Article 40 du RGPD

Codes de conduite

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 5 - codes de conduite et certification »  article 40

  1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.
  2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d’application du présent règlement, telles que :
    • a) le traitement loyal et transparent;
    • b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques;
    • c) la collecte des données à caractère personnel;
    • d) la pseudonymisation des données à caractère personnel;
    • e) les informations communiquées au public et aux personnes concernées;
    • f) l’exercice des droits des personnes concernées;
    • g) les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d’obtenir le consentement des titulaires de la responsabilité parentale à l’égard de l’enfant;
    • h) les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l’article 32;
    • i) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées;
    • j) le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou
    • k) les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.
  3. Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d’application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l’article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l’article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l’engagement contraignant et doté de force obligatoire au moyen d’instruments contractuels ou d’autres instruments juridiquement contraignants, d’appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
  4. Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l’organisme visé à l’article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s’engagent à l’appliquer, sans préjudice des missions et des pouvoirs de l’autorité de contrôle qui est compétente en vertu de l’article 55 ou 56.
  5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l’intention d’élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l’autorité de contrôle qui est compétente en vertu de l’article 55. L’autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu’il offre des garanties appropriées suffisantes.
  6. Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle enregistre et publie le code de conduite.
  7. Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l’autorité de contrôle qui est compétente en vertu de l’article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l’article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3 du présent article, s’il offre des garanties appropriées.
  8. Lorsque l’avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.
  9. La Commission peut décider, par voie d’actes d’exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 du présent article sont d’application générale au sein de l’Union. Ces actes d’exécution sont adoptés en conformité avec la procédure d’examen visée à l’article 93, paragraphe 2.
  10. La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu’ils sont d’application générale conformément au paragraphe 9.
  11. Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.

Article 40 du RGPD : Ce qu'il faut comprendre

L’article 40 du RGPD encourage les codes de conduite pour aider à l’application correcte du règlement en tenant compte des spécificités des secteurs et des besoins particuliers, notamment pour les micro, petites et moyennes entreprises. Ces codes servent de guide aux organisations pour garantir la conformité avec les règles de protection des données.

Élaboration des codes de conduite

Les associations ou autres organismes représentant des responsables du traitement ou des sous-traitants peuvent élaborer, modifier ou prolonger ces codes de conduite. Ils précisent comment appliquer le RGPD, en abordant des thèmes tels que :

  • Traitement loyal et transparent des données.
  • Collecte de données à caractère personnel.
  • Pseudonymisation des données (technique pour anonymiser partiellement les informations).
  • Information des personnes concernées, y compris des enfants.
  • Exercice des droits des personnes concernées (droit d’accès, de rectification, etc.).
  • Sécurité des données, notamment via des mesures techniques et organisationnelles.
  • Notification des violations de données aux autorités de contrôle et aux personnes concernées.
  • Transfert de données vers des pays tiers ou des organisations internationales.
  • Procédures de règlement des litiges entre les responsables du traitement et les personnes concernées.

Application des codes de conduite

Les codes de conduite approuvés peuvent être appliqués non seulement par les organisations soumises au RGPD, mais aussi par des responsables du traitement situés en dehors de l’UE, pour garantir des transferts de données sécurisés vers des pays tiers. Ces responsables doivent s’engager de manière contraignante à respecter ces garanties.

Processus d’approbation

Les codes de conduite sont soumis à l’autorité de contrôle compétente (comme la CNIL en France) pour approbation. Si l’autorité considère que le code offre des garanties appropriées, elle l’approuve, l’enregistre et le publie. Si le code concerne des traitements effectués dans plusieurs États membres, il doit être soumis à un comité (comme le Comité européen de la protection des données) avant approbation finale par la Commission européenne.

Publicité et transparence

Les codes de conduite approuvés sont rendus publics par la Commission européenne et consignés dans un registre accessible au public. Cela permet aux organisations de s’y référer et d’appliquer les bonnes pratiques en matière de protection des données.

Article 40 du RGPD – Exemples concrets

  • Exemple 1 : Secteur bancaire
    Une association bancaire élabore un code de conduite spécifique pour assurer le traitement sécurisé des données personnelles des clients, en tenant compte des obligations de confidentialité et des spécificités du secteur financier.
  • Exemple 2 : Entreprises de santé
    Un groupe d’entreprises pharmaceutiques crée un code de conduite pour guider les pratiques de traitement des données de santé, en respectant les règles spécifiques concernant les données sensibles.
  • Exemple 3 : Procédures de litiges
    Un organisme de médiation propose des procédures extrajudiciaires pour traiter les litiges entre les consommateurs et les entreprises sur la protection des données, en complément du recours auprès des autorités de contrôle.

← Article 39 – Missions du délégué à la protection des données
Article 41 – Suivi des codes de conduite approuvés →

Les articles du RGPD mentionnant l'article 40