Codes de conduite sous le nouveau règlement

Le nouveau règlement sur la protection des données encourage explicitement les fédérations et les organisations sectorielles à développer des outils tels que les codes de conduites, permettant ainsi de prendre en compte la spécificité de certains secteurs dans l’application du nouveau règlement. Cet outil peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement et/ou aux sous-traitants.

A partir du 25 mai 2018, les projets de codes de conduite pourront être présentés par des fédérations et des organisations sectortielles à l’autorité nationale de contrôle.

Si le code de conduite concerne des activités de traitement menées dans plusieurs Etats membres, l’approbation finale pourra être accordée par la Commission européenne après avis du comité européen de protection des données, qui vérifiera s’ils présentent des garanties appropriées en vue du respect du nouveau règlement.

Afin d’apporter clarté, transparence et harmonisation sur la procédure ainsi que sur le contenu des codes de conduite, la rédaction de lignes directrices par le Groupe de Travail - Article 29 est actuellement en cours.

La Commission vie privée estime utile de d’ores et déjà préciser que les principes généraux suivants sont fondamentaux et doivent impérativement guider l’élaboration de tout code de conduite :

  • être conforme au nouveau règlement et à ses transpositions en droit national, si applicable. Les codes de conduites ne peuvent en aucun cas contenir des dispositions qui font exception au nouveau règlement ;
  • avoir pour objet de spécifier et préciser l’application du nouveau règlement ;
  • apporter une valeur ajoutée par rapport aux dispositions du nouveau règlement permettant de régler les problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles  ;
  • disposer d’un exposé des motifs qui explique la problématique à laquelle le secteur concerné est confronté nécessitant la mise en place d’un code de conduite ainsi que la plus-value de chaque disposition en lien avec le secteur concerné par le code ;
  • avoir un objet clairement défini. Le projet de code doit déterminer avec précision et clarté les traitements (ou caractéristiques de traitements) de données à caractère personnel couverts ainsi que les catégories de responsables de traitements et/ou sous-traitants concernés ;
  • désigner l’organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code dans le but de permettre le contrôle obligatoire du respect de ses dispositions par les responsables de traitement ou les sous-traitants qui s'engagent à l'appliquer.