Article 41 – Suivi des codes de conduite approuvés

Article 41 - Suivi des codes de conduite approuvés

1. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l'article 40 peut être effectué par un organisme qui dispose d'un niveau d'expertise approprié au regard de l'objet du code et qui est agréé à cette fin par l'autorité de contrôle compétente.

2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d'un code de conduite lorsque cet organisme a:
  • a) démontré, à la satisfaction de l'autorité de contrôle compétente, son indépendance et son expertise au regard de l'objet du code;
  • b) établi des procédures qui lui permettent d'apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d'examiner périodiquement son fonctionnement;
  • c) établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l'égard des personnes concernées et du public; et<
  • d) démontré, à la satisfaction de l'autorité de contrôle compétente, que ses tâches et ses missions n'entraînent pas de conflit d'intérêts.
3. L'autorité de contrôle compétente soumet le projet de critères d'agrément d'un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l'article 63.

4. Sans préjudice des missions et des pouvoirs de l'autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l'application du code. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.

5. L'autorité de contrôle compétente révoque l'agrément d'un organisme visé au paragraphe 1 si les conditions d'agrément ne sont pas ou ne sont plus réunies ou si les mesures prises par l'organisme constituent une violation du présent règlement.

6. Le présent article ne s'applique pas au traitement effectué par les autorités publiques et les organismes publics.

En savoir plus...

L'article 41 du RGPD complète l'article 40 en prévoyant que le respect de tout code de conduite approuvé doit être contrôlé par un organisme accrédité possédant le niveau d'expertise approprié dans le secteur couvert par le code. Bien que la directive 95/46/CE sur la protection des données (DPO) comprenne une disposition sur les codes de conduite (article 27, paragraphe 1,), elle ne contient aucune information sur la manière dont le respect de ces codes doit être contrôlé.
En conséquence, c'est à la législation nationale qu'il revient de déterminer si ce contrôle doit avoir lieu et quel organisme spécifique peut se charger de cette tâche. Selon les lignes directrices 1/2019 du Conseil européen de la protection des données (CEPD) sur les codes de conduite et les organismes de contrôle en vertu du règlement 2016/679 (lignes directrices du CEPD), l'objectif des articles 40 et 41 du RGPD est de garantir une « méthode pratique, potentiellement rentable et significative pour atteindre des niveaux plus élevés de cohérence » dans le droit de la protection des données. Cela est d'autant plus pertinent que les États membres peuvent appliquer la législation de l'UE en matière de protection des données d'une manière différente de celle de leurs homologues (par exemple, lorsque le traitement visé par un code de conduite se rapporte à un État membre particulier).

Le RGPD prévoit-il une amende en cas d'infraction à cet article ?

Conformément à l'article article 83 du RGPD, les infractions aux règles définies dans le présent article sont passibles d'amendes administratives pouvant aller jusqu'à 10 000 000 EUR ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.

Considérants pertinents

Aucun considérant pertinent n'a été trouvé dans notre base de données.


Droit souple

Lignes directrices et recommandations
> CEPD - Lignes directrices 1/2019 - Codes de conduite et organismes de suivi (v2.0)
4 juin 2019

Références

En savoir plus...



Droit souple (sectoriel ou transversal)

Lignes directrices et recommandations
> CNIL - Recommandations - Vidéosurveillance dans les Ehpad
29 février 2024
> CNIL - Recommandations - Applications mobiles
21 juillet 2023
> CNIL - Recommandations - API
07 juillet 2023
> CNIL - Recommandations - Télésurveillance examens en ligne
8 juin 2023
> CNIL - Lignes directrices - Cookies et autres traceurs
17 septembre 2020
> CNIL - Recommandations - Cookies et autres traceurs
17 septembre 2020

Référentiels
> CNIL - Référentiel - Systèmes d'alertes professionnelles
06 juillet 2023
> CNIL - Référentiel - Officines de pharmacie
18 juillet 2022
> CNIL - Référentiel - Gestion commerciale
03 février 2022
> CNIL - Référentiel - Gestion des impayés
03 février 2022
> CNIL - Référentiel - Protection de l'enfance
20 janvier 2022
> CNIL - Référentiel - Gestion locative
6 mai 2021)
> CNIL - Référentiel - Accueil, hébergement et accompagnement social et médico-social des personnes en difficulté
11 mars 2021
> CNIL - Référentiel - Gestion RH
21 novembre 2019

Guides pratiques
> CNIL - Guide pratique - Obligations et responsabilités des collectivités locales
04 juillet 2022
> CNIL - Guide pratique - Guide pratique du développeur
13 décembre 2021 (sur le github de la CNIL)
> CNIL - Guide pratique - Guide pratique de l'UNAF
Mars 2021 (sur le site de l'UNAF)
> CNIL - Guide pratique - Sensibilisation pour les collectivités territoriales
18 septembre 2019
> CNIL - Guide pratique - Guide pratique de l'ordre des médecins
01 juin 2018

Jurisprudence

Cliquez sur une ligne pour obtenir tous les détails.
Note importante : cette base de données n'est pas achevée ; par ailleurs, le développement du "RGPD annoté" implique sa re-structuration complète: il est donc possible que la partie soit vide, ou que certains résultats soient peu pertinents ou soient manquants. Veuillez ne pas hésiter à me le signaler !

Actualités

Profitez de nos actualités en lien avec cet article !

Note importante : Le flux RSS correpondant à cet article semble vide. Nous avons très récemment re-structuré la partie 'veille' afin de vous proposer des actualités plus précises sur le RGPD annoté, mais il va falloir un peu de temps pour 'remplir' la partie actualité de chaque article. En attendant, nous vous proposons le flux ci-dessous, qui utilise une catégorie plus large.

UOOU (autorité tchèque)
21 janvier 2025

L’UOOU publie sa recommandation sur les systèmes de vidéosurveillance installés dans les écoles et les établissements d’enseignement L’autorité tchèque a annoncé hier avoir publié ses recommandations en matière de systèmes de vidéosurveillance dans les écoles. Cette recommandation a été créée sur la base des suggestions et commentaires récoltés à l’occasion d’une consultation publique sur un […]

Disponible sur: veille.portail-rgpd.com
UODO (autorité polonaise)
21 janvier 2025

Amendes contre Toyota Bank (environ 135 000 euros au total) pour avoir enfreint l’indépendance de son DPO et pour non conformité du profilage réalisé Le Président de l’UODO, Mirosław Wróblewski, a annonce aujourd’hui que les actions de Toyota Bank Polska S.A., en tant que responsable de traitement, ont conduit à une situation où le DPO […]

Disponible sur: veille.portail-rgpd.com
UODO (autorité polonaise)
16 janvier 2025

Le Conseil d’Etat polonais estime que la banque ne peut pas traiter des données à des fins de prévention du contentieux en se fondant sur l’intérêt légitime « Les éventuelles réclamations futures d’un ancien client ne justifient pas le traitement de données personnelles par une banque lorsque les parties ne sont pas liées par un accord », […]

Disponible sur: veille.portail-rgpd.com
APD (autorité belge)
15 janvier 2025

Mediahuis condamné pour avoir mal transmis des données personnelles à un nouveau responsable de traitement à l’occasion d’une cession d’actifs L’autorité belge a aujourd’hui annoncé la condamnation de la chaine de mediaas Mediahuis pour avoir incorrectement traité des données dans le cadre d’une cession d’actifs. Mediahuis NV, dans le cadre de ses activités liées au […]

Disponible sur: veille.portail-rgpd.com
CJUE – Arrêt C-394/23
09 janvier 2025

RGPD et transport ferroviaire : l’identité de genre du client n’est pas une donnée nécessaire pour l’achat d’un titre de transport Dans un arrêt publié ce 9 janvier 2025, la CJUE a estimé que la collecte de données relatives à la civilité des clients n’est pas objectivement indispensable, en particulier, lorsqu’elle a pour finalité une […]

Disponible sur: veille.portail-rgpd.com
APD (autorité belge)
08 janvier 2025

Un employeur réprimandé pour traitement illicite de données pénales de l’un de ses employés L’autorité belge a aujourd’hui publié une décision de sanction par laquelle elle condamne une entreprise (restée anonyme) pour traitement illicite de données. Dans cette affaire, un employé d’un organisme public (plaignant) a déposé plainte contre son employeur après avoir constaté qu’une […]

Disponible sur: veille.portail-rgpd.com
GPDP (autorité italienne)
02 janvier 2025

Télémarketing : le fournisseur d’électricité et de gaz se voit infliger une amende de 679 000 euros par la Garante Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné Illumia spa, une société opérant dans la fourniture de services d’électricité et de gaz, à 678 897 euros d’amendes pour avoir traité de manière […]

Disponible sur: veille.portail-rgpd.com
GPDP (autorité italienne)
02 janvier 2025

L’autorité italienne rappelle que les certificats d’arrêt de travail ne doivent pas contenir de données de santé Dans sa newsletter du 23 décembre, l’autorité a annoncé avoir condamné une autorité locale de santé à hauteur de 17 000 euros pour avoir délivré un certificat d’arrêt de travail indiquant le service qui avait fourni le service […]

Disponible sur: veille.portail-rgpd.com
CJUE – Arrêt C-65/23
20 décembre 2024

La Cour de Justice de l’UE clarifie les dispositions de l’article 88 du RGPD Dans un arrêt en date du 19 décembre 2024 (C-65/23), la Cour a clarifié les modalités d’application de l’article 88 du RGPD, et la manière de l’articuler avec le reste du RGPD. La Cour a ainsi estimé que : 1) une […]

Disponible sur: veille.portail-rgpd.com
GPDP (autorité italienne)
20 décembre 2024

En Italie,  OpenAI condamné à réaliser une campagne d’information de six mois et payer une amende de 15 millions d’euros. L’autorité italienne a annoncé aujourd’hui avoir adopté une décision corrective et sanctionnatrice à l’encontre d’OpenAI en lien avec la gestion du service ChatGPT. La décision, qui constate les violations précédemment reprochées à la société californienne, […]

Disponible sur: veille.portail-rgpd.com
<< Retourner au menu

Partenaires


Logo du M2 DNUM
Retour en haut