La publication par la CNIL, début février 2020, de fiches explicatives sur les codes de conduite est l’occasion de faire un point sur le déploiement et le fonctionnement de cet « outil de conformité », c’est-à-dire un des outils offerts par le RGPD pour gérer et démontrer sa conformité [1].
Rappelons que la démonstration de sa conformité par un organisme procède du principe cardinal du RGPD qu’est l’accountability. Alors que ce terme anglais, sans correspondance littérale en français, est généralement traduit sous les mots « responsabilité » ou « responsabilisation » (par exemple par le Comité européen à la protection des données – CEPD), la CNIL choisit d’adopter une position inédite en présentant le code de conduite comme un « outil de redevabilité ». Ce vocable, qui ne relève pas officiellement de la langue française, préserve toutefois le principal aspect induit par le principe d’accountability : avoir le devoir de quelque chose, en l’occurrence le devoir d’être en mesure de rendre des comptes relativement à sa conformité.
Un code de conduite permet à ses adhérents de démontrer leur conformité en attestant de la validité des pratiques mises en place. Plusieurs caractéristiques font sa spécificité, notamment par rapport aux autres outils de la conformité.
Contrairement, par exemple, au Registre des traitements qui est un outil de conformité unique à chaque Responsable de traitement, le code de conduite est donc un outil de conformité sectoriel, et donc commun à plusieurs Responsables de traitement.
De même, alors que la mise en place du Registre des traitements apparaît dans la majorité des cas comme une obligation, le code de conduite procède toujours d’une démarche volontaire : chaque organisme est libre d’adhérer ou non à un code de conduite qui régirait son secteur d’activité.
L’un des objectifs du code de conduite, explicitement promu par le RGPD, est de faciliter la mise en conformité au RGPD des micros, petites et moyennes entreprises, en ayant déjà réalisé pour elles tout le travail de « transposition » des exigences du RGPD à leur secteur d’activité. Ces professionnels, qui manquent bien souvent de ressources pour prendre à bras le corps le RGPD, bénéficient ainsi, avec le code de conduite, d’un guide pratique sur ce qu’il faut faire et ne pas faire pour respecter les droits et libertés des personnes dont les données personnelles font l’objet d’un traitement dans le cadre du secteur d’activité concerné : durées de conservation, bases légales, mentions d’informations, recueil du consentement, clauses contractuelles, mesures de sécurité, tout est fixé en amont par le code de conduite, à charge pour les adhérents d’appliquer tous ces « standards ».
Le code de conduite apparaît comme un instrument juridiquement contraignant. Une fois qu’un organisme y a adhéré, il a obligation de s’y conformer intégralement et d’accepter qu’un organisme tiers puisse contrôler le respect de cette obligation.
Si le code est principalement constitué de bonnes pratiques, cela ne signifie pas qu’il s’agit simplement d’un guide, d’une liste de recommandations. Les bonnes pratiques doivent être implémentées et respectées, et leur violation peut engendrer une sanction : l’organisme tiers de contrôle de l’application du code est en effet habilité par l’article 41 du RGPD à « notamment suspendre ou exclure le Responsable du traitement ou le Sous-traitant concerné ».
Notons que le non-respect du code de conduite ne signifie pas, de façon automatique, le non-respect du RGPD et, réciproquement, l’adhésion à un code ne garantit aucunement la conformité au RGPD. La CNIL garde ainsi toute latitude d’action dans le cadre de ses missions de contrôle et n’est aucunement tenue ou restreinte par l’adhésion à un code de conduite, même si l’article 83 j) du RGPD l’invite à prendre en compte une telle adhésion lorsqu’elle détermine le bien-fondé et le montant d’une sanction financière.
Seule une organisation professionnelle représentative d’un secteur d’activité (fédération, association, syndicat) peut être l’auteur et le soumissionnaire du code.
Deux éléments semblent devoir être réunis : représenter un secteur d’activité, c’est-à-dire un champ d’activité objectivement identifiable et circonscrit comme tel, et représenter des catégories de Responsable de traitement ou de Sous-traitants relevant de ce secteur d’activité. Cette légitimité à être « le porteur du code » peut être démontrée par un faisceau d’indices ; la CNIL dispose ainsi qu’elle tiendra notamment compte du nombre de membres et de l’expertise dont peut faire état l’organisation représentative, ainsi que du nombre potentiel d’adhérents au code. En outre, à la soumission du projet, il faudra rendre compte d’une phase de consultation des membres représentés.
Comme indiqué précédemment, un adhérent doit accepter de se soumettre au code ainsi que, par extension, au contrôle d’une entité tierce habilitée par l’Autorité de contrôle nationale. Pour obtenir cet agrément, l’article 41 2. a) du RGPD fixe deux critères dont doit se prévaloir l’entité : une indépendance à l’égard des acteurs du secteur d’activité et une expertise au regard de l’objet du code.
L’objectif de l’organisme de contrôle est en premier lieu de vérifier, par le biais d’audit RGPD (en amont de l’adhésion puis à intervalles réguliers), que les entités adhérentes se conforment bien aux pratiques préconisées par le code de conduite.
Précision importante, indiquée à l’article 41 6. du RGPD : les autorités et organismes publics ne sont pas soumis à de tels contrôles dans le cas où ils auraient adhéré à un code de conduite. La CNIL en conclut qu’un code de conduite dédié au secteur public n’aura donc pas besoin de désigner un organisme de contrôle.
Parmi les différents éléments requis pour qu’un projet puisse valablement faire l’objet d’une soumission à la CNIL, nous pointons l’importance des points suivants :
Les projets de codes nationaux sont examinés et approuvés par la CNIL alors que les projets de codes européens sont soumis à trois paliers de consultation/approbation : auprès de l’Autorité de contrôle nationale, puis auprès de l’ensemble des autres Autorités de contrôle de l’UE, et enfin auprès du CEPD.
Actuellement, seuls quelques codes de conduite ont été autorisés, dont une partie a été élaborée et évaluée antérieurement au RGPD, par l’ancien « Groupe de travail Article 29 » et sur la base de l’ancienne réglementation (Directive 95/46/CE).
Nous trouvons ainsi des codes d’envergure transnationale, soumis en dernière instance à l’approbation du CEPD, par exemple le « European Code Of Practice For The Use Of Personal Data In Direct Marketing ». Nous trouvons ensuite des codes d’envergure nationale, soumis à l’approbation de l’Autorité de contrôle référente, telle que, par exemple, l’Autorité italienne (le « Code of Ethics and Conduct in Processing Personal Data for Business Information Purposes » et le « Code of Conduct for Consumer Credit Agencies ») ou l’Autorité slovaque (le « Code of Conduct for processing of personal data by lawyers »).
Plusieurs initiatives sont en cours, transnationales comme celles de la European Gaming and Betting Association ou de la Fédération européenne des sociétés de recherche clinique, et nationales comme celles, en Allemagne, de la Cloud Security Alliance ou, en France, de la Fédération hospitalière de France qui travaille actuellement avec la CNIL à l’élaboration d’un code de conduite à l’égard des établissements sanitaires et médico-sociaux. Selon les mots de Marie-Laure Denis, Présidente de la CNIL, il s’agira du premier code mis en place à destination du secteur public (français).
D’autres projets sont portés en France, par exemple par des laboratoires de biologie médicale ou encore des services mandataires à la protection des majeurs mais l’on peut constater que ces démarches restent cantonnées au champ médico-social, c’est-à-dire un secteur déjà très cadré par des réglementations spécifiques qui facilitent la mise en place d’un standard sectoriel. La question se pose de la capacité d’un code de conduite à encadrer un secteur d’activité bien plus soumis à sa propre expertise pour définir les différents éléments à respecter (durée de conservation, collecte ou non du consentement, règles de partage des données, etc.), ou d’un secteur déjà incertain quant à ses contours et à l’organisation représentative la plus légitime pour porter le projet de code.
A l’heure actuelle, aucun code de conduite n’a été approuvé par la CNIL, du moins référencé sur son site internet comme le prévoit le processus d’approbation. En France, le Code de conduite reste un outil de conformité en friche. Du reste, la CNIL n’a pas encore mené à terme le processus d’élaboration de son référentiel d’agrément des organismes de contrôle des codes de conduites et de sa validation par le CEPD (qui vient tout juste de valider le référentiel de l’ICO, en décembre 2019).
Les fiches explicatives publiées par la CNIL sont donc les bienvenues, mais ne constituent pas la clé de voûte nécessaire au potentiel essor des codes de conduite.
Le code de conduite présage d’une forte valeur ajoutée :
L’avenir de ces précieux outils de conformité est encore à dessiner, et plus ou moins lointain. De leur côté, les organismes privés et publics sont déjà en pleine structuration de leur conformité, et c’est là toute la force d’un cabinet de conseil opérationnel spécialisé dans la protection des données personnelles : les consultants de DPO Consulting sont vos outils de mise en conformité, et bien plus.
Par François Michaux
A lire en complément cet article sur le sous traitant RGPD
[1]cnil.fr/fr/le-code-de-conduite
cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article40
edpb.europa.eu/our-work-tools/public-consultations/2019/guidelines-12019-codes-conduct-and-monitoring-bodies-under_fr