Toute organisation professionnelle peut élaborer un code de conduite pour accompagner les professionnels d’un secteur d’activité déterminé dans leur mise en conformité avec le RGPD. A l’occasion de l’approbation du premier code de conduite européen, la CNIL effectue quelques rappels… Lesquels ?
Que faut-il retenir sur les codes de conduite ?
Le premier code de conduite européen établi par l’association européenne de fournisseurs de services d’infrastructure Cloud vient d’être approuvé par la Commission nationale de l’informatique et des libertés (CNIL). Il poursuit 2 objectifs principaux :
- aider les adhérents à démontrer qu’ils ont mis en œuvre des mesures techniques et organisationnelles appropriées pour assurer la protection des données personnelles de leurs utilisateurs ;
- et faciliter la mise en conformité de ce secteur d’activité.
A l’occasion de cette approbation, la CNIL rappelle qu’un code de conduite est un outil prévu par le règlement européen sur la protection des données (RGPD) mis à disposition des organisations représentatives d’un secteur d’activité (associations, fédérations, etc.).
Pour mémoire, le RGPD harmonise à l’échelle européenne les dispositions relatives à la protection des données personnelles.
Dans ce cadre, un code de conduite permet d’élaborer un document de référence pour construire un socle commun de bonnes pratiques adapté à un secteur d’activité en particulier, tout en prenant en compte les exigences de la réglementation.
Le contrôle de la bonne application d’un code de conduite est ensuite effectué par un organisme agréé par la CNIL, qui a pour mission :
- d’organiser le suivi du code après son approbation ;
- d’effectuer les audits préalables à l’adhésion au code de conduite des entreprises du secteur d’activité concerné ;
- de traiter les réclamations relatives aux violations du code et de prendre, le cas échéant, les mesures appropriées ;
- de participer à sa mise à jour.