faqdr

Oui. Les conventions entre le sous-traitant et le responsable du traitement doivent être établies de manière contraignante et doivent définir l'ampleur de la mission. Le contenu minimal du contrat est décrit dans le RGPD.

Le contrat peut renvoyer à l'adhésion au code de conduite approuvé ou au mécanisme de certification approuvé en tant qu'élément destiné à prouver les garanties offertes.

L'adhésion au code de conduite approuvé ou au mécanisme de certification approuvé ne remplace pas le contrat. 

Source : article 28.3 et 28.5 du RGPD

Afin d’apporter clarté, transparence et harmonisation sur la procédure ainsi que sur le contenu des codes de conduite, la rédaction de lignes directrices par le Groupe de Travail - Article 29 est actuellement en cours.

La Commission vie privée estime utile de d’ores et déjà préciser que les principes généraux suivants sont fondamentaux et doivent impérativement guider l’élaboration de tout code de conduite :

  • être conforme au nouveau règlement et à ses transpositions en droit national, si applicable. Les codes de conduites ne peuvent en aucun cas contenir des dispositions qui font exception au nouveau règlement ;
  • avoir pour objet de spécifier et préciser l’application du nouveau règlement ;
  • apporter une valeur ajoutée par rapport aux dispositions du nouveau règlement permettant de régler les problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles  ;
  • disposer d’un exposé des motifs qui explique la problématique à laquelle le secteur concerné est confronté nécessitant la mise en place d’un code de conduite ainsi que la plus-value de chaque disposition en lien avec le secteur concerné par le code ;
  • avoir un objet clairement défini. Le projet de code doit déterminer avec précision et clarté les traitements (ou caractéristiques de traitements) de données à caractère personnel couverts ainsi que les catégories de responsables de traitements et/ou sous-traitants concernés ;
  • désigner l’organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code dans le but de permettre le contrôle obligatoire du respect de ses dispositions par les responsables de traitement ou les sous-traitants qui s'engagent à l'appliquer.

A partir du 25 mai 2018, les projets de codes de conduite pourront être présentés par des associations représentatives de catégories de responsables de traitements et/ou de sous-traitants pour approbation à l’autorité nationale de contrôle.

Si le code de conduite concerne des activités de traitement menées dans plusieurs États membres, l’approbation finale pourra être accordée par la Commission européenne après avis du comité européen de protection des données, qui vérifiera s’ils présentent des garanties appropriées en vue du respect du nouveau règlement.

Le nouveau règlement sur la protection des données prévoit explicitement un usage plus développé des outils tels que les codes de conduites, permettant ainsi de prendre en compte la spécificité de certains secteurs dans l’application du règlement. Cet outil peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement et/ou aux sous-traitants.

Non. La Commission vie privée, en tant qu'autorité de contrôle, ne peut pas élaborer elle-même des codes de conduite. Elle doit toutefois encourager l'élaboration de ceux-ci par les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants.

La Commission vie privée joue un rôle dans l'approbation de codes de conduite qui lui sont soumis et dans l'accréditation d'un "organisme de contrôle" chargé du contrôle du respect d'un code de conduite.

Les codes de conduite ne constituent qu'un élément dans l'analyse du respect du règlement par l'autorité de contrôle.

Source: Article 40 du RGPD

Les Codes de conduites applicables aux traitements de données à caractère personnel ne sont pour l’instant que peu développés. Cela a pour conséquence que l’expérience à ce niveau en terme de processus est limitée.

Le RGPD prévoit que les associations et autres organismes qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite existant doivent soumettre le projet de code, la modifications ou la prorogation à l'autorité de contrôle compétente. Cette autorité de contrôle devra alors rendre un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement. Si elle estime qu'il offre des garanties appropriées suffisantes, cette autorité de contrôle approuvera le projet de code, la modification ou la prorogation.

Les grandes lignes du processus sont donc déjà présentes dans le RGPD. La Commission vie privée est encore en phase d’analyse interne en ce qui concerne la création d’un processus plus détaillé. La Commission vie privée estime également qu’une approche harmonisée en terme de processus pourrait avoir une valeur ajoutée.

Source : Article 40.5