RGPD : tout savoir sur l’élaboration d’un « code de conduite »

Code de conduite : c’est quoi ? Un « code de conduite » est un document élaboré par une organisation représentative d’un secteur d’activité (association, fédération professionnelle, etc.) pour accompagner les professionnels de ce secteur et faciliter leur mise en conformité au règlement général sur la protection des données (RGPD).

Pour mémoire. Le RGPD est un règlement européen encadrant le traitement des données personnelles (collecte, enregistrement, conservation, etc.) sur le territoire de l’Union européenne.

Un outil de conformité. Le code de conduite fait partie des 9 outils prévus par le RGPD permettant aux entreprises et organismes de gérer leur conformité et de démontrer qu’ils respectent la réglementation.

Un outil adapté. Le RGPD étant un règlement général applicable à tous les secteurs d’activité, le code de conduite permet de l’adapter à un secteur donné. Il s’agit donc d’un socle commun de bonnes pratiques prenant en compte les exigences d’une profession en particulier tout en respectant la réglementation.

Une démarche volontaire. L’élaboration d’un code de conduite relève d’une démarche volontaire de l’organisation qui en est à l’origine, ainsi que des professionnels qui décident, ou non, d’y adhérer.

Pourquoi élaborer un code de conduite ? Les apports d’un code de conduite sont multiples :

• il permet aux professionnels de démontrer leur conformité au RGPD ;
• il homogénéise les pratiques d’un secteur d’activité ;
• il facilite la mise en conformité des petites entreprises qui n’ont pas forcément les moyens de faire appel à des professionnels compétents en matière de règlementation sur la protection des données.

Pour qui ? Un code de conduite est élaboré pour les professionnels du secteur d’activité concerné, notamment pour les micros-entreprises (effectif inférieur à 10 personnes et chiffre d'affaires ou total du bilan annuel n'excédant pas 2 M€) et les petites et moyennes entreprises (effectif inférieur à 250 personnes et chiffre d’affaires annuel n'excédant pas 50 M€ ou total de bilan n'excédant pas 43 M€).

Code de conduite national ou européen ? Un code de conduite peut avoir une portée soit nationale et ainsi s’appliquer uniquement dans le pays concerné, soit européenne et ainsi s’appliquer dans l’ensemble des états membres de l’Union européenne.

Un porteur. Le porteur du code de conduite est l’organisation représentative d’un secteur d’activité qui est à l’initiative de son élaboration.

Une autorité de contrôle. Les autorités de contrôle sont les organismes chargés de surveiller l’application du RGPD dans chaque état membre de l’Union européenne. En France, il s’agit de la Commission nationale de l’informatique et des libertés (CNIL). Cette autorité accompagne le porteur pendant l’élaboration du code et l’approuve une fois qu’il est terminé.

Un organisme de contrôle. L’organisme de contrôle est désigné par le porteur du code de conduite. Il a pour mission de vérifier la bonne application de ce code par les adhérents.

Au niveau européen. Lorsqu’il s’agit d’un code de conduite européen, une procédure d’approbation spécifique est mise en place faisant intervenir le Comité européen de la protection des données (CEPD) ainsi que la Commission européenne.

La rédaction du document. Tout code de conduite est destiné à retranscrire les dispositions du RGPD dans des termes clairs et compréhensibles pour faciliter leur application par les professionnels.

Des exigences à respecter. Pour que le code de conduite soit conforme et puisse être approuvé par la CNIL, l’organisme qui l’élabore doit impérativement respecter certaines exigences. Le document doit donc notamment :

• contenir des réponses aux questions qui se posent pour un secteur en matière de protection des données ; le contenu peut être large ou ciblé, c’est-à-dire qu’il peut s’attacher à un type d’opération de traitement particulier ;
• avoir un format facilitant sa compréhension ;
• contenir des solutions concrètes applicables par les adhérents ;
• contenir des garanties permettant de limiter les risques liés aux traitements de données personnelles par les professionnels du secteur (bonnes pratiques en matière de mesures de sécurité par exemple) ;
• établir des mécanismes de contrôle de la bonne application des dispositions qu’il contient par les adhérents ;
• inclure dans le projet une introduction présentant ses objectifs, son champ d’application et la manière dont il faciliterait l’application effective des dispositions du RGPD ;
• démontrer que l’organisation à l’origine du code représente bien le secteur d’activité concerné (précision du nombre d’adhérents par exemple) ;
• définir le champ d’application matériel (les traitements de données concernés) et territorial (l’État ou les États dans lequel ou lesquels il sera en vigueur) ;
• préciser s’il s’agit d’un code de conduite européen ou national ;
• désigner l’autorité de contrôle compétente (la CNIL) ;
• préciser les modalités d’application du code (modalité d’adhésion, processus de mise à jour, critères de sélection de l’organisme de contrôle, etc.) ;
• désigner l’organisme de contrôle chargé de vérifier la bonne application du code par les adhérents) ;
• etc.

Choix de l’organisme de contrôle. Ce choix s’effectue dès le début de l’élaboration du code de conduite et devra apparaître dans le projet du document.

L’approbation. Une fois que le code de conduite est rédigé, il doit être transmis à la CNIL pour être enregistré puis analysé par leur service. Débute alors une phase d’échanges entre le porteur du code et la CNIL pour effectuer des éventuelles modifications. A l’issue de cette phase, le code est ensuite approuvé.

À noter. La procédure d’approbation d’un code de conduite dure de 8 à 14 mois en moyenne.

Par qui ? L’organisme de contrôle ne doit pas être confondu avec l’autorité de contrôle (la CNIL par exemple) et ses missions ne doivent pas interférer avec celles de cette autorité.

Ses missions. L’organisme de contrôle est chargé de veiller à la bonne application du code de conduite dans lequel sont décrits les mécanismes lui permettant :

• d’organiser le suivi du code après son approbation ;
• d’effectuer les audits préalables à l’adhésion au code de conduite ;
• de traiter les réclamations relatives aux violations du code et de prendre, le cas échéant, les mesures appropriées ;
• de participer à sa mise à jour.

La CNIL vous accompagne. Lorsque vous souhaitez établir un code de conduite, la CNIL peut vous accompagner dès le début et pendant toute la durée d’élaboration du projet. De plus, un formulaire de contact est disponible ici pour vous permettre de poser toutes les questions concernant la procédure ou la méthodologie à respecter.

À noter. Le CEPD a publié des lignes directrices pour aider les organismes à appréhender les exigences de forme et de fond qu’il est nécessaire de respecter lors de l’élaboration d’un code de conduite.

      => Consultez ici les lignes directrices du CEPD.

Les codes de conduite approuvés. La CNIL référence ici l’ensemble des codes de conduite approuvés.