Codes de conduite : les 8 bonnes pratiques de la CNIL

19 septembre 2023

Le code de conduite est un outil pratique et opérationnel à destination des professionnels d’un secteur. Les conseils suivants s’adressent aux organismes qui envisagent d’en élaborer un ou qui souhaitent améliorer un guide existant.

Vérifiez la représentativité du porteur

Le principe

Le code de conduite est porté par une entité représentative d’un secteur : c’est le porteur du code. Il joue un rôle de chef d’orchestre pendant la rédaction du projet de code, mais également après son approbation. Il peut être une association professionnelle ou une fédération.

Les bonnes pratiques de la CNIL

Il est conseillé de s’assurer que le porteur du code peut :

  • démontrer sa représentativité (ex. : pourcentage d’entreprises du secteur qui sont membres de la fédération) ;
  • mobiliser les différents acteurs autour du projet, sur une longue période ;
  • comprendre les besoins du secteur en termes de protection des données personnelles.

Évaluer les connaissances des futurs adhérents en matière de protection des données

Le principe

Pour adhérer à un code, le candidat devra démontrer sa conformité au RGPD et aux obligations déclinées dans le code. Il est donc conseillé en amont de faire un sondage pour évaluer la maturité des organismes sur le sujet de la protection des données personnelles (RGPD et loi Informatique et libertés, en particulier en matière de sécurité).

Les bonnes pratiques de la CNIL

Il convient ainsi de se poser les questions suivantes :

  • les futurs adhérents sont-ils déjà individuellement impliqués dans leur mise en conformité ? (ex : mise en place de procédures de gestion des plaintes, publication de mentions d’information, désignation d’un délégué à la protection des données, sensibilisation et formation des équipes ?)
  • ces futurs adhérents pourront-ils mettre en œuvre, dans la pratique, les recommandations opérationnelles et les exigences du code ?

Si ce n’est pas encore le cas, c’est-à-dire s’il y a un écart trop important entre les exigences qui seraient couvertes par le code et la pratique actuelle de certains organismes, il est recommandé de commencer par une mise à niveau de ces acteurs. Elle pourra, par exemple :

  • prendre la forme d’un guide sectoriel, qui constituera un premier palier ;
  • se faire en deux temps : un candidat postule et peut opter pour une période de 12 mois avant d’être audité et d’obtenir la validation de son adhésion.
À savoir

Les professionnels sont invités à remonter leurs problématiques « informatique et libertés » vers leurs têtes de réseau afin d'établir un dialogue avec chaque secteur concerné et, ainsi, démultiplier les échanges et les réponses apportées. La CNIL met également à disposition différents outils (référentiels, recommandations, guides pratiques, modèles, fiches pratiques sur son site web, etc.).

Pour en savoir plus, vous pouvez consulter la charte d’accompagnement de la CNIL.

Établir un plan

Le principe

Les thèmes évoqués dans le code doivent correspondre aux pratiques des futurs adhérents et à leurs obligations en matière de protection des données. Il faut se concentrer sur les besoins et les attentes du secteur. Il n’est donc pas nécessaire de reprendre tous les thèmes du RGPD, ni d’inclure des domaines sur lesquels la doctrine et la jurisprudence ne sont pas encore fixées. En effet, un code doit traiter en priorité des sujets sur lesquels il y a une doctrine et des pratiques établies. Choisir des sujets totalement nouveaux peut avoir pour effet de prolonger d'autant la durée d'instruction d'un code.

Les bonnes pratiques de la CNIL

Vérifier la liste des sujets qui peuvent être traités par un code de conduite (voir l’article 40.2 du RGPD). Cette liste est indicative. Il est également recommandé :

  • d’organiser des consultations avec les professionnels du secteur concerné avant de démarrer la rédaction du code ;
  • d'identifier les thématiques principales du secteur ;
  • de se rapprocher de la CNIL, ou de consulter régulièrement ses communications, pour savoir quels sont les principaux manquements constatés pour ce secteur ;
  • de définir clairement les activités de traitement et les thématiques que les futurs adhérents souhaitent couvrir dans le code et faire un premier plan avec les besoins prioritaires ;
  • de rester sur des bases solides sans trop anticiper. Il peut être tentant de vouloir inclure des technologies innovantes ou d’anticiper des développements juridiques et techniques à venir pour « prendre de l’avance ». Il sera toujours possible de modifier le code par la suite en faisant une deuxième version lorsque la doctrine sera finalisée ;
  • de prendre attache avec un conseil (par exemple DPO, consultant en données personnelles, avocat) pour évoquer le projet et évaluer l’opportunité d’un accompagnement à la rédaction et la mise en œuvre du code ;
  • de présenter le projet à la CNIL avant sa finalisation.

 

Les bonnes questions à se poser :
  • l’adhésion au code concerne-t-elle des organismes (ex : l’adhérent est responsable du traitement) ou des services (ex : l’adhérent est sous-traitant, il peut y avoir plusieurs adhésions par un même organisme pour plusieurs services) ?
  • quels sont les traitements de données qui seront couverts par le code ? Quelles sont les problématiques principales et récurrentes rencontrées ? Quelles sont les personnes concernées ? Les futurs adhérents interviennent-ils en tant que responsable du traitement ou sous-traitants pour ces traitements ?
  • le rédacteur a-t-il la capacité de traduire/décliner les exigences du RGPD en recommandations opérationnelles ?

Ne pas minimiser les potentiels coûts pour les professionnels du secteur

Le principe

Un code de conduite est un outil contraignant pour ses adhérents. L’adhésion à un code doit être validée par un organisme de contrôle agréé par la CNIL. De plus, l’organisme de contrôle vérifiera régulièrement (tous les 1, 2 ou 3 ans) que l’organisme adhérent applique toujours les dispositions du code. Sauf cas particuliers, ces audits sont payants.   

Les bonnes pratiques de la CNIL

Échanger avec les professionnels du secteur avant le démarrage du projet, pour vérifier que les adhérents sont en capacité de régler les frais d’audits de conformité. Si cela paraît trop contraignant à ce stade, il est possible de prévoir 2 niveaux d'accès à la conformité.

Exemple 1 : une fédération élabore d’une part un guide sectoriel pour ses membres qui partent de zéro et d’autre part un code de conduite pour ceux qui sont prêts. Le code de conduite reprend le même contenu que le guide sectoriel, mais s’accompagne d’un mécanisme de gouvernance et d’une grille d’évaluation contraignante. Par ailleurs, la fédération offre plusieurs options. Les structures ayant déjà un bon niveau de maturité peuvent choisir d'adhérer directement au code. Les autres peuvent utiliser le guide pour une première mise à niveau et quand l'organisme se sent prêt, passer à une adhésion formelle au code.

Exemple 2 : une fédération met en place un code de conduite avec un organisme de contrôle interne. Ce porteur décide de prévoir un tarif progressif d’adhésion au code en fonction de la taille des organismes candidats. Il peut même décider d’offrir l’audit initial nécessaire à l’adhésion pour les très petites structures, par exemple.

Rédiger en pensant aux lecteurs

Le principe

Le code établit un ensemble de règles contribuant à la bonne application du RGPD. Son contenu doit être compréhensible par ses lecteurs, c’est à dire concret avec des indications réalisables et auditables. C’est l’occasion pour le groupe de travail dédié de recenser et partager les bonnes pratiques mises en œuvre dans leurs organismes respectifs. Plus le contenu du code se rapprochera de la pratique existante plus sa mise en œuvre opérationnelle sera facilitée. 

Les bonnes pratiques de la CNIL

Il est conseillé :

  • de faire un inventaire de la documentation existante sur ces sujets pour éviter de « partir de zéro » ;
  • d’opter pour des phrases courtes et compréhensibles en évitant une rédaction trop juridique ;
  • de mettre en commun les solutions opérationnelles trouvées par les acteurs du secteur et si possible partager des modèles de documents (ex : modèles de clauses, mentions d’information, modèles de registre de traitement) ;
  • d’identifier précisément les destinataires en charge de la mise en œuvre du code (juristes ? DPO ? services marketing ou professionnels de la publicité ? Opérationnels moins familiers des termes du RGPD ?) et d’adapter la rédaction en fonction.

Exemple : un code à l'attention d'adhérents qui sont plutôt des petites structures traite notamment de l'installation de caméras de vidéosurveillance à l'accueil. C'est un sujet connu sur lequel il est aisé de trouver de la documentation, par exemple sur le site de la CNIL.

La fiche du code correspondante contiendra des explications claires sur les endroits où installer ces caméras, leur orientation, des modèles de panneaux d’information à afficher, les durées de conservation des images et les personnes habilitées à consulter les images. En annexe figureront les explications juridiques. Un lecteur du code dont le profil n’est ni juridique ni technique trouvera ainsi des solutions concrètes qui lui permettront d'avoir une installation conforme à la règlementation. S’il souhaite approfondir le sujet, il pourra se reporter facilement à l'annexe correspondante, qui contiendra plus d'explications juridiques.

Prévoir un mécanisme de gouvernance

Le principe

Un code s’accompagne de mécanismes adaptés. Un code doit en particulier déterminer et proposer des structures et des procédures prévoyant un contrôle efficace et l’application de sanctions.

Les bonnes pratiques de la CNIL

Il est conseillé de :

  • bien anticiper ces mécanismes en amont en échangeant avec les professionnels du secteur, c’est-à-dire le secteur des professionnels du code mais également les potentiels organismes de contrôle ;
  • réfléchir aux modalités d’adhésion au code (un ou plusieurs types d’adhésion, modalités de candidature, registre public, etc) ;
  • s’interroger : est-il plus opportun d’avoir recours à un organisme de contrôle interne ou externe ? Dans le cas d’un organisme interne, il est essentiel de réfléchir à l’organisation du schéma de gouvernance (ex : qui peut être membre de l’assemblée générale ? Y aura-t-il un comité exécutif et quelles seront ses fonctions ? Les auditeurs seront-ils salariés permanents ou au contraire contractuels ?)
  • prévoir des procédures spécifiques pour garantir l’indépendance de cet organisme de contrôle interne et prévenir tout risque de conflit d’intérêt. Pour vous aider à identifier ses problématiques, vous pouvez consulter le référentiel d’agrément des organismes chargés de contrôler le respect des codes de conduite adopté par la CNIL le 30 avril 2020.
Rappel

Les différents acteurs potentiels de la gouvernance du code sont :

  • le porteur du code ;
  • un groupe de travail interne au porteur ;
  • l’organisme de contrôle du code (interne ou externe) ;
  • l’autorité de contrôle compétente (la CNIL en France) ;
  • une assemblée générale ;
  • les organismes adhérents.

Encadrer l’activité de l’organisme de contrôle

Le principe

La grille d’évaluation contenant les éléments à communiquer à l’organisme de contrôle dans la demande d’adhésion doit être rédigée avant l’approbation du code. En effet, ces critères et documents font partie des éléments évalués par les autorités de contrôle dans le cadre de l’approbation des codes de conduite. Ces éléments constituent une grille d’évaluation pour le futur organisme de contrôle, qui se réfère à la liste d’exigences pour valider l’adhésion du candidat.

Les bonnes pratiques de la CNIL

Il est conseillé de :

  • lister les éléments qui doivent être vérifiés par l’organisme de contrôle avec en particulier une différence entre d’un côté, les éléments pratiques et les conseils, de l’autre, les exigences qui sont vérifiées ;
  • toujours demander pour chaque élément quels seront concrètement les documents que l’organisme de contrôle devra recueillir ou consulter ;
  • rédiger les documents en même temps que les autres éléments du code, au fil de l’eau. On peut utiliser une grille qui sera appliquée par l’organisme de contrôle. Attention : s’il y a plusieurs organismes de contrôle, cette grille sera la même pour tous.

Inclure la procédure d’approbation dans le calendrier

Le principe

L’approbation du code nécessite des phases d’échanges avec l’autorité de contrôle compétente (la CNIL en France). Pour les codes européens, cette autorité centralise également les échanges avec les autres autorités européennes.

Les bonnes pratiques de la CNIL

Il convient :

  • d’anticiper la durée de la procédure d’approbation du code ;
  • de ne pas sous estimer la charge de travail nécessaire aux différentes phases de revue et de modification du code de la part du porteur sur une période longue.