arrow_back Retour à tous les articles

Article 40
Codes de conduite

Textes officiels D'où vient-on ? Où va-t-on ? Difficultés probables
Afficher les considérants du Règlement liés à l'article 40 keyboard_arrow_down Cacher les considérants du Règlement liés à l'article 40 keyboard_arrow_up

(77) Des directives relatives à la mise en oeuvre de mesures appropriées et à la démonstration par le responsable du traitement ou le sous-traitant du respect du présent règlement, notamment en ce qui concerne l'identification du risque lié au traitement, leur évaluation en termes d'origine, de nature, de probabilité et de gravité, et l'identification des meilleures pratiques visant à atténuer le risque, pourraient être fournies notamment au moyen de codes de conduite approuvés, de certifications approuvées et de lignes directrices données par le comité ou d’indications données par un délégué à la protection des données. Le comité peut également publier des lignes directrices relatives aux opérations de traitement considérées comme étant peu susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques et indiquer les mesures qui peuvent suffire dans de tels cas pour faire face à un tel risque.

(98) Il y a lieu d'encourager les associations ou autres organismes représentant des catégories de responsables du traitement ou de sous-traitants à élaborer des codes de conduite, dans les limites du présent règlement, de manière à en faciliter la bonne application, compte tenu des spécificités des traitements effectués dans certains secteurs et des besoins spécifiques des micro, petites et moyennes entreprises. Ces codes de conduite pourraient, en particulier, définir les obligations qui incombent aux responsables du traitement et aux sous-traitants, compte tenu du risque que le traitement peut engendrer pour les droits et libertés des personnes physiques.

(99) Lors de l'élaboration d'un code de conduite, ou lors de sa modification ou prorogation, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants devraient consulter les parties intéressées, y compris les personnes concernées lorsque cela est possible, et tenir compte des contributions transmises et des opinions exprimées à la suite de ces consultations.

(158) Lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s'appliquer à ce traitement, étant entendu qu'il ne devrait pas s'appliquer aux des personnes décédées. Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l'intérêt public devraient être des services qui, en vertu du droit de l'Union ou du droit d'un État membre, ont l'obligation légale de collecter, de conserver, d'évaluer, d'organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l'intérêt public général et d'y donner accès. Les États membres devraient également être autorisés à prévoir un traitement ultérieur des données à caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux génocides, aux crimes contre l'humanité, notamment l'Holocauste, ou aux crimes de guerre.

(167) Afin d'assurer des conditions uniformes d'exécution du présent règlement, il convient de conférer des compétences d'exécution à la Commission lorsque le présent règlement le prévoit. Ces compétences devraient être exercées en conformité avec le règlement (UE) n° 182/2011. Dans ce cadre, la Commission devrait envisager des mesures spécifiques pour les micro, petites et moyennes entreprises.

Il n'y pas de considérant de la Directive 95/46 lié à l'article 40.

Guidelines

Ici viendront les guidelines

D'où vient-on ?

L’article 27 de la Directive encourageait l’élaboration de codes de conduite sectoriels en vue de contribuer à la bonne application des dispositions nationales prises par les États membres. Ces derniers devaient prévoir une possibilité pour les associations représentantes de catégories de responsables du traitement de soumettre ceux-ci à l’examen des autorités nationales. Par ailleurs, la même possibilité était prévue concernant des projets de codes communautaires à soumettre cette fois au groupe « 29 » qui pouvait, alors assurer une publicité aux codes approuvés.

Belgique

Ni la législation belge, ni la législation française ne prévoyaient de dispositions spécifiques à ce propos.

Où va-t-on ?

L’article 40 réitère la volonté européenne d’encourager la confection de codes destinés à contribuer à la bonne application du Règlement. Ces codes devraient être élaborés en fonction de la spécificité des différents secteurs de traitement de données et des besoins spécifiques des micros, petites et moyennes entreprises (§ 1).

Ces codes pourront être élaborés, modifiés ou prorogés par des organismes représentant des catégories de responsables ou de sous-traitants. Ils auront pour objet de préciser les modalités d’application des dispositions du Règlement (§ 2), notamment :

-le principe de loyauté et de transparence des données (a) ;

-les intérêts légitimes défendus par les responsables dans des contextes spécifiques (b) ;

-la collecte des données (c) ;

-la pseudonymisation des données (d) ;

-l’information du public et des personnes concernées (e)

-l’exercice des droits des personnes concernées (f)  Etc.

Comme il découle du considérant 98, ces codes pourraient en particulier préciser les devoirs qui incombent aux responsables du traitement et aux sous-traitants en vue de gérer le risque auquel le traitement peut exposer les droits et libertés des personnes physiques.

Ces codes seront soumis à l'autorité de contrôle qui est compétente au titre de l'article 55. L'autorité de contrôle rend alors un avis sur la conformité au Règlement, selon le cas, du projet de code de conduite, de la modification ou de la prorogation du code existant, et les approuve si elle estime qu'il fournit des garanties appropriées suffisantes (§5).

Ensuite, l’autorité de contrôle nationale enregistre le code et en publie les références, s’il ne concerne pas des traitements mis en œuvre dans plusieurs États membres (§ 6).

A défaut, elle les soumet, avant approbation, au comité européen de la protection des données qui donne un avis sur leur conformité au Règlement, voire sur l’existence de garanties appropriées dans le cas particulier des codes visés au § 3 (§ 7). Si l’avis est positif, le comité européen soumet son avis à la Commission (§ 8). Cette dernière peut alors adopter des actes d'exécution afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes qui ont été approuvées sont d'application générale sur le territoire de l'Union. Dans ce dernier cas, elle en assure alors une publicité appropriée (§ 9 et 10).

Le comité européen de la protection des données recueille quant à lui tous les codes de conduite approuvés ainsi que les modifications qui y ont été apportées dans un registre et les met à la disposition du public par tout moyen approprié (§ 11).

L’article 40 prévoit aussi en son § 3 que de Codes de conduite approuvés par l’autorité de contrôle nationale et ayant une application générale sur le territoire de l’Union pourraient être appliqués à des responsables du traitement ou des sous-traitants qui ne sont pas soumis au Règlement conformément à l'article 3, afin de fournir les garanties appropriées dans le cadre des transferts de données à caractère personnel à un pays tiers ou à une organisation internationale qui doit offrir de telles garanties appropriées et qui n’a pas été considéré comme assurant un niveau de protection adéquat (art. 46, § 2, e). Ces responsables du traitement ou sous-traitants prennent alors l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'une autre manière, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

L’article 41 prévoit quant à lui une procédure spécifique de suivi de ces codes. Ces codes doivent d’ailleurs contenir les mécanismes permettant à l’organisme chargé du suivi de procéder au contrôle obligatoire du respect du code par les sous-traitants et/ou responsables.

Difficultés probables

Le nouveau régime des codes de conduite peut apporter beaucoup afin de préciser l’application des dispositions du Règlement à des secteurs particuliers et aux entreprises qu’ils recouvrent. Leur caractère obligatoire potentiel dans toute l’Union pourrait aussi favoriser une meilleure harmonisation de la Règlementation, ce qui est assurément positif.

Le problème proviendra du fait que l’initiative reviendra aux organismes représentatifs eux-mêmes, qui seront souvent les seuls à avoir les moyens d’élaboration de tels outils (sauf certains grands groupes d’entreprises ou certaines institutions publiques). L’enjeu de l’implémentation sera alors de prévoir une politique efficace d’encouragement et d’information de ces organisations afin de les convaincre des bénéfices potentiels pour leurs membres.

Remarquons que la procédure d’adoption est particulièrement lourde et dépendra largement de l’efficacité et la rapidité du comité européen et des autorités nationales de contrôle.

Règlement
1e 2e

Art. 40

1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.

2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d'application du présent règlement, telles que:

a) le traitement loyal et transparent;

b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques;

c) la collecte des données à caractère personnel;

d) la pseudonymisation des données à caractère personnel;

e) les informations communiquées au public et aux personnes concernées;

f) l'exercice des droits des personnes concernées;

g) les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d'obtenir le consentement des titulaires de la responsabilité parentale à l'égard de l'enfant;

h) les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l'article 32;

i) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées;

j) le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou

k) les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.

3. Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d'application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l'article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et doté de force obligatoire au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

4. Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l'organisme visé à l'article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer, sans préjudice des missions et des pouvoirs de l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.

5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l'autorité de contrôle qui est compétente en vertu de l'article 55. L'autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu'il offre des garanties appropriées suffisantes.

6. Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle enregistre et publie le code de conduite.

7. Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle qui est compétente en vertu de l'article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l'article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, s'il offre des garanties appropriées.

8. Lorsque l'avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.

9. La Commission peut décider, par voie d'actes d'exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 sont d'application générale au sein de l'Union. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

10. La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu'ils sont d'application générale conformément au paragraphe 9.

11. Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.

Proposition 1 close

1. Les États membres, les autorités de contrôle et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données, à la bonne application des dispositions du présent règlement, en ce qui concerne notamment:

a) le traitement loyal et transparent des données;

b) la collecte des données;

c) l'information du public et des personnes concernées;

d) les demandes formulées par les personnes concernées dans l'exercice de leurs droits;

e) l'information et la protection des enfants;

f) le transfert de données vers des pays tiers ou à des organisations internationales;

g) les mécanismes de suivi et visant à assurer le respect des dispositions du code par les responsables du traitement qui y adhèrent;

h) les procédures extrajudiciaires et les autres procédures de règlement des conflits permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées relatifs au traitement de données à caractère personnel, sans préjudice des droits des personnes concernées au titre des articles 73 et 75.

2. Les associations et les autres organisations représentant des catégories de responsables du traitement ou de sous-traitants dans un État membre qui ont l'intention d'élaborer des codes de conduite ou de modifier des codes de conduite existants ou d'en proroger la validité peuvent les soumettre à l'examen de l'autorité de contrôle de l'État membre concerné. L’autorité de contrôle peut rendre un avis sur la conformité, avec le présent règlement, du projet de code de conduite ou de la modification. Elle recueille les observations des personnes concernées ou de leurs représentants sur ces projets.

3. Les associations et les autres organisations représentant des catégories de responsables du traitement dans plusieurs États membres peuvent soumettre à la Commission des projets de codes de conduite ainsi que des modifications ou prorogations de codes de conduite existants.

4. La Commission peut adopter des actes d'exécution afin de constater par voie de décision que les codes de conduite ainsi que les modifications ou prorogations de codes de conduite existants qui lui ont été soumis en vertu du paragraphe 3 sont d’applicabilité générale sur le territoire de l'Union. Les actes d'exécution correspondants sont adoptés conformément à la procédure d'examen prévue à l’article 87, paragraphe 2.

5. La Commission assure une publicité appropriée aux codes dont elle a constaté par voie de décision qu’ils étaient d’applicabilité générale conformément au paragraphe 4.

Proposition 2 close

1. Les États membres, les autorités de contrôle, le comité européen de la protection des données et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des différents secteurs de traitement de données et des besoins spécifiques des micro, petites et moyennes entreprises, à la bonne application des dispositions du présent règlement.

1 bis. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou en proroger la validité, afin de préciser les modalités d'application des dispositions du présent règlement, telles que:

a) le traitement loyal et transparent des données;

a bis) les intérêts légitimes défendus par les responsables du traitement dans des contextes spécifiques;

b) la collecte des données;

b bis) la pseudonymisation des données à caractère personnel;

c) l'information du public et des personnes concernées;

d) l'exercice des droits des personnes concernées;

e) l'information et la protection des enfants et la manière de recueillir le consentement des parents et des tuteurs de l'enfant;

e bis) les mesures et les procédures visées aux articles 22 et 23 et les mesures visant à assurer la sécurité du traitement visé à l'article 30;

f) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication à la personne concernée de ces violations;

f) (…)

1 bis ter. Outre l'adhésion du responsable du traitement ou du sous-traitant soumis au règlement, les codes de conduite approuvés en application du paragraphe 2 peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement conformément à l'article 3, afin de fournir les garanties appropriées dans le cadre des transferts de données à caractère personnel à un pays tiers ou à une organisation internationale conformément aux conditions visées à l'article 42, paragraphe 2, point d). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, au moyen d'instruments contractuels ou d'une autre manière, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

1 ter. Ce code de conduite comprend les mécanismes permettant à l'organisme visé à l'article 38 bis , paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous traitants qui s'engagent à l'appliquer, sans préjudice des missions et des pouvoirs de l'autorité de contrôle qui est compétente au titre de l'article 51 ou de l'article 51 bis .

2. Les associations et les autres organismes visés au paragraphe 1 bis qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code à l'autorité de contrôle qui est compétente au titre de l'article 51. L'autorité de contrôle rend un avis sur la conformité au présent règlement du projet de code de conduite, de la modification ou de la prorogation du code existant, et approuve ce projet de code de conduite, cette modification ou cette prorogation du code existant si elle estime qu'il fournit des garanties appropriées suffisantes.

2 bis. Lorsque l'avis visé au paragraphe 2 confirme que le code de conduite ou le code modifié ou prorogé est conforme au présent règlement et que le code est approuvé, et s'il ne concerne pas des traitements mis en œuvre dans plusieurs États membres, l'autorité de contrôle enregistre le code de conduite et en publie les références.

2b. Si le projet de code de conduite concerne des traitements mis en œuvre dans plusieurs États membres, l'autorité de contrôle compétente au titre de l'article 51 le soumet, avant approbation, suivant la procédure visée à l'article 57, au comité européen de la protection des données, qui donne un avis sur la conformité au présent règlement du projet de code de conduite, de la modification ou de la prorogation du code existant ou, dans la situation visée au paragraphe 1 bis ter, sur la fourniture de garanties appropriées.

3. Si l'avis visé au paragraphe 2 ter confirme que le code de conduite ou le code modifié ou prorogé est conforme au présent règlement ou, dans la situation visée au paragraphe 1 bis ter, fournit des garanties appropriées, le comité européen de la protection des données soumet son avis à la Commission .

4. La Commission peut adopter des actes d'exécution afin de constater par voie de décision que les codes de conduite approuvés ainsi que les modifications ou prorogations de codes de conduite existants approuvés qui lui ont été soumis en vertu du paragraphe 3 sont d'application générale sur le territoire de l'Union. Les actes d'exécution sont adoptés conformément à la procédure d'examen prévue à l'article 87, paragraphe 2.

 5. La Commission assure une publicité appropriée aux codes approuvés dont elle a constaté par voie de décision qu'ils étaient d'application générale conformément au paragraphe 4 .

 5 bis. Le comité européen de la protection des données recueille tous les codes de conduite approuvés ainsi que les modifications qui y ont été apportées dans un registre et les met à la disposition du public par tout moyen approprié, comme le portail européen e-Justice.

Directive

Art. 27

1. Les États membres et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer, en fonction de la spécificité des secteurs, à la bonne application des dispositions nationales prises par les États membres en application de la présente directive.

2. Les États membres prévoient que les associations professionnelles et les autres organisations représentant d'autres catégories de responsables du traitement qui ont élaboré des projets de codes nationaux ou qui ont l'intention de modifier ou de proroger des codes nationaux existants peuvent les soumettre à l'examen de l'autorité nationale.

Les États membres prévoient que cette autorité s'assure, entre autres, de la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. Si elle l'estime opportun, l'autorité recueille les observations des personnes concernées ou de leurs représentants.

3. Les projets de codes communautaires, ainsi que les modifications ou prorogations de codes communautaires existants, peuvent être soumis au groupe visé à l'article 29. Celui-ci se prononce, entre autres, sur la conformité des projets qui lui sont soumis avec les dispositions nationales prises en application de la présente directive. S'il l'estime opportun, il recueille les observations des personnes concernées ou de leurs représentants. La Commission peut assurer une publicité appropriée aux codes qui ont été approuvés par le groupe.

France

Pas de disposition spécifique sur les codes de conduite

Belgique

Pas de disposition spécifique sur les codes de conduite

Ulys logo

Cabinet d’avocats moderne et humain,
au service de la création et de l’innovation

En savoir plus
Droit & Technologies logo white

Depuis 1997, le Portail du Droit des Technologies
Retrouvez-y les derniers actualités et des dossiers exclusifs.

En savoir plus
close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK