L’organisme de contrôle désigné par le code de conduite

Lors de l’élaboration d’un code de conduite, le porteur du code doit organiser le suivi du code après son approbation. Le RGPD précise que cette activité peut être confiée à un organisme dédié dont la mission n’interfère pas avec celle des autorités de contrôle. Il est possible de recourir à un comité interne au porteur du code ou à un ou plusieurs organismes tiers.

Les lignes directrices relatives aux codes de conduite adoptées par Comité européen à la protection des données (CEPD) fournissent également explications et exemples pratiques quant aux conditions de désignation de cet organisme.

Le code de conduite doit nécessairement décrire les mécanismes permettant à l’organisme de contrôle de mener à bien ses missions. L’organisme tiers va se baser sur de ces mécanismes pour créer les procédures qu’il mettra en œuvre aux fins :

• d’effectuer les audits préalables à l’adhésion au code de conduite ou encore des audits réguliers après adhésion au code de conduite et ce pour veiller à la bonne application du code par les adhérents ;
• de traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant ;
• de prendre des mesures appropriées en cas de violation du code telles que la suspension ou l’exclusion de l’adhérent au code ;
• de participer à la mise à jour du code de conduite.

Vous pouvez  déposer un dossier de demande d’agrément si les trois critères suivants sont remplis :

1. Le code de conduite vous identifie comme organisme de contrôle
2. Vous remplissez les exigences définies par le référentiel d’agrément de la CNIL
3. Le code de conduite de référence est dans sa phase finale d’approbation par la CNIL ou, pour les codes européens, a fait l’objet d’un avis favorable du Comité européen à la protection des données

L’article 41 du RGPD prévoit que les organismes chargés du contrôle du respect d’un code de conduite doivent être agréés à cette fin par l’autorité de contrôle compétente.

La CNIL, conformément à l’article 57.1.p) du RGPD a élaboré un projet de référentiel d’agrément qui a fait l’objet d’une consultation publique avant d’être soumis à l’avis du Comité européen de la protection des données (CEPD). Sur la base de cet avis, la CNIL a adopté son référentiel relatif à l’agrément des organismes chargés de contrôler le respect des codes de conduite.

Avant de soumettre une demande d’agrément à la CNIL, un demandeur doit donc s’assurer de sa capacité à répondre aux exigences listées dans le référentiel d’agrément, adopté le 24 juillet 2020. Le demandeur peut notamment s’appuyer sur un tableau qui propose des exemples de documents pouvant être produits pour démontrer sa conformité.

Ce référentiel comporte deux grandes catégories d’exigences : les exigences générales et les exigences particulières.

L’organisme de contrôle doit démontrer la bonne gestion de son activité, en établissant :

• que tous les traitements qu’il effectue dans le cadre de ses missions sont conformes au RGPD ;
• qu’il dispose de ressources humaines, financières et matérielles proportionnées au périmètre du code de conduite ;
• qu’il exécute les missions prévues par le code de conduite ;
• qu’il conserve les documents liés à l'exercice de ses missions de manière à préserver leur confidentialité ou les détruit définitivement et en toute sécurité s'ils s’avèrent inutiles ;
• qu’il respecte les mesures de sécurité mises en place par les adhérents au code, dans le cadre de l'exercice de ses missions.

L’organisme de contrôle doit démontrer qu’il apporte des garanties suffisantes relatives :

• à son indépendance :

Cette indépendance doit être fonctionnelle, matérielle et décisionnelle. Elle peut se démontrer par la mise en place de règles et de procédures formelles encadrant la désignation, le mandat et le fonctionnement de l’organisme de contrôle. Le demandeur peut fournir des documents ou des procédures établissant clairement le partage des rôles du personnel, le fonctionnement du processus décisionnel et des procédures de compte rendu.

• à l’absence de conflit d’intérêts :

Il  est nécessaire de prévoir des procédures internes qui permettront de prévenir et d’empêcher les conflits d’intérêts. L’organisme doit rester à l’abri de toute influence extérieure et s’abstenir de toute action incompatible avec ses missions et fonctions.

• au niveau d’expertise adéquat de ses membres :

Le personnel, tant opérationnel que décisionnel, doit disposer des compétences et expériences prévues par le code de conduite et par le référentiel d’agrément. Chaque demande d'agrément sera évaluée en tenant compte des exigences d'expertise spécifiques définies par le code concerné.

• aux procédures de contrôle régulières, complètes et transparentes :

La procédure de contrôle utilisée par l'organisme de contrôle doit être régulière, complète et transparente pour l’adhérent au code de conduite. Elle peut prévoir des audits inopinés, des inspections annuelles, des rapports réguliers et l'utilisation de questionnaires mais elle doit se fonder sur des critères objectifs et correspondre au cadre établi par le code de conduite.

• à la procédure transparente de traitement des plaintes :

L'organisme de contrôle doit mettre en place des procédures permettant un traitement impartial et objectif des plaintes concernant les violations du code ou la manière dont le code est appliqué par un adhérent. Une telle procédure doit être transparente et compréhensible.

Le traitement des plaintes doit faire l’objet d’une affectation de ressources suffisantes et le personnel impliqué doit faire preuve de suffisamment de connaissances et d'impartialité.

• à la procédure de communication et d’information de la CNIL :

Elle permet d’informer la CNIL des décisions prises par l’organisme de contrôle, notamment en fonction de la gravité de ces décisions et ce, dans un délai raisonnable.

• à la procédure relative aux mécanismes de révision du code de conduite :

 L’organisme de contrôle est associé à la révision du code lorsque celle-ci est décidée par le porteur. Il doit alors mettre en œuvre des procédures d’intégration des modifications décidées par le porteur du code.

• à son statut et sa responsabilité, notamment dans le cadre de la sous-traitance de ses missions :

L’organisme est responsable de ses actes devant l’autorité de contrôle, y compris en cas de sous-traitance.

Il devra justifier des ressources adéquates et nécessaires à l’exercice continu de ses missions.

• à la procédure d’adoption de sanctions et de mesures correctrices :

Un code de conduite doit intégrer la matrice de mesures correctrices pouvant être appliquées par l'organisme de contrôle. L’organisme de contrôle doit faire la démonstration d’une mise en place de  procédures lui permettant de prendre les décisions et sanctions prévues par le code de conduite.

A cette fin, un modèle de lettre de mise en demeure ou de rappel à l’ordre, ainsi qu’un document, établissant une procédure de gestion des litiges peuvent notamment être présentés.

La durée de validité d’un agrément est de cinq ans.

Les organismes doivent d’abord se rapprocher du porteur du code pour manifester leur intérêt à être identifiés comme organisme de contrôle. Ensuite, il est nécessaire d’attendre que le code de conduite de référence soit dans sa phase finale d’approbation pour déposer un dossier de demande d’agrément auprès de la CNIL. En effet, les procédures que l’organisme de contrôle devra mettre en place seront fonction des mécanismes prévus par le code.

Pour les codes européens, le dossier de demande d’agrément peut être déposé après avis favorable du CEPD sur le code de conduite de référence.

Une fois la demande d’agrément soumise, la complétude du dossier est examinée par les services de la CNIL dans un délai de dix jours.

Si le dossier n’est pas complet, une demande de complément est envoyée par la CNIL. En l’absence de réponse du demandeur dans les délais impartis, le dossier est clos en l’état.

Si le dossier est complet, un accusé de réception est envoyé par la CNIL sous dix jours. Après instruction du dossier, et sous réserve de conformité aux exigences du référentiel, la CNIL se prononce en séance plénière sur l’adoption de la délibération portant délivrance de l’agrément.  Cette décision fait l’objet d’une notification au demandeur. 

La CNIL publiera sur son site web la liste des organismes agréés.

La demande de renouvellement de l’agrément est soumise par voie électronique, au plus tard six mois avant sa date d’échéance (si votre agrément expire le 31 juillet 2020, votre demande de renouvellement doit être envoyée à la CNIL avant le 31 janvier 2020). Dans le cadre de l’instruction de la demande de renouvellement par les services de la Commission, il peut être demandé communication de tout document.

Dans le cas d’une modification substantielle concernant l’organisme de contrôle préalablement agréé, il est nécessaire d’en informer la CNIL sans délai. Tout changement substantiel peut entrainer un réexamen de la demande d’agrément. Une modification substantielle pourrait résulter, par exemple, d’une prise de participation qui remettrait en cause l’indépendance de l’organisme, d’une réorganisation qui entraînerait une installation hors de l’Union européenne ou encore d’une altération de ses ressources financières qui ne lui permettrait plus  d’assurer la continuité de ses activités de contrôle.

Si un organisme de contrôle ne remplit plus les exigences relatives à l’agrément ou si les mesures prises par l’organisme constituent une violation du RGPD, la formation restreinte de la CNIL peut prononcer la suspension ou le retrait de l’agrément.

Le non-respect des obligations qui incombent à un organisme de contrôle peut, en outre, l’exposer à une amende administrative pouvant s’élever à 10 000 000 d’euros ou jusqu’à 2 % de son chiffre d’affaires annuel mondial.