L'article 40 du Règlement général sur la protection des données (RGPD) instaure le mécanisme des codes de conduite, qui constituent des outils d'autorégulation et de responsabilisation (accountability) permettant aux secteurs d'activité, aux catégories de responsables de traitement ou aux associations professionnelles d'élaborer des règles spécifiques adaptées aux particularités de leurs activités. Ces codes de conduite complètent les dispositions générales du RGPD en précisant leur application à des contextes sectoriels ou professionnels particuliers.
Les codes de conduite s'inscrivent dans une démarche volontaire de mise en conformité, permettant aux organisations adhérentes de démontrer leur engagement en faveur de la protection des données personnelles. Ils facilitent l'application effective du RGPD en fournissant des lignes directrices pratiques, des modèles de documentation et des bonnes pratiques adaptées aux spécificités de chaque secteur. Les codes de conduite peuvent également renforcer la confiance des personnes concernées et des partenaires commerciaux dans les pratiques de traitement des données des organisations adhérentes.
L'article 40 prévoit que les codes de conduite peuvent être élaborés au niveau national ou européen, sous le contrôle des autorités de contrôle compétentes. Ces codes doivent être approuvés par l'autorité de contrôle avant d'entrer en vigueur, garantissant ainsi leur conformité avec les exigences du RGPD et leur cohérence avec les lignes directrices des autorités de protection des données.
Texte officiel de l'article 40 du RGPD
L'article 40 du RGPD dispose notamment que :
« 1. Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises.
2. Les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants peuvent élaborer des codes de conduite, ou les modifier ou les proroger, aux fins de préciser l'application du présent règlement, notamment en ce qui concerne : a) le traitement loyal et transparent des données ; b) les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques ; c) la collecte de données à caractère personnel ; d) la pseudonymisation de données à caractère personnel ; e) l'information du public et des personnes concernées ; f) l'exercice des droits des personnes concernées ; g) l'information et la protection des enfants et les modalités d'obtention du consentement des titulaires de la responsabilité parentale à l'égard de l'enfant ; h) les mesures et procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l'article 32 ; i) la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées ; j) le transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales ; ou k) les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de régler les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.
3. Outre leur application par les responsables du traitement ou les sous-traitants qui sont soumis au présent règlement, les codes de conduite approuvés en vertu du paragraphe 5 du présent article et présentant une validité générale en vertu du paragraphe 9 du présent article peuvent également être appliqués par des responsables du traitement ou des sous-traitants qui ne sont pas soumis au présent règlement conformément à l'article 3, afin de fournir des garanties appropriées dans le cadre du transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales selon les modalités visées à l'article 46, paragraphe 2, point e). Ces responsables du traitement ou sous-traitants prennent l'engagement contraignant et exécutoire, par le biais d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer ces garanties appropriées, y compris en ce qui concerne les droits des personnes concernées.
4. Le code de conduite visé au paragraphe 2 du présent article contient les mécanismes permettant à l'organisme visé à l'article 41, paragraphe 1, de procéder au contrôle obligatoire du respect de ses dispositions par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer, sans préjudice des missions et pouvoirs des autorités de contrôle compétentes en vertu des articles 55 ou 56.
5. Les associations et autres organismes visés au paragraphe 2 du présent article qui entendent élaborer un code de conduite ou modifier ou proroger un code existant le soumettent à l'autorité de contrôle compétente en vertu de l'article 55 ou 56. L'autorité de contrôle rend un avis sur la question de savoir si le projet de code de conduite, la modification ou la prorogation respecte le présent règlement et approuve ce projet de code, cette modification ou cette prorogation si elle estime qu'il ou elle offre des garanties suffisantes et appropriées.
6. Lorsque le projet de code de conduite, la modification ou la prorogation est approuvé conformément au paragraphe 5 et que le code de conduite en question ne porte pas sur des activités de traitement dans plusieurs États membres, l'autorité de contrôle enregistre le code et le publie.
7. Lorsque le projet de code de conduite porte sur des activités de traitement dans plusieurs États membres, l'autorité de contrôle qui est compétente en vertu de l'article 55 ou 56 le soumet, avant son approbation, selon la procédure visée à l'article 63, au comité, qui rend un avis sur la question de savoir si le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3 du présent article, s'il offre des garanties appropriées.
8. Lorsque l'avis visé au paragraphe 7 confirme que le projet de code, la modification ou la prorogation respecte le présent règlement ou, dans la situation visée au paragraphe 3, qu'il offre des garanties appropriées, et si le code de conduite en question ne porte pas sur des activités de traitement dans plusieurs États membres ou ne touche pas de manière substantielle la libre circulation des données à caractère personnel au sein de l'Union, l'autorité de contrôle enregistre le code et le publie.
9. Lorsque le projet de code de conduite approuvé porte sur des activités de traitement dans plusieurs États membres ou touche de manière substantielle la libre circulation des données à caractère personnel au sein de l'Union, l'autorité de contrôle le soumet à la Commission.
10. La Commission peut décider, par voie d'actes d'exécution, que le code de conduite approuvé qui lui a été soumis conformément au paragraphe 9 du présent article présente une validité générale au sein de l'Union. Ces actes d'exécution sont adoptés en conformité avec la procédure d'examen visée à l'article 93, paragraphe 2.
11. La Commission veille à ce que les codes de conduite approuvés présentant une validité générale conformément au paragraphe 10 fassent l'objet d'une publicité appropriée. »
Ce texte établit le mécanisme d'élaboration, d'approbation et de publication des codes de conduite, ainsi que leur champ d'application, les thématiques qu'ils peuvent couvrir et les procédures de validation par les autorités de contrôle et la Commission européenne.
Objectifs et portée des codes de conduite
Les codes de conduite poursuivent plusieurs objectifs complémentaires. Ils permettent d'adapter les principes généraux du RGPD aux spécificités de secteurs d'activité particuliers, tels que la santé, l'assurance, la publicité en ligne, les ressources humaines ou les services financiers. Ils facilitent également la mise en conformité des micro, petites et moyennes entreprises, qui peuvent rencontrer des difficultés à appréhender les exigences techniques et juridiques du RGPD.
Les codes de conduite peuvent préciser l'application du RGPD dans de nombreux domaines énumérés au paragraphe 2 de l'article 40, notamment le traitement loyal et transparent des données, les intérêts légitimes poursuivis par les responsables de traitement, la pseudonymisation, l'information des personnes concernées, l'exercice des droits, la protection des enfants, les mesures de sécurité, la notification des violations de données et les transferts internationaux de données.
Les organisations adhérentes à un code de conduite approuvé peuvent invoquer cette adhésion comme élément de démonstration de leur conformité au RGPD, conformément au principe d'accountability. L'adhésion à un code de conduite peut également constituer un argument commercial et un gage de confiance pour les personnes concernées et les partenaires commerciaux.
Élaboration et approbation des codes de conduite
Les codes de conduite peuvent être élaborés par des associations, des fédérations professionnelles ou d'autres organismes représentant des catégories de responsables de traitement ou de sous-traitants. Le paragraphe 2 de l'article 40 prévoit que ces organismes peuvent élaborer, modifier ou proroger des codes de conduite, sous réserve de leur approbation par l'autorité de contrôle compétente.
Le projet de code de conduite doit être soumis à l'autorité de contrôle compétente en vertu de l'article 55 ou 56 du RGPD, qui rend un avis sur sa conformité avec le règlement et l'approuve s'il offre des garanties suffisantes et appropriées. Cette procédure d'approbation garantit que les codes de conduite respectent les exigences du RGPD et ne prévoient pas de dispositions moins protectrices que celles prévues par le règlement.
Lorsque le projet de code de conduite porte sur des activités de traitement dans plusieurs États membres, il doit être soumis au Comité européen de la protection des données (CEPD) selon la procédure de cohérence prévue à l'article 63 du RGPD. Le CEPD rend un avis sur la conformité du projet avec le RGPD. Si le code de conduite porte sur des activités de traitement dans plusieurs États membres ou touche de manière substantielle la libre circulation des données au sein de l'Union, il doit être soumis à la Commission européenne, qui peut décider par voie d'actes d'exécution de lui conférer une validité générale au sein de l'Union.
Codes de conduite et transferts internationaux de données
Le paragraphe 3 de l'article 40 prévoit une utilisation particulière des codes de conduite dans le contexte des transferts internationaux de données personnelles vers des pays tiers ou des organisations internationales. Les codes de conduite approuvés peuvent être appliqués par des responsables de traitement ou des sous-traitants situés en dehors de l'Union européenne, afin de fournir des garanties appropriées au sens de l'article 46, paragraphe 2, point e) du RGPD.
Dans ce cadre, les responsables de traitement ou sous-traitants situés dans des pays tiers doivent prendre un engagement contraignant et exécutoire, par le biais d'instruments contractuels ou d'autres instruments juridiquement contraignants, d'appliquer les garanties prévues par le code de conduite, y compris en ce qui concerne les droits des personnes concernées. Ce mécanisme constitue une alternative aux clauses contractuelles types (CCT) et aux règles d'entreprise contraignantes (BCR) pour encadrer les transferts de données vers des pays tiers ne bénéficiant pas d'une décision d'adéquation.
Mécanismes de contrôle et de suivi des codes de conduite
Le paragraphe 4 de l'article 40 impose que les codes de conduite contiennent des mécanismes permettant à un organisme indépendant de procéder au contrôle obligatoire du respect de leurs dispositions par les responsables de traitement ou sous-traitants adhérents. Ces organismes de suivi, visés à l'article 41 du RGPD, doivent être accrédités par l'autorité de contrôle compétente et disposer de l'expertise et de l'indépendance nécessaires pour assurer le contrôle effectif du respect du code de conduite.
Les mécanismes de contrôle peuvent inclure des audits périodiques, des procédures de réclamation, des sanctions en cas de non-respect des engagements souscrits, ainsi que des obligations de reporting auprès de l'organisme de suivi et de l'autorité de contrôle. Ces mécanismes garantissent l'effectivité du code de conduite et la crédibilité de l'adhésion des organisations.
Articulation avec les autres dispositions du RGPD
Les codes de conduite s'articulent avec de nombreuses dispositions du RGPD. Ils peuvent préciser l'application des principes relatifs au traitement des données (article 5), les bases légales du traitement (article 6), les conditions du consentement (article 7), les mesures de protection des données dès la conception et par défaut (article 25), les obligations du responsable du traitement (article 24), les mesures de sécurité (article 32) ou encore les transferts internationaux de données (articles 44 à 50).
L'adhésion à un code de conduite approuvé peut être prise en compte par les autorités de contrôle dans l'appréciation de la conformité de l'organisation et dans la détermination du montant des sanctions administratives en cas de manquement, conformément à l'article 83, paragraphe 2, point j) du RGPD.
Jurisprudence relative à l'article 40
À ce jour, peu de codes de conduite ont été approuvés au niveau européen depuis l'entrée en application du RGPD en 2018, en raison de la complexité de la procédure d'élaboration et d'approbation. Néanmoins, plusieurs projets sectoriels sont en cours d'examen par les autorités de contrôle nationales et le Comité européen de la protection des données (CEPD).
La CNIL française a approuvé plusieurs codes de conduite sectoriels, notamment dans le domaine de la recherche biomédicale, des études de marché et de la gestion des ressources humaines. Ces codes de conduite fournissent des lignes directrices pratiques et des modèles de documentation adaptés aux spécificités de chaque secteur, facilitant la mise en conformité des organisations adhérentes.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données (CEPD) a adopté les lignes directrices 1/2019 relatives aux codes de conduite et organismes de suivi en application du règlement (UE) 2016/679. Ces lignes directrices précisent les conditions d'élaboration, d'approbation et de suivi des codes de conduite, ainsi que les exigences d'accréditation des organismes de suivi prévus à l'article 41 du RGPD.
La CNIL encourage les associations professionnelles et les secteurs d'activité à élaborer des codes de conduite adaptés à leurs spécificités, afin de faciliter la mise en conformité de leurs membres et de renforcer la confiance des personnes concernées. Elle recommande aux porteurs de projets de code de conduite de consulter l'autorité de contrôle en amont de la rédaction du code, afin d'identifier rapidement les éventuelles difficultés et de garantir la conformité du projet avec le RGPD.
Le CEPD insiste également sur l'importance des mécanismes de contrôle et de suivi, qui conditionnent l'effectivité du code de conduite et la crédibilité de l'adhésion des organisations. Un code de conduite dépourvu de mécanismes de contrôle efficaces ne peut prétendre offrir des garanties suffisantes et appropriées au sens du RGPD.
Implications pratiques pour les responsables de traitement
Pour les organisations, l'adhésion à un code de conduite approuvé peut faciliter la mise en conformité au RGPD en fournissant des lignes directrices pratiques, des modèles de documentation et des bonnes pratiques adaptées aux spécificités de leur secteur d'activité. L'adhésion à un code de conduite peut également renforcer la confiance des personnes concernées et des partenaires commerciaux, et constituer un élément de démonstration de la conformité en cas de contrôle de l'autorité compétente.
Les organisations adhérentes doivent toutefois veiller à respecter effectivement les engagements souscrits dans le cadre du code de conduite, sous peine de sanctions par l'organisme de suivi ou par l'autorité de contrôle. L'adhésion à un code de conduite ne dispense pas l'organisation de ses autres obligations au titre du RGPD, mais constitue un complément utile à la démarche globale de conformité.
L'article 40 du RGPD institue le mécanisme des codes de conduite, outils d'autorégulation et de responsabilisation permettant aux secteurs d'activité et aux catégories de responsables de traitement d'élaborer des règles spécifiques adaptées à leurs particularités. Les codes de conduite doivent être approuvés par les autorités de contrôle et peuvent couvrir de nombreux aspects de l'application du RGPD. Ils peuvent également servir de garanties appropriées pour les transferts internationaux de données. Pour les organisations, l'adhésion à un code de conduite approuvé facilite la mise en conformité, renforce la confiance et constitue un élément de démonstration de l'accountability, sous réserve du respect effectif des engagements souscrits et du contrôle par un organisme de suivi accrédité.