Article 41 - Suivi des codes de conduite approuvés
1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l'article 40 peut être effectué par un organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code et qui est agréé à cette fin par l'autorité de contrôle compétente.2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d'un code de conduite lorsque cet organisme a:
- a) démontré, à la satisfaction de l'autorité de contrôle compétente, son indépendance et son expertise au regard de l'objet du code;
- b) établi des procédures qui lui permettent d'apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d'examiner périodiquement son fonctionnement;
- c) établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et<
- d) démontré, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêts.
4. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.
5. L'autorité de contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme constituent une violation du présent règlement.
6. Le présent article ne s'applique pas au traitement effectué par les autorités publiques et les organismes publics.
En savoir plus...
L'article 41 du RGPD complète l'article 40 en prévoyant que le respect de tout code de conduite approuvé doit être contrôlé par un organisme accrédité possédant le niveau d'expertise approprié dans le secteur couvert par le code. Bien que la directive 95/46/CE sur la protection des données (DPO) comprenne une disposition sur les codes de conduite (article 27, paragraphe 1,), elle ne contient aucune information sur la manière dont le respect de ces codes doit être contrôlé.En conséquence, c'est à la législation nationale qu'il revient de déterminer si ce contrôle doit avoir lieu et quel organisme spécifique peut se charger de cette tâche. Selon les lignes directrices 1/2019 du Conseil européen de la protection des données (CEPD) sur les codes de conduite et les organismes de contrôle en vertu du règlement 2016/679 (lignes directrices du CEPD), l'objectif des articles 40 et 41 du RGPD est de garantir une « méthode pratique, potentiellement rentable et significative pour atteindre des niveaux plus élevés de cohérence » dans le droit de la protection des données. Cela est d'autant plus pertinent que les États membres peuvent appliquer la législation de l'UE en matière de protection des données d'une manière différente de celle de leurs homologues (par exemple, lorsque le traitement visé par un code de conduite se rapporte à un État membre particulier).
Le RGPD prévoit-il une amende en cas d'infraction à cet article ?
Considérants pertinents
Droit souple
Lignes directrices et recommandations
Références
Cet article cite...
Cet article est cité par...
En savoir plus...
Droit souple (sectoriel ou transversal)
Lignes directrices et recommandations
Référentiels
Guides pratiques
Jurisprudence
Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !
Actualités
Profitez de nos actualités en lien avec cet article !Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.
L’UOOU publie sa recommandation sur les systèmes de vidéosurveillance installés dans les écoles et les établissements d’enseignement L’autorité tchèque a annoncé hier avoir publié ses recommandations en matière de systèmes de vidéosurveillance dans les écoles. Cette recommandation a été créée sur la base des suggestions et commentaires récoltés à l’occasion d’une consultation publique sur un […]
Amendes contre Toyota Bank (environ 135 000 euros au total) pour avoir enfreint l’indépendance de son DPO et pour non conformité du profilage réalisé Le Président de l’UODO, Mirosław Wróblewski, a annonce aujourd’hui que les actions de Toyota Bank Polska S.A., en tant que responsable de traitement, ont conduit à une situation où le DPO […]
Le Conseil d’Etat polonais estime que la banque ne peut pas traiter des données à des fins de prévention du contentieux en se fondant sur l’intérêt légitime « Les éventuelles réclamations futures d’un ancien client ne justifient pas le traitement de données personnelles par une banque lorsque les parties ne sont pas liées par un accord », […]
Mediahuis condamné pour avoir mal transmis des données personnelles à un nouveau responsable de traitement à l’occasion d’une cession d’actifs L’autorité belge a aujourd’hui annoncé la condamnation de la chaine de mediaas Mediahuis pour avoir incorrectement traité des données dans le cadre d’une cession d’actifs. Mediahuis NV, dans le cadre de ses activités liées au […]
RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une […]
Un employeur réprimandé pour traitement illicite de données pénales de l’un de ses employés L’autorité belge a aujourd’hui publié une décision de sanction par laquelle elle condamne une entreprise (restée anonyme) pour traitement illicite de données. Dans cette affaire, un employé d’un organisme public (plaignant) a déposé plainte contre son employeur après avoir constaté qu’une […]
Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière […]
L’autorité italienne rappelle que les certificats d’arrêt de travail ne doivent pas contenir de données de santé Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné une autorité locale de santé à hauteur de 17 000 euros pour avoir délivré un certificat d’arrêt de travail indiquant le service qui avait fourni le service […]
La Cour de Justice de l’UE clarifie les dispositions de l’article 88 du RGPD Dans un arrêt en date du 19 décembre 2024 (C-65/23), la Cour a clarifié les modalités d’application de l’article 88 du RGPD, et la manière de l’articuler avec le reste du RGPD. La Cour a ainsi estimé que : 1) une […]
En Italie, OpenAI condamné à réaliser une campagne d’information de six mois et payer une amende de 15 millions d’euros. L’autorité italienne a annoncé aujourd’hui avoir adopté une décision corrective et sanctionnatrice à l’encontre d’OpenAI en lien avec la gestion du service ChatGPT. La décision, qui constate les violations précédemment reprochées à la société californienne, […]