Que doit contenir un code de conduite ?

07 février 2020

Le contenu d’un code de conduite est encadré par le RGPD et par des lignes directrices adoptées par Comité européen à la protection des données (CEPD) qui fournissent des explications et exemples pratiques.

Les exigences formelles du code de conduite

L’organisation qui décide d’élaborer un code doit impérativement s’assurer que celui-ci répondra bien aux exigences suivantes :

  • le contenu du code de conduite répond aux questions qui se posent pour un secteur en matière de protection des données, il peut être large ou plus ciblé en s’attachant à un type d’opération de traitement particulier ;
  • le format du code doit faciliter sa compréhension, son utilisation pratique et l'application effective du RPGD par les professionnels du secteur qui ne sont pas nécessairement des experts de la protection des données.
  • le code définit des mesures opérationnelles, des solutions concrètes que les adhérents peuvent appliquer pour se mettre en conformité avec le RGPD. Attention : les répétitions ou reformulations du RGPD sont à proscrire.
  • Le code prévoit des garanties permettant de limiter les  risques liés aux traitements de de données personnelles par les professionnels du secteur (bonnes pratiques en matière de mesures de sécurité par exemple) ;
  • le code de conduite établit des mécanismes de contrôle de la bonne application des dispositions du code par les adhérents. Ces mécanismes portent notamment sur la désignation et l’encadrement des missions de l’organisme en charge de ce contrôle.

À noter : lorsque la désignation d’un organisme de contrôle n’est pas obligatoire, le code de conduite doit tout de même prévoir des mécanismes qui permettront de s’assurer de sa bonne application.


Les autres éléments à inclure

Ainsi les éléments suivants doivent également être développés dans le code :

  • le projet doit inclure une introduction dans laquelle seront présentés ses objectifs, son champ d’application et  la manière dont il faciliterait l’application effective des dispositions du RGPD ;
  • La représentativité  du porteur du code doit être démontrée et peut être appréciée en fonction notamment du nombre d’organismes qu’il représente au regard du secteur, du nombre potentiels d’adhérents au code au code, de son expertise dans le secteur d’activité ou sur les types d’opération de traitements concernés ;
  • Le champ d’application matériel (les traitements de données concernés) et territorial (l’État ou les États dans lequel ou lesquels il sera en vigueur) du code doit être défini ;
  • Le caractère national ou européen du code doit être précisé : si le caractère européen est retenu, le code de conduite doit apporter des éléments justifiant cette qualification ainsi que la liste des autorités de contrôle concernées par ce code de conduite. À noter : des explications sur ce point figurent dans l’annexe 1 des lignes directrices relatives au code de conduite approuvées par le CEPD ;
  • L’autorité de contrôle compétente doit être désignée ; le porteur du code doit expliquer pourquoi il a choisi la CNIL comme autorité de contrôle compétente. À noter : l’annexe 2 des lignes directrices relatives au code de conduite approuvées par le CEPD comporte des précisions sur ce point.
  • La gouvernance du code de conduite doit être expliquée. Le porteur du code doit donc indiquer comment va s’organiser  la relation entre les adhérents, le porteur et l’organisme de contrôle et ce  tout au long de la vie du code de conduite. Ainsi la gouvernance peut se traduire par l’indication des modalités d’adhésion au code de conduite, le mécanisme de sortie du code,  le processus de mise à jour des exigences du code,  les critères de sélection de l’organisme de contrôle, etc. ;
  • Un organisme en charge du contrôle régulier de la bonne application du code de conduite par les adhérents doit être désigné;
    • Exception : la désignation d’un organisme de contrôle pour les codes de conduites relatifs à des traitements mis en œuvre par des autorités et des organismes publics n’est pas obligatoire. Pour autant, les lignes directrices recommandent le déploiement de mécanisme de contrôle de la bonne application du code de conduite.
  • Un résumé de la consultation des professionnels du secteur et si possible des personnes concernées doit être fournit. Cette consultation peut prendre la forme d’une campagne d’information électronique, d’un questionnaire ou sondage en ligne ou  encore d’un vote en assemblée générale ;
  • Le respect du droit national, notamment lorsque des dispositions spécifiques sont applicables, doit être assuré par le code de conduite.
  • La langue du code de conduite, doit être celle de l’autorité de contrôle compétente, ainsi tout document soumis à la CNIL doit être en français, mais il est admis qu’une version anglaise soit également fournie pour les projets européens.