Codes de conduite et certification

Que doit contenir le code de conduite ?

Afin d’apporter clarté, transparence et harmonisation sur la procédure ainsi que sur le contenu des codes de conduite, la rédaction de lignes directrices par le Groupe de Travail - Article 29 est actuellement en cours.

l’Autorité estime utile de d’ores et déjà préciser que les principes généraux suivants sont fondamentaux et doivent impérativement guider l’élaboration de tout code de conduite :

être conforme au nouveau règlement et à ses transpositions en droit national, si applicable. Les codes de conduites ne peuvent en aucun cas contenir des dispositions qui font exception au nouveau règlement ;

 

avoir pour objet de spécifier et préciser l’application du nouveau règlement ; 

apporter une valeur ajoutée par rapport aux dispositions du nouveau règlement permettant de régler les problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles  ; 

disposer d’un exposé des motifs qui explique la problématique à laquelle le secteur concerné est confronté nécessitant la mise en place d’un code de conduite ainsi que la plus-value de chaque disposition en lien avec le secteur concerné par le code ; 

avoir un objet clairement défini. Le projet de code doit déterminer avec précision et clarté les traitements (ou caractéristiques de traitements) de données à caractère personnel couverts ainsi que les catégories de responsables de traitements et/ou sous-traitants concernés ; 
désigner l’organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code dans le but de permettre le contrôle obligatoire du respect de ses dispositions par les responsables de traitement ou les sous-traitants qui s'engagent à l'appliquer. 

Approbation

A partir du 25 mai 2018, les projets de codes de conduite pourront être présentés par des fédérations et des organisations sectortielles à l’autorité nationale de contrôle.

Si le code de conduite concerne des activités de traitement menées dans plusieurs Etats membres, l’approbation finale pourra être accordée par l’Autorité de protection des données européenne après avis du comité européen de protection des données, qui vérifiera s’ils présentent des garanties appropriées en vue du respect du nouveau règlement.