En l'absence de décision d'adéquation, les exportateurs de données (responsables de traitement et sous-traitants) peuvent s'appuyer sur des codes de conduite approuvés[1] en tant que garanties appropriées pour les transferts de données à caractère personnel vers des pays tiers.
Les codes de conduite sont généralement rédigés par des entités, des associations ou des fédérations qui représentent de grandes catégories de responsables du traitement et de sous-traitants, telles que des associations sectorielles.
Les codes de conduite doivent être approuvés par l’autorité de contrôle compétente et respecter les exigences spécifiques énoncées à l’article 40 et à l’article 46, paragraphe 2, point e), du RGPD et aux lignes directrices 04/2021 du comité européen de la protection des données sur les codes de conduite en tant qu’outils de transfert afin de constituer des garanties appropriées dans le cadre des transferts de données à caractère personnel vers des pays tiers ou des organisations internationales.
Une fois approuvé par l’autorité de contrôle compétente, les exportateurs de données peuvent adhérer à un code de conduite.[2] De plus, ces exportateurs doivent fournir des engagements contraignants et exécutoires destinés à confirmer que le code de conduite en question assure effectivement des garanties appropriées pour les transferts de données en dehors de l’EEE.
De plus amples informations sont disponibles dans les lignes directrices 01/2019 du comité européen de la protection des données sur les codes de conduite et les organismes de contrôle, ainsi que dans les lignes directrices 04/2021 du comité européen de la protection des données sur les codes de conduite en tant qu’outils pour les transferts.
[1] Article 46, paragraphe 2, point e), du RGPD.
[2] Article 40, paragraphes 3 et 9, et article 46, paragraphe 2, point e), du RGPD.