Code de conduite

Un code de conduite, national ou transnational, est un outil de conformité au RGPD comportant un ensemble de règles contraignantes applicables à un secteur d’activité spécifique destinées à contribuer à la bonne application du RGPD compte tenu de la spécificité et des besoins spécifiques de ce secteur.  Tant les responsables de traitements que les sous-traitants peuvent être membres d’un code de conduite.


L'application d'un code de conduite approuvé peut servir d'élément pour démontrer le respect des obligations RGPD incombant aux responsables du traitement et/ou aux sous-traitants. Attention ! L’adhésion à un code de conduite ne garantit en aucun cas la conformité avec le RGPD, l’appartenance à un code de conduite est seulement un des éléments qui sera pris en compte lors de l’évaluation de la conformité d’un acteur avec le RGPD.

Le Comité Européen de la Protection des Données (« CEPD ») a émis des lignes directrices sur les codes de conduites afin d’apporter clarté sur la procédure à suivre pour faire approuver un code de conduite ainsi que sur les exigences au niveau du contenu des codes de conduite.

Pour être recevable, un code de conduite doit avoir un objet délimité. Il vaut mieux établir un code par thématiques RGPD ou un sujet spécifique au sein de ce secteur. Vous pourriez ainsi par exemple développer un Code de conduite sur les bases juridiques des traitements de données à caractère personnel, sur les manières permettant d’accomplir son devoir d’information, ou encore sur les mesures de sécurité préconisées. Plutôt que de rédiger un code sur l’ensemble des activités de traitements réalisés dans un secteur d’activité, vous pourriez également délimiter ce code aux traitements de données réalisées dans le cadre de la gestion des ressources humaines de ce secteur d’activité. Un objet délimité et spécifique vous permettra de rédiger un code conduite meilleur et plus concret.

Un code bien conçu doit non seulement permettre aux professionnels de ce secteur de comprendre facilement comment s’y conformer, mais également aux personnes concernées d’y retrouver les informations pertinentes pour mieux comprendre le traitement de leurs données dans ce secteur d’activité.

Votre code de conduite peut viser à encadrer les activités menées uniquement dans un Etat-membre (code de conduite national) ou concerner des activités de traitement menées dans plusieurs Etats-membres (code de conduite transnational). Dans ce dernier cas, vous êtes tenus de justifier, conformément à l’article 55 du RGPD, pourquoi vous estimez que l’APD est compétente pour examiner votre projet de code. Si votre code est transnational, une version en anglais de ce dernier doit être jointe à la demande car il sera soumis à nos collègues européens dans le cadre de la demande d’opinion auprès du Comité européen de protection des données.

Pour des codes transnationaux vous devez donc bien décrire le champ d’application territorial et les raisons pour lesquelles vous estimez que l’APD est compétente pour approuver votre code.

Un code de conduite doit avoir une valeur ajoutée pour être recevable. Un code de conduite ne peut consister en une simple répétition des dispositions du RGPD. Pour qu’un code soit approuvé, il est nécessaire que celui-ci aille « plus en détails » que le texte du RGPD.

Il doit préciser certaines de ces dispositions, selon l’objet défini,  afin de les  appliquer  aux particularités d’un secteur.

Par exemple :  un code de conduite qui répète que les données à caractère personnel ne doivent être gardées que pour une durée nécessaire à la réalisation des finalités poursuivies par ses membres n’apporte pas de valeur ajoutée par rapport au RGPD tandis qu’un code de conduite qui indique, par exemple, que les membres du code conservent les données des candidats à l’embauche pendant un an au maximum apporte une vraie plus-value.

Un autre exemple, les codes de conduite sont aussi un moyen très utile de préciser les mesures de sécurité techniques et organisationnelles de l’article 32 du RGPD. Un code de conduite peut ainsi avoir une valeur ajoutée s’il indique que les membres sont tenus de respecter des mesures de sécurité telles que la double identification, une « clean desk » policy, des moyens d’échanges sécurisés, le chiffrement de certains fichiers etc…

Un code de conduite est un instrument contraignant,  contenant des engagements que ses membres doivent respecter. L’organisme de supervision est chargé de vérifier la bonne application et le respect des règles du code par ses membres. En cas de non-respect de ses dispositions, un code de conduite doit prévoir des sanctions prises par l’organisme de supervision.

Par exemple, si le code de conduite prévoit une durée de conservation précise pour un type de données à caractère personnel, et qu’un membre du code conserve ces données pour une durée excédant la durée prévue, l’organisme de supervision doit le sanctionner.

Pour être correctement appliqué et faire l’objet d’un contrôle efficace, les dispositions qu’il contient ne peuvent se limiter à renvoyer au RGPD, être vagues ou incomplètes. En outre, il doit contenir les dispositions permettant à l’organisme de supervision d’exercer son contrôle (procédure à suivre) et appliquer, le cas échéant, des sanctions. Par exemple, certains codes contiennent un « catalogue de mesures de contrôle » qui associe à chaque engagement du code un contrôle effectué par l’organisme de supervision. Ceci est un moyen efficace de donner une véritable force contraignante aux engagements pris dans le code.

Notez également qu’en cas d’infraction l’APD elle-même peut encore toujours sanctionner sur la base des dispositions du RGPD.

Il est donc primordial que les dispositions du code soient claires et précises, notamment sur le caractère contraignant du code. En outre, les formulations utilisées dans le code de conduite doivent être fermes et exhaustives. Par exemple, il faut éviter dans la mesure du possible d'utiliser des formulations conditionnelles, du type "le responsable de traitement pourrait prendre par exemple les mesures de sécurité suivantes.... » ou encore les formulations vagues et non exhaustives telles que: "le responsable peut traiter les coordonnées des clients pour une durée de plus de 10 mois si nécessaire".

Questions

Non.

Un code de conduite est un outil prévu par le RGPD dont le développement est laissé à l’appréciation des secteurs d’activités intéressés. L’absence de code de conduite ne constitue en rien un défaut de respect du RGPD.

De la même manière, vous n’êtes pas obligés de devenir membre, d’un code de conduite existant applicable à votre secteur d’activité.

Non.

Au contraire, le code de conduite doit avoir une valeur ajoutée par rapport aux règles du RGPD. Cette plus-value tient à la précision et/ou adaptation de ces règles aux spécificités des traitements de votre secteur d’activité.

Concernant les sujets abordés par le code, nous vous encourageons à privilégier davantage des questions choisies comme par exemple un code de conduites sur les mesures de sécurité à mettre en place ou encore un code sur la manière de respecter les droits des personnes concernées et répondre à leurs demandes.

Cela dépend.

Un code de conduite est un outil auquel peuvent adhérer tant des organismes agissant comme responsables de traitement que des organismes agissant comme sous-traitants, dans un secteur d’activité donné.

Il peut arriver que certains codes de conduites s’adressent spécifiquement aux responsables de traitement ou aux sous-traitants ou les deux.

Le RGPD ne fixe pas de règles spécifiques  quant  à  la  désignation  de  l’autorité compétente  afin d’approuver votre projet  de  code.  

Pour vous aider  à  choisir  l’autorité la plus  appropriée, il faut prendre en compte les facteurs déterminés par le Comité Européen à la Protection des données (CEPD) qui sont les suivants :

  • l’endroit où la densité de l’activité de traitement ou du secteur est la plus élevée;
  • l’endroit où la densité des personnes concernées touchées par les activités de traitement ou le secteur est la plus élevée;
  • l’endroit où le porteur du code a son siège;
  • l’endroit où l’organisme de supervision proposé a son siège; ou
  • les initiatives élaborées par une autorité de contrôle dans un domaine spécifique.

Le rôle de l’Autorité compétente implique, entre autres, qu’elle agisse comme votre unique  point  de  contact    pendant  le  processus  d’approbation, assurant  la  gestion  de  la  procédure  de  demande  lors  de  la  phase  de  coopération avec les autres autorités concernées,  accordant l’accréditation à l’organisme de supervision et agissant en tant qu’autorité de contrôle afin de s’assurer que le code de conduite est respecté et que l’organisme de supervision remplit ses missions

Oui.

Il peut arriver que l’adhésion aux règles du RGPD par un secteur à ses activités de traitements soit intéressante, même pour des acteurs qui tomberaient en dehors du champ d’application du RGPD, ce dernier étant largement reconnu comme un instrument garantissant une robuste  protection des données à caractère personnel.

Liens intéressants