Article 41 du RGPD

Suivi des codes de conduite approuvés

RGPD » chapitre 4 - responsable du traitement et sous-traitant » section 5 - codes de conduite et certification »  article 41 –

  1. Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l’article 40 peut être effectué par un organisme qui dispose d’un niveau d’expertise approprié au regard de l’objet du code et qui est agréé à cette fin par l’autorité de contrôle compétente.
  2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d’un code de conduite lorsque cet organisme a :
    • a) démontré, à la satisfaction de l’autorité de contrôle compétente, son indépendance et son expertise au regard de l’objet du code;
    • b) établi des procédures qui lui permettent d’apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d’examiner périodiquement son fonctionnement;
    • c) établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public; et
    • d) démontré, à la satisfaction de l’autorité de contrôle compétente, que ses tâches et ses missions n’entraînent pas de conflit d’intérêts.
  3. L’autorité de contrôle compétente soumet le projet d’exigences relatives à l’agrément d’un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l’article 63.
  4. Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l’application du code. Il informe l’autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.
  5. L’autorité de contrôle compétente révoque l’agrément d’un organisme visé au paragraphe 1 si les exigences relatives à l’agrément ne sont pas ou ne sont plus respectées ou si les mesures prises par l’organisme constituent une violation du présent règlement.
  6. Le présent article ne s’applique pas au traitement effectué par les autorités publiques et les organismes publics.

Article 41 du RGPD : Ce qu'il faut comprendre

L’article 41 du RGPD décrit le contrôle des codes de conduite créés en vertu de l’article 40. Il précise qu’un organisme indépendant peut être agréé pour superviser le respect du code par les responsables du traitement et les sous-traitants. L’objectif est de garantir que les pratiques des organisations restent conformes aux exigences du RGPD. Voici les éléments clés :

Agrément des organismes de contrôle

Un organisme spécialisé peut être agréé pour vérifier l’application d’un code de conduite. Pour cela, il doit :

  • Démontrer son indépendance et son expertise par rapport à l’objet du code.
  • Mettre en place des procédures d’évaluation afin de vérifier si les organisations respectent le code et effectuer des contrôles réguliers.
  • Établir des procédures de traitement des réclamations permettant aux personnes concernées de signaler des violations du code et garantir que ces procédures soient transparentes.
  • Montrer qu’il n’existe aucun conflit d’intérêts dans ses missions de supervision.

Approbation de l’agrément

L’autorité de contrôle compétente (comme la CNIL en France) évalue l’organisme qui demande l’agrément. Avant d’approuver cet agrément, l’autorité soumet le projet d’exigences au comité européen de la protection des données (article 63 du RGPD) pour assurer la cohérence à travers l’Union européenne.

Pouvoirs de l’organisme de supervision

L’organisme agréé peut :

  • Prendre des mesures en cas de non-conformité avec le code, par exemple en suspendant ou en excluant une organisation du code.
  • Informer l’autorité de contrôle des mesures prises et des raisons qui les justifient.

Révocation de l’agrément

L’autorité de contrôle peut révoquer l’agrément d’un organisme de supervision si :

  • Les exigences d’agrément ne sont plus respectées.
  • Les actions de l’organisme violent le RGPD.

Limite d’application

L’article ne s’applique pas aux autorités ou organismes publics, qui relèvent directement du contrôle des autorités de protection des données.

Article 41 du RGPD – Exemples concrets

  • Exemple 1 : Code de conduite dans le secteur du commerce électronique
    Une association de e-commerce élabore un code de conduite sur la gestion des données des clients. Un organisme spécialisé, après avoir démontré son indépendance, est agréé pour surveiller l’application de ce code par les entreprises adhérentes. Si une entreprise ne respecte pas les règles du code (comme ne pas informer les utilisateurs de la collecte de leurs données), l’organisme peut l’exclure du code et en informer la CNIL.
  • Exemple 2 : Révocation de l’agrément
    Si un organisme de supervision ne respecte pas son obligation d’impartialité ou qu’il ne procède pas aux vérifications régulières des entreprises, l’autorité de contrôle peut révoquer son agrément.
  • Exemple 3 : Traitement d’une réclamation
    Un client se plaint que ses données ont été traitées de manière abusive par une entreprise adhérente au code. L’organisme de supervision enquête sur la plainte et, s’il confirme la violation, impose une sanction et informe l’autorité de contrôle.

← Article 40 – Codes de conduite
Article 42 – Certification →

Les articles du RGPD mentionnant l'article 41