📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 41 du RGPD : Suivi des codes de conduite approuvés

Sommaire

Introduction 

Il définit le rôle principal de l’autorité de contrôle compétente lorsqu’un responsable de traitement ou un sous-traitant exerce ses activités dans plusieurs États membres, centralisant la supervision de la conformité dans ce cadre transfrontalier.

Explication de l’article 

L’article 41 du RGPD précise les conditions de désignation des organismes chargés du suivi des codes de conduite.

La CNIL peut accréditer un organisme pour assurer le contrôle du respect d’un code de conduite, à condition que celui-ci présente les garanties suffisantes d’indépendance, d’expertise et de pérennité.

Cet organisme doit être en mesure de :

  • Vérifier que les responsables de traitement ou sous-traitants adhérents appliquent effectivement le code de conduite.
  • Traiter les réclamations relatives à des manquements au code.
  • Prendre des mesures de suspension ou d’exclusion si les engagements ne sont pas respectés, et en rendre compte à l’autorité de contrôle.

L’adhésion à un code de conduite reconnu peut constituer un véritable atout pour un organisme : elle démontre sa volonté de conformité et renforce la confiance des partenaires et clients.

À l’inverse, la perte du droit d’appliquer ce code peut nuire à l’image de l’organisme sur son marché.

Enfin, la CNIL peut retirer l’accréditation d’un organisme de suivi si les conditions initiales ne sont plus remplies (manque d’indépendance, perte d’expertise, manquement au RGPD, etc.).

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l’article 40 peut être effectué par un organisme qui dispose d’un niveau d’expertise approprié au regard de l’objet du code et qui est agréé à cette fin par l’autorité de contrôle compétente.

2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d’un code de conduite lorsque cet organisme a:

a) prouvé, à la satisfaction de l’autorité de contrôle compétente, son indépendance et son expertise au regard de l’objet du code;

b) établi des procédures qui lui permettent d’apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d’examiner périodiquement son fonctionnement;

c) établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public; et

d) prouvé, à la satisfaction de l’autorité de contrôle compétente, que ses tâches et ses missions n’entraînent pas de conflit d’intérêts.

3. L’autorité de contrôle compétente soumet le projet de critères d’agrément d’un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l’article 63.

4. Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l’application du code. Il informe l’autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.

5. L’autorité de contrôle compétente révoque l’agrément d’un organisme visé au paragraphe 1 si les conditions d’agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l’organisme constituent une violation du présent règlement.

6. Le présent article ne s’applique pas au traitement effectué par les autorités publiques et les organismes publics.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données 

Pas de disposition correspondante

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté) 

Article 21

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

1- Lorsque le non-respect des dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi entraîne une violation des droits et libertés mentionnés à l’article 1er de la présente loi et que le président de la commission considère qu’il est urgent d’intervenir, il saisit la formation restreinte, qui peut, dans le cadre d’une procédure d’urgence contradictoire définie par décret en Conseil d’Etat, adopter l’une des mesures suivantes :

(…)

4° La suspension provisoire de l’agrément délivré à un organisme de certification ou un organisme chargé du respect d’un code de conduite ;

(…)

Article 23

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Lorsqu’un organisme de certification ou un organisme chargé du respect d’un code de conduite a manqué à ses obligations ou n’a pas respecté les dispositions du règlement (UE) 2016/679 du 27 avril 2016 ou celles de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut, le cas échéant après mise en demeure, saisir la formation restreinte de la commission, qui peut prononcer, dans les mêmes conditions que celles prévues aux articles 20 à 22, le retrait de l’agrément qui a été délivré à cet organisme.

Analyse des 3 textes qui précèdent 

L’article 41 du RGPD établit un cadre pour le contrôle indépendant des codes de conduite agréés, sous réserve de respecter l’indépendance, l’expertise, et la transparence. Seuls des organismes indépendants, disposant d’un niveau d’expertise approprié, peuvent effectuer ces contrôles (§ 1).
Ils doivent démontrer leur indépendance, leur expertise, leur impartialité, et leur capacité à surveiller dans le respect des règles et sans conflits d’intérêts (§ 2).
Les contrôles réalisés par ces organismes doivent être transparents, notamment dans la gestion des réclamations, et soumis à l’approbation de l’autorité de contrôle (§ 3).
L’autorité de contrôle peut révoquer l’agrément si les conditions ne sont plus remplies ou si l’organisme ne respecte pas ses obligations (§ 4-5).
L’article précise que cette procédure est indépendante des missions et pouvoirs des autorités de contrôle classiques (ex. CNIL) (§ 2).

La directive 95/46 CE ne prévoyait aucune disposition concernant le suivi des codes de conduite 

La Loi Informatique et Libertés permettait à la CNIL ou à des organismes agréés de saisir la justice ou la formation restreinte pour des sanctions (suspension, retrait d’agrément) en cas de manquement, mais sans une procédure spécifique pour un contrôle indépendant élaborée ou une reconnaissance spécifique pour des organismes tiers agréés comme dans le RGPD.
Les mesures étaient surtout répressives, tandis que le RGPD institue une logique de contrôle préventif et d’accréditation d’organismes spécialisés.

Évolution majeure avec le RGPD

  • Création d’un mécanisme habilitant un organisme indépendant, spécialisé et agréé pour contrôler le respect des codes, en autonomie vis-à-vis des autorités classiques (§ 2-3).
  • Mise en place d’un cadre rigoureux pour assurer l’indépendance, la transparence, la compétence, et l’absence de conflits d’intérêts de ces organismes (§ 2).
  • La capacité de prendre des mesures en cas de violation du code, y compris suspendre ou exclure le responsable ou sous-traitant, sous contrôle de l’autorité de contrôle (§ 4).
  • Une procédure d’agrément claire, soumise à une évaluation régulière et à la révocation en cas de manquement, renforçant la crédibilité et la conformité des mécanismes de contrôle.

Jurisprudences 

À ce jour, il n’existe aucune jurisprudence, ni au niveau européen, ni au niveau français, relative à ce sujet.

Recommandations 

CEPD 

Lignes directrices relatives aux codes de conduite et aux organismes de suivi – 1/2019 (4 juin 2019)

CNIL 

Les organismes agréés par la CNIL pour le contrôle du code de conduite

Code de conduite : la CNIL délivre un premier agrément à un organisme de contrôle

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.