Article 40 – Codes de conduite

Article 40 - Codes de conduite

1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.

2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, les modifier ou les proroger, aux fins de préciser les modalités d'application du présent règlement, telles que:

a) le traitement loyal et transparent;
b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques;
c) la collecte des données à caractère personnel;
d) la pseudonymisation des données à caractère personnel;
e) les informations communiquées au public et aux personnes concernées;
f) l'exercice des droits des personnes concernées;
g) les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d'obtenir le consentement des titulaires de la responsabilité parentale à l'égard de l'enfant;
h) les mesures et les procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l'article 32;
i) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées;
j) le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales; ou
k) les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.

3. Outre leur application par les responsables du traitement ou les sous-traitants soumis au présent règlement, les codes de conduite qui sont approuvés en vertu du paragraphe 5 du présent article et qui sont d'application générale en vertu du paragraphe 9 du présent article peuvent aussi être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement en vertu de l'article 3, afin de fournir des garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale dans les conditions visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et doté de force obligatoire au moyen d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.

4. Le code de conduite visé au paragraphe 2 du présent article comprend les mécanismes permettant à l'organisme visé à l'article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer, sans préjudice des missions et des pouvoirs de l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56.

5. Les associations et autres organismes visés au paragraphe 2 du présent article qui ont l'intention d'élaborer un code de conduite ou de modifier ou proroger un code de conduite existant soumettent le projet de code, la modifications ou la prorogation à l'autorité de contrôle qui est compétente en vertu de l'article 55. L'autorité de contrôle rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu'il offre des garanties appropriées suffisantes.

6. Lorsque le projet de code, la modification ou la prorogation est approuvé conformément au paragraphe 5, et lorsque le code de conduite concerné ne porte pas sur des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle enregistre et publie le code de conduite.

7. Lorsque le projet de code de conduite concerne des activités de traitement menées dans plusieurs États membres, l'autorité de contrôle qui est compétente en vertu de l'article 55 soumet le projet de code, la modification ou la prorogation, avant approbation, selon la procédure visée à l'article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3 du présent article, s'il offre des garanties appropriées.

8. Lorsque l'avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, offre des garanties appropriées, le comité soumet son avis à la Commission.

9. La Commission peut décider, par voie d'actes d'exécution, que le code de conduite, la modification ou la prorogation approuvés qui lui ont été soumis en vertu du paragraphe 8 du présent article sont d'application générale au sein de l'Union. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.

10. La Commission veille à garantir une publicité appropriée aux codes approuvés dont elle a décidé qu'ils sont d'application générale conformément au paragraphe 9.

11. Le comité consigne dans un registre tous les codes de conduite, les modifications et les prorogations approuvés et les met à la disposition du public par tout moyen approprié.

En savoir plus...

L'article 40 du RGPD prévoit la possibilité pour les acteurs d'élaborer des codes de conduite pour la mise en œuvre effective du RGPD dans des secteurs spécifiques ou pour des activités de traitement spécifiques.

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Le RGPD ne mentionne pas la possibilité, pour une autorité de contrôle, de prononcer une amende aux contrevenants à cet article.
Bien que cela ne soit pas toujours pertinent, cela reste théoriquement possible en vertu de l'article 84 du RGPD, qui permet aux Etats Membres de prévoir des sanctions supplémentaires (sous certaines conditions).

Considérants pertinents

[Codes de conduite]
98. Il y a lieu d'encourager les associations ou autres organismes représentant des catégories de responsables du traitement ou de sous-traitants à élaborer des codes de conduite, dans les limites du présent règlement, de manière à en faciliter la bonne application, compte tenu des spécificités des traitements effectués dans certains secteurs et des besoins spécifiques des micro, petites et moyennes entreprises. Ces codes de conduite pourraient, en particulier, définir les obligations qui incombent aux responsables du traitement et aux sous-traitants, compte tenu du risque que le traitement peut engendrer pour les droits et libertés des personnes physiques.

[Consultations à mener pour les codes de conduite]
99. Lors de l'élaboration d'un code de conduite, ou lors de sa modification ou prorogation, les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants devraient consulter les parties intéressées, y compris les personnes concernées lorsque cela est possible, et tenir compte des contributions transmises et des opinions exprimées à la suite de ces consultations.

Droit souple

Lignes directrices et recommandations

> CEPD - Lignes directrices 04/2021 - Codes de conduite comme outils de transfert (v2.0)

22 février 2022

> CEPD - Lignes directrices 1/2019 - Codes de conduite et organismes de suivi (v2.0)

4 juin 2019

Rien trouvé ? N'hésitez pas à consulter la documentation sectorielle et transversale !

Références

En savoir plus...

Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations

> CNIL - Recommandations - Vidéosurveillance dans les Ehpad

29 février 2024

> CNIL - Recommandations - Applications mobiles

21 juillet 2023

> CNIL - Recommandations - API

07 juillet 2023

> CNIL - Recommandations - Télésurveillance examens en ligne

8 juin 2023

> CEPD - Lignes directrices 02/2021 - Assistants vocaux virtuels (v2.0)

7 juillet 2021

> CEPD - Lignes directrices 8/2020 - Ciblage des utilisateurs de médias sociaux (v2.0)

13 avril 2021

> CEPD - Lignes directrices 01/2020 - Véhicules connectés et applications de mobilité (v2.0)

9 mars 2021

> CEPD - Lignes directrices 6/2020 - Intéraction directive services de paiement et RGPD (v2.0)

15 décembre 2020

> CNIL - Lignes directrices - Cookies et autres traceurs

17 septembre 2020

> CNIL - Recommandations - Cookies et autres traceurs

17 septembre 2020

> CEPD - Lignes directrices 3/2019 - Dispositifs vidéo (v2.0)

29 janvier 2020

Référentiels

> CNIL - Référentiel - Systèmes d'alertes professionnelles

06 juillet 2023

> CNIL - Référentiel - Officines de pharmacie

18 juillet 2022

> CNIL - Référentiel - Gestion commerciale

03 février 2022

> CNIL - Référentiel - Gestion des impayés

03 février 2022

> CNIL - Référentiel - Protection de l'enfance

20 janvier 2022

> CNIL - Référentiel - Gestion locative

6 mai 2021)

> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté

11 mars 2021

> CNIL - Référentiel - Gestion RH

21 novembre 2019

Guides pratiques

> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales

04 juillet 2022

> CNIL - Guide pratique - Guide pratique du développeur

13 décembre 2021 (sur le github de la CNIL)

> CNIL - Guide pratique - Guide pratique de l'UNAF

Mars 2021 (sur le site de l'UNAF)

> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales

18 septembre 2019

> CNIL - Guide pratique - Guide pratique de l'ordre des médecins

01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Année :

Autorité :

Thème :

Secteur :

Actualités

Profitez de nos actualités en lien avec cet article !

ICO (autorité anglaise)

13 novembre 2024

Nouveau code de conduite sur la protection des données lancé pour les enquêteurs privés britanniques

L’ICO a aujourd’hui annoncé avoir approuvé et publié le premier code de conduite sectoriel – The Association of British Investigators Limited (ABI) UK GDPR Code of Conduct for Investigative and Litigation Support Services (Code de conduite GDPR du Royaume-Uni pour les services d’enquête et d&rsquo [...]

Signaler une erreur / Faire une suggestion
<< Retourner au menu

Décision n°	Nom	Date	Année	Pays	Autorité	Thème(s)	Secteur(s)	Apport de la décision	Contexte	Extrait(s) pertinent(s)	Article(s) du RGPD	SHA 1 VALUE	Article(s) LIL	Fait référence à	Autres informations	Lien
								Notre base de données ne contient pas de décisions relatives à cet article. Veuillez ne pas hésiter à nous en suggérer !				ERREUR
			Année		Autorité	Thème(s)	Secteur(s)