Qu’est-ce qu’un code de conduite et quels sont ses avantages ?
Un code de conduite est un outil de conformité sectoriel qui contribue à la bonne application du RGPD compte tenu des besoins opérationnels du secteur concerné.
Il peut constituer un instrument de gouvernance utile et efficace en fournissant une description détaillée de l’ensemble des comportements les plus appropriés, les plus légaux et les plus éthiques dans un secteur donné. Le secteur qui crée et applique les exigences d’un code de conduite démontre sa volonté de respecter le RGPD et envoie un signal positif aux clients et aux professionnels du secteur.
Les associations et chambres professionnelles ou tout autre entité représentant un secteur professionnel donné peut élaborer un code pour aider les entreprises de ce secteur représenté à respecter le RGPD de façon efficace.
Construire un code de conduite est une démarche volontaire pour tout représentant d’un secteur professionnel spécifique.
L’adhésion des membres du secteur au code de conduite est également une démarche volontaire. Cependant, le code de conduite est un outil juridiquement contraignant et il s’impose aux membres qui y adhérent. Ces derniers feront l’objet de contrôles réguliers par un organisme de suivi dédié à ce code de conduite et agréé afin de vérifier le respect des exigences du code.
Le code de conduite peut être accompagné par des modèles de contrats, des clauses types, des règles de sécurité IT adaptées aux besoins du secteur et/ou des bonnes pratiques pour la notice d’information notamment.
Un code doit être clair, compréhensible et pratique avec un vocabulaire adapté au secteur auquel il est dédié. Les règles du code de conduite doivent être présentées d’une manière qui facilite le contrôle de son application par l’organisme de suivi. De plus, le code doit également contenir des informations destinées à faciliter l’implémentation et le contrôle des exigences du code par ses membres (par exemple en fournissant des modèles de documents, un guide d’implémentation, une méthodologie de contrôle, etc.).
Qui peut élaborer un code de conduite ?
Le code de conduite doit être élaboré par une association de professionnels ou par un organisme représentant un secteur professionnel donné qui démontre une connaissance approfondie du fonctionnement opérationnel du secteur. Cette organisation sera dénommée « propriétaire du code ».
Qu’est-ce qu’un code national et un code transnational ?
Un « code national luxembourgeois » désigne un code portant sur des activités de traitement menées au Luxembourg.
Un « code transnational » désigne un code portant sur des activités de traitement menées dans plusieurs pays membres de l’Espace Economique Européen.
Quel doit être le contenu d’un code de conduite ?
Les lignes directrices adoptées par le Comité Européen de la Protection des Données (CEPD) contiennent des explications et les exigences auxquelles un code de conduite doit se conformer. Il doit ainsi contenir :
- Une description claire des objectifs du code de conduite et de la façon dont le code facilitera l’application effective du RGPD pour le secteur concerné ;
- Des solutions pratiques opérationnelles et des bonnes pratiques que les membres qui adhérent au code peuvent mettre en place afin de répondre aux exigences du code de conduite ;
- Des mécanismes de contrôle de son application par ses adhérents que l’organisme de suivi utilisera pendant ses contrôles ;
- Des garanties suffisantes : les propriétaires de codes doivent prouver que leur code contient des garanties adaptées et efficaces en vue d’atténuer les risques en matière de traitement des données et de droits et libertés des personnes ;
- Le champs d’application du traitement qui détermine clairement et précisément les opérations de traitement des données à caractère personnel auxquelles il s’applique, ainsi que les catégories de responsables du traitement et de sous-traitants qui devront le respecter ; Il s’agit notamment des problèmes de traitement que le code cherche à résoudre et des solutions pratiques à apporter.
- Le champs d’application territorial : le projet de code doit préciser si ce dernier est de portée nationale ou transnationale et mentionner l’état ou les états où il sera d’application. Si le code est transnational, la liste des autorités compétentes doit être fournie ;
- L’autorité compétente: le propriétaire du code de conduite doit fournir des explications pour le choix de l’autorité compétente ;
- La gouvernance: le projet de code doit préciser quel est le processus d’adhérence au code par les membres du secteur, quelle est la relation avec l’organisme de suivi désigné et quels sont les critères de sélection, le processus de mise à jour du code de conduite en cas de besoin (évolution de la législation encadrant le secteur, changements dans le secteur, etc.) ;
- Consultation des professionnels intéressés du secteur : le code de conduite devrait prendre en compte les besoins du secteur, notamment par la mise en œuvre de réunions d’ échanges avec les représentants ;
- Droit national : Les propriétaires de codes doivent fournir une confirmation montrant que le projet de code est conforme au droit national applicable ;
- La désignation d’un organisme de suivi ;
- La langue du code de conduite soumis pour adoption à la CNPD peut être le français, l’allemand ou l’anglais.
Quel est le processus d’adoption d’un code de conduite par la CNPD?
Le propriétaire du code doit présenter son projet de code à la CNPD. Le projet de code peut être déposé par porteur, être envoyé par voie électronique à l’adresse e-mail suivante cdc@cnpd.lu ou par voie postale à l’adresse suivante :
CNPD – Service Conformité
15 Boulevard du Jazz
L-4370 Belvaux
La CNPD, en sa qualité d’autorité de contrôle, réalise une revue informelle du projet de code de conduite et il peut y avoir plusieurs échanges avec le propriétaire du code afin de vérifier si le contenu du projet répond aux exigences du RGPD. Le porteur du code de conduite aura l’occasion d’apporter des modifications et de soumettre une nouvelle version à la CNPD.
A ce titre, la CNPD rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le RGPD et approuve ce projet, cette modification ou cette prorogation si elle estime qu'il offre des garanties appropriées suffisantes (article 40 paragraphe 5 du RGPD).
Lorsqu’il s’agit d’un code transnational, ce dernier doit être communiqué par la CNPD aux autres autorités de contrôle compétentes des autres pays membres concernés et le propriétaire du code devra également prendre en compte leurs observations/demandes. Un code transnational fera également l’objet d’un avis du CEPD conformément à l’application du « mécanisme de cohérence » prévu par le RGPD (article 63 du RGPD).
Le CEPD soumettra ensuite son avis à la Commission européenne qui prononcera l’application générale du code de conduite au sein de l’Espace Economique Européen conformément aux dispositions du RGPD (articles 40 paragraphe 8 et 40 paragraphe 9 du RGPD).
Quel est le rôle de l’organisme de suivi ?
Désigné par le code de conduite, l’organisme de suivi effectuera des contrôles afin de vérifier si les membres adhérant au code de conduite respectent les exigences de celui-ci. L’organisme de suivi doit obtenir un agrément auprès de la CNPD.
Afin d’obtenir un agrément de la CNPD, l’organisme de suivi doit respecter les exigences de la « Procédure relative à l’agrément des organismes de suivi des codes de conduite ». Ces exigences découlent des critères d’agrément adoptés par la CNPD le 19 décembre 2022 disponibles sur le site internet de la CNPD.
L’organisme de suivi souhaitant recevoir un agrément de la CNPD doit remplir le formulaire de candidature ci-dessous (adapter en fonction de la place sur la page) et l’envoyer à la CNPD conformément à la procédure d’agrément décrite ci-dessous (adapter en fonction de la place sur la page).