;

b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques;

c) la collecte des données à caractère personnel;

d) la pseudonymisation des données à caractère personnel;

e) les informations communiquées au public et aux personnes concernées;

f) l’exercice des droits des personnes concernées;

g) les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d’obtenir le consentement des titulaires de la responsabilité parentale à l’égard de l’enfant;

h) les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l’article 32;

i) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées;

j) le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou

k) les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.

3. Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d’application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l’article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et doté de force obligatoire au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

4. Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l’organisme visé à l’article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s’engagent à l’appliquer, sans préjudice des missions et des pouvoirs de l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56.

5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l’intention d’élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l’autorité de contrôle qui est compétente en vertu de l’article 55. L’autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu’il offre des garanties appropriées suffisantes.

6. Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle enregistre et publie le code de conduite.

7. Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle qui est compétente en vertu de l’article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l’article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, s’il offre des garanties appropriées.

8. Lorsque l’avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.

9. La Commission peut décider, par voie d’actes d’exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 sont d’application générale au sein de l’Union. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.

10. La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu’ils sont d’application générale conformément au paragraphe 9.

11. Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Article 27

1. Les États membres et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les États membres en application de la présente directive.

2. Les États membres prévoient que les associations professionnelles et les autres organisations représentant d’autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l’intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre à l’examen de l’autorité nationale.

Les États membres prévoient que cette autorité s’assure, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. Si elle l’estime opportun, l’autorité recueille les observations des personnes concernées ou de leurs représentants.

3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l’article 29. Celui-ci se prononce, entre autres, sur la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. S’il l’estime opportun, il recueille les observations des personnes concernées ou de leurs représentants. La Commission peut assurer une publicité appropriée aux codes qui ont été approuvés par le groupe.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 8

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

– La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du règlement (UE) 2016/679 du 27 avril 2016. Elle exerce les missions suivantes :

(…)

2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l’Union européenne et les engagements internationaux de la France.

A ce titre :

(…)

b) Elle établit et publie des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes relatifs à la protection des données à caractère personnel et à procéder à l’évaluation préalable des risques par les responsables de traitement et leurs sous-traitants. Elle encourage l’élaboration de codes de conduite définissant les obligations qui incombent aux responsables de traitement et à leurs sous-traitants, compte tenu du risque inhérent aux traitements de données à caractère personnel pour les droits et libertés des personnes physiques, notamment des mineurs. Elle homologue et publie les méthodologies de référence destinées à favoriser la conformité des traitements de données de santé à caractère personnel. Elle prend en compte, dans tous les domaines de son action, la situation des personnes dépourvues de compétences numériques, et les besoins spécifiques des collectivités territoriales, de leurs groupements et des microentreprises, petites entreprises et moyennes entreprises ;

Analyse des 3 textes qui précèdent

L’article 40 du RGPD réaffirme et renforce la volonté européenne d’encourager l’élaboration de codes de conduite afin de faciliter la bonne application des règles de protection des données. Cette disposition prévoit que ces codes soient adaptés aux spécificités sectorielles et aux besoins des petites entreprises, offrant ainsi une approche flexible et sectorielle dans la mise en œuvre des exigences de protection des données « GDPR ».

La directive 95/46/CE, en particulier via son article 27, incitait déjà à la création de codes de conduite sectoriels pour contribuer à l’application des réglementations nationales des États membres, tout en prévoyant un examen des autorités nationales et, pour les codes communautaires, un examen par le groupe de travail « 29 » (prédécesseur du Comité européen de la protection des données actuel). Cette structure était plus fragmentée et la portée essentiellement nationale, avec une publicité limitée aux États membres concernés.

Sous la Loi informatique et libertés française, des mécanismes similaires étaient présents mais généralement moins détaillés. Cette loi favorisait la définition de bonnes pratiques au niveau national avec un certain rôle de la CNIL pour la validation et la publication des codes, dans un cadre moins harmonisé au niveau européen comparé au RGPD.

Le RGPD améliore et complète cette démarche, en offrant :

Une procédure claire d’élaboration, de modification, de prorogation et de contrôle des codes par des organismes représentatifs des responsables ou sous-traitants (§ 2),
Un rôle centralisé et fortement structuré des autorités de contrôle (§ 5 à 7),
La création d’une procédure d’approbation européenne avec la possibilité d’actes d’exécution rendant les codes applicables uniformément dans l’Union (§ 8 à 10),
L’établissement d’un registre public accessible par le Comité européen de la protection des données (§ 11),
La possibilité d’étendre l’application des codes de conduite à des acteurs hors du champ d’application direct du RGPD, notamment pour assurer la conformité dans les transferts internationaux (§ 3).

Cette évolution traduit un passage d’une simple recommandation ou pratique nationale vers un cadre robuste, harmonisé, transparent et contraignant, renforçant ainsi la confiance et la cohérence dans la protection des données personnelles à l’échelle européenne.

Cette disposition constitue un levier fort pour adapter les bonnes pratiques au contexte évolutif des traitements de données, tout en assurant une forte cohérence au niveau de l’Union européenne.