Certification des codes de conduite en matière de données personnelles

Si vous avez décidé de mettre en place un code de conduite en matière de données personnelles, la CNIL a publié son référentiel sur l’agrément des organismes de contrôle de votre code de conduite.  Les codes de conduite permettent à un secteur d’activité d’accompagner la mise en conformité des professionnels concernés et nécessitent d’être contrôlés par des organismes tiers. Ce référentiel permet d’agréer ces organismes. Voici également les documents à produire pour la demande d’agrément.

Un outil de conformité

Pour rappel, les codes de conduite font partie des outils de conformité prévus par le règlement général sur la protection des données (RGPD). Ils permettent à un secteur d’activité d’accompagner la mise en conformité des professionnels concernés via des recommandations pratiques et opérationnelles.  Lorsqu’elle élabore un code de conduite, l’association ou la fédération représentant les professionnels doit organiser le suivi du code après son approbation. À cette fin, le RGPD prévoit l’intervention d’un organisme tiers qui doit être agréé par la CNIL pour pouvoir remplir cette mission.

Les principales exigences du référentiel

Le référentiel d’agrément, qui a fait l’objet d’un avis favorable du Comité européen à la protection des données (CEPD), permet de vérifier que le futur organisme de contrôle apporte toutes les garanties nécessaires pour remplir sa mission. Ces exigences, qui peuvent être générales ou particulières, portent  notamment sur :

• l’indépendance de l’organisme de contrôle, ainsi que l’absence de conflit d’intérêts ;
• le niveau d’expertise adéquat des auditeurs ;
• des mesures de sécurité spécifiques ;
• un traitement transparent des plaintes ;
• des procédures de contrôle régulières ; et
• des procédures d’adoption de sanctions et autres mesures correctrices.

Quel est le rôle de l’organisme de contrôle ?

Lors de l’élaboration d’un code de conduite, le porteur du code doit organiser le suivi du code après son approbation. Le RGPD précise que cette activité peut être confiée à un organisme dédié dont la mission n’interfère pas avec celle des autorités de contrôle. Il est possible de recourir à un comité interne au porteur du code ou à un ou plusieurs organismes tiers. Les lignes directrices relatives aux codes de conduite adoptées par Comité européen à la protection des données (CEPD) fournissent également explications et exemples pratiques quant aux conditions de désignation de cet organisme. Le code de conduite doit nécessairement décrire les mécanismes permettant à l’organisme de contrôle de mener à bien ses missions. L’organisme tiers va se baser sur de ces mécanismes pour créer les procédures qu’il mettra en œuvre aux fins :

• d’effectuer les audits préalables à l’adhésion au code de conduite ou encore des audits réguliers après adhésion au code de conduite et ce pour veiller à la bonne application du code par les adhérents ;
• de traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant ;
• de prendre des mesures appropriées en cas de violation du code telles que la suspension ou l’exclusion de l’adhérent au code ;
• de participer à la mise à jour du code de conduite.

Comment devenir organisme de contrôle ?

Vous pouvez  déposer un dossier de demande d’agrément si les trois critères suivants sont remplis :

• Le code de conduite vous identifie comme organisme de contrôle
• Vous remplissez les exigences définies par le référentiel d’agrément de la CNIL
• Le code de conduite de référence est dans sa phase finale d’approbation par la CNIL ou, pour les codes européens, a fait l’objet d’un avis favorable du Comité européen à la protection des données