Codes de conduite et certification

Que doit contenir le code de conduite ?

Le CEPD a émis des lignes directrices sur les codes de conduites afin d’apporter clarté, transparence et harmonisation sur la procédure ainsi que sur le contenu des codes de conduite,

l’Autorité estime utile de préciser que les principes généraux suivants sont fondamentaux et doivent impérativement guider l’élaboration de tout code de conduite :

être conforme au RGPD et à ses transpositions en droit national, si applicable. Les codes de conduites ne peuvent en aucun cas contenir des dispositions qui font exception au RGPD ;

 

avoir pour objet de spécifier et préciser l’application du RGPD ; 

apporter une valeur ajoutée par rapport aux dispositions du RGPD permettant de régler les problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles  ; 

disposer d’un exposé des motifs qui explique la problématique à laquelle le secteur concerné est confronté nécessitant la mise en place d’un code de conduite ainsi que la plus-value de chaque disposition en lien avec le secteur concerné par le code ; 

avoir un objet clairement défini. Le projet de code doit déterminer avec précision et clarté les traitements (ou caractéristiques de traitements) de données à caractère personnel couverts ainsi que les catégories de responsables de traitements et/ou sous-traitants concernés ; 
désigner l’organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code dans le but de permettre le contrôle obligatoire du respect de ses dispositions par les responsables de traitement ou les sous-traitants qui s'engagent à l'appliquer. 

 

Approbation

Les projets de codes de conduite peuvent être présentés par des fédérations et des organisations sectorielles à l'Autorité.

Si le code de conduite concerne des activités de traitement menées dans plusieurs Etats membres, l’approbation finale pourra être accordée par l'Autorité après avis du Comité européen de la protection des données, qui vérifiera s’ils présentent des garanties appropriées en vue du respect du RGPD.