L'article 41 du Règlement général sur la protection des données (RGPD) établit le cadre juridique des organismes chargés de suivre le respect des codes de conduite approuvés en application de l'article 40. Ces organismes de suivi jouent un rôle essentiel dans le mécanisme d'autorégulation instauré par le RGPD, en garantissant que les responsables de traitement et sous-traitants adhérents respectent effectivement les engagements souscrits dans le cadre du code de conduite.
Sans mécanisme de contrôle effectif, les codes de conduite ne pourraient prétendre offrir des garanties suffisantes et appropriées au sens du RGPD. L'article 41 impose donc que les organismes de suivi soient accrédités par l'autorité de contrôle compétente, qu'ils disposent d'un niveau suffisant d'expertise en matière de protection des données et qu'ils établissent des procédures de contrôle et de révocation de l'adhésion des organisations ne respectant pas le code de conduite.
L'accréditation des organismes de suivi constitue une garantie de leur indépendance, de leur compétence et de leur impartialité dans l'exercice de leurs missions de contrôle. Elle est délivrée par l'autorité de contrôle compétente ou, lorsque le code de conduite concerne des activités de traitement dans plusieurs États membres, par le Comité européen de la protection des données (CEPD) selon la procédure de cohérence prévue à l'article 63 du RGPD.
Texte officiel de l'article 41 du RGPD
L'article 41 du RGPD dispose notamment que :
« 1. Sans préjudice des missions et pouvoirs de l'autorité de contrôle compétente en vertu des articles 55 et 56, un organisme qui dispose d'un niveau approprié d'expertise au regard de l'objet du code de conduite et qui est accrédité à cet effet par l'autorité de contrôle compétente peut contrôler le respect du code par les responsables du traitement ou les sous-traitants qui s'engagent à l'appliquer.
2. L'organisme visé au paragraphe 1 peut être accrédité pour contrôler le respect du code de conduite lorsque cet organisme : a) a démontré de manière indépendante qu'il possède l'expertise nécessaire au regard de l'objet du code ; b) a établi des procédures qui lui permettent d'évaluer l'applicabilité du code aux responsables du traitement et aux sous-traitants concernés, de suivre le respect de ses dispositions par ceux-ci et d'examiner périodiquement son application ; c) a établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes pour les personnes concernées et le public ; et d) a démontré de manière indépendante qu'il ne se trouve pas dans une situation de conflit d'intérêts avec le responsable du traitement ou le sous-traitant qui relève du contrôle.
3. L'autorité de contrôle compétente soumet le projet de critères d'accréditation d'un organisme visé au paragraphe 1 du présent article au comité conformément au mécanisme de contrôle de la cohérence visé à l'article 63.
4. Sans préjudice des missions et pouvoirs de l'autorité de contrôle compétente et des dispositions du chapitre VIII, l'organisme visé au paragraphe 1 du présent article, sous réserve des garanties appropriées, prend les mesures appropriées dans les cas où les dispositions du code ne sont pas respectées par un responsable du traitement ou un sous-traitant, y compris la suspension ou l'exclusion du responsable du traitement ou du sous-traitant du code de conduite. Il informe l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.
5. L'autorité de contrôle compétente révoque l'accréditation d'un organisme visé au paragraphe 1 si les conditions d'accréditation ne sont pas ou plus remplies ou si les mesures prises par l'organisme enfreignent le présent règlement.
6. Le présent article ne s'applique pas au traitement effectué par les autorités publiques et les organismes publics. »
Ce texte établit les conditions d'accréditation des organismes de suivi, leurs missions de contrôle du respect des codes de conduite, leurs pouvoirs en cas de non-respect des engagements souscrits et les conditions de révocation de leur accréditation par l'autorité de contrôle compétente.
Conditions d'accréditation des organismes de suivi
Le paragraphe 2 de l'article 41 énumère les quatre conditions cumulatives que doit remplir un organisme pour être accrédité en tant qu'organisme de suivi d'un code de conduite. L'organisme doit d'abord démontrer de manière indépendante qu'il possède l'expertise nécessaire au regard de l'objet du code. Cette expertise inclut une connaissance approfondie du secteur d'activité concerné, du cadre juridique applicable en matière de protection des données et des bonnes pratiques en matière de conformité RGPD.
L'organisme doit ensuite établir des procédures permettant d'évaluer l'applicabilité du code aux responsables de traitement et sous-traitants concernés, de suivre le respect de ses dispositions et d'examiner périodiquement son application. Ces procédures doivent garantir un contrôle effectif et régulier du respect du code par les organisations adhérentes, au moyen d'audits, d'inspections ou d'autres mécanismes de vérification adaptés.
L'organisme doit également établir des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont il a été appliqué par un responsable de traitement ou un sous-traitant. Ces procédures doivent être transparentes pour les personnes concernées et le public, garantissant ainsi un accès effectif au mécanisme de réclamation et une gestion impartiale des litiges.
Enfin, l'organisme doit démontrer de manière indépendante qu'il ne se trouve pas dans une situation de conflit d'intérêts avec les responsables de traitement ou sous-traitants qu'il contrôle. Cette exigence garantit l'indépendance et l'impartialité de l'organisme dans l'exercice de ses missions de contrôle.
Procédure d'accréditation
L'accréditation des organismes de suivi est délivrée par l'autorité de contrôle compétente en vertu des articles 55 ou 56 du RGPD. Le paragraphe 3 de l'article 41 impose que l'autorité de contrôle soumette le projet de critères d'accréditation au Comité européen de la protection des données (CEPD) conformément au mécanisme de contrôle de la cohérence prévu à l'article 63 du RGPD.
Cette procédure de cohérence garantit l'harmonisation des critères d'accréditation au niveau européen et évite les divergences entre États membres susceptibles de créer des distorsions de concurrence ou des disparités dans le niveau de contrôle des codes de conduite. Le CEPD examine le projet de critères d'accréditation et peut formuler des observations ou recommandations avant l'adoption définitive par l'autorité de contrôle nationale.
Missions et pouvoirs des organismes de suivi
Le paragraphe 1 de l'article 41 confie aux organismes de suivi la mission de contrôler le respect du code de conduite par les responsables de traitement ou sous-traitants qui s'engagent à l'appliquer. Cette mission s'exerce sans préjudice des missions et pouvoirs de l'autorité de contrôle compétente, qui conserve l'intégralité de ses prérogatives de contrôle et de sanction prévues aux articles 55 et 56 du RGPD.
Le paragraphe 4 de l'article 41 confère aux organismes de suivi le pouvoir de prendre des mesures appropriées en cas de non-respect des dispositions du code par un responsable de traitement ou un sous-traitant adhérent. Ces mesures peuvent inclure la suspension ou l'exclusion du responsable de traitement ou du sous-traitant du code de conduite. L'organisme de suivi doit informer l'autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.
Ce mécanisme de sanction garantit l'effectivité du code de conduite et la crédibilité de l'adhésion des organisations. Une organisation ne respectant pas les engagements souscrits dans le cadre du code de conduite s'expose à une exclusion par l'organisme de suivi, ainsi qu'à d'éventuelles sanctions administratives par l'autorité de contrôle sur le fondement des dispositions du RGPD.
Procédures de traitement des réclamations
Le paragraphe 2, point c) de l'article 41 impose aux organismes de suivi d'établir des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont il a été appliqué par un responsable de traitement ou un sous-traitant. Ces procédures doivent être transparentes pour les personnes concernées et le public.
Les procédures de réclamation constituent un élément essentiel du mécanisme d'autorégulation instauré par le RGPD. Elles permettent aux personnes concernées et aux autres parties intéressées de signaler les manquements constatés et d'obtenir une réponse de l'organisme de suivi dans un délai raisonnable. Les réclamations peuvent conduire à des mesures correctives, à une suspension ou à une exclusion de l'organisation adhérente, ainsi qu'à un signalement à l'autorité de contrôle en cas de violation grave du RGPD.
Révocation de l'accréditation
Le paragraphe 5 de l'article 41 confère à l'autorité de contrôle compétente le pouvoir de révoquer l'accréditation d'un organisme de suivi si les conditions d'accréditation ne sont pas ou plus remplies, ou si les mesures prises par l'organisme enfreignent le RGPD. Cette disposition garantit que l'accréditation peut être retirée à un organisme de suivi ne remplissant plus les conditions d'expertise, d'indépendance ou de procédures de contrôle requises.
La révocation de l'accréditation constitue une sanction grave, susceptible de remettre en cause l'existence même du code de conduite si aucun organisme de suivi accrédité ne peut être désigné pour assurer le contrôle de son respect. Les organismes de suivi doivent donc veiller en permanence à maintenir le niveau d'expertise, d'indépendance et de procédures de contrôle requis par l'article 41 et par les critères d'accréditation établis par l'autorité de contrôle.
Exclusion du secteur public
Le paragraphe 6 de l'article 41 exclut explicitement l'application de cet article au traitement effectué par les autorités publiques et les organismes publics. Cette exclusion signifie que les codes de conduite applicables aux autorités publiques ne sont pas soumis à l'obligation de désigner un organisme de suivi accrédité. Le contrôle du respect de ces codes de conduite relève directement de l'autorité de contrôle compétente.
Cette exception se justifie par la nature particulière des traitements effectués par les autorités publiques, qui sont soumis à des mécanismes de contrôle spécifiques et à une responsabilité publique renforcée. Les codes de conduite applicables aux autorités publiques conservent toutefois leur utilité en tant qu'outils d'harmonisation des pratiques et de précision de l'application du RGPD dans le secteur public.
Articulation avec les autres dispositions du RGPD
L'article 41 s'articule étroitement avec l'article 40, qui établit le mécanisme des codes de conduite et prévoit que ceux-ci doivent contenir des mécanismes de contrôle obligatoire du respect de leurs dispositions. L'article 41 précise les conditions d'accréditation et les missions des organismes chargés d'assurer ce contrôle.
L'article 41 doit également être lu en lien avec les articles 55 et 56 du RGPD, qui définissent la compétence des autorités de contrôle et préservent leurs missions et pouvoirs en matière de contrôle et de sanction, indépendamment de l'existence d'un organisme de suivi accrédité. Les organismes de suivi complètent l'action des autorités de contrôle, mais ne se substituent pas à elles.
Jurisprudence relative à l'article 41
À ce jour, peu d'organismes de suivi ont été accrédités au niveau européen depuis l'entrée en application du RGPD en 2018, en raison de la complexité de la procédure d'accréditation et de l'exigence de garanties strictes en matière d'expertise, d'indépendance et de procédures de contrôle. Néanmoins, plusieurs projets d'accréditation sont en cours d'examen par les autorités de contrôle nationales et le Comité européen de la protection des données (CEPD).
La CNIL française a défini des critères d'accréditation des organismes de suivi des codes de conduite, précisant les exigences en matière d'expertise, d'indépendance, de procédures de contrôle et de traitement des réclamations. Ces critères ont été soumis au CEPD conformément à la procédure de cohérence prévue à l'article 63 du RGPD et constituent une référence pour les organismes candidats à l'accréditation.
Recommandations de la CNIL et du CEPD
Le Comité européen de la protection des données (CEPD) a adopté les lignes directrices 1/2019 relatives aux codes de conduite et organismes de suivi en application du règlement (UE) 2016/679. Ces lignes directrices précisent les conditions d'accréditation des organismes de suivi, les procédures de contrôle, les mécanismes de traitement des réclamations et les pouvoirs en cas de non-respect des engagements souscrits.
La CNIL recommande aux organismes candidats à l'accréditation de démontrer de manière rigoureuse leur expertise, leur indépendance et la robustesse de leurs procédures de contrôle et de traitement des réclamations. Elle encourage également les organismes de suivi à établir un dialogue régulier avec l'autorité de contrôle, afin de faciliter la coordination des actions de contrôle et de garantir la cohérence des pratiques.
Le CEPD insiste sur l'importance de la transparence des procédures de réclamation et de sanction, qui conditionnent la confiance des personnes concernées dans le mécanisme d'autorégulation instauré par les codes de conduite. Un organisme de suivi opaque ou inefficace ne peut prétendre offrir des garanties suffisantes et appropriées au sens du RGPD.
Implications pratiques pour les organismes de suivi
Pour les organismes candidats à l'accréditation, l'article 41 impose de démontrer de manière rigoureuse leur expertise, leur indépendance et la robustesse de leurs procédures de contrôle et de traitement des réclamations. Les organismes doivent formaliser leurs méthodes de contrôle, leurs critères d'évaluation de la conformité, leurs procédures de réclamation et leurs mécanismes de sanction en cas de non-respect des engagements souscrits.
Les organismes de suivi accrédités doivent veiller en permanence à maintenir le niveau d'expertise, d'indépendance et de procédures de contrôle requis par l'article 41 et par les critères d'accréditation établis par l'autorité de contrôle, sous peine de révocation de leur accréditation. Ils doivent également informer l'autorité de contrôle de toute mesure de suspension ou d'exclusion d'une organisation adhérente, ainsi que des raisons pour lesquelles ces mesures ont été prises.
L'article 41 du RGPD établit le cadre juridique des organismes chargés de suivre le respect des codes de conduite approuvés. Il impose l'accréditation de ces organismes par l'autorité de contrôle compétente, sous réserve de garanties strictes en matière d'expertise, d'indépendance, de procédures de contrôle et de traitement des réclamations. Les organismes de suivi disposent du pouvoir de prendre des mesures appropriées en cas de non-respect des engagements souscrits, y compris la suspension ou l'exclusion des organisations adhérentes. Pour les codes de conduite, l'existence d'un organisme de suivi accrédité est indispensable pour garantir leur effectivité et leur crédibilité, et pour offrir des garanties suffisantes et appropriées au sens du RGPD.