L’organisme de contrôle désigné par le code de conduite

07 février 2020

La bonne application du code par les adhérents est garantie par l’intervention d’un organisme tiers au porteur du code.

Quel est le rôle de cet organisme de contrôle ?

Lors de l’élaboration d’un code de conduite, le porteur du code doit organiser le suivi du code après son approbation. Pour ce faire, le RGPD prévoit l’intervention d’un organisme dédié dont la mission n’interfère pas avec celle des autorités de contrôle.

Ainsi, un code peut prévoir la mise en place d’un comité interne au porteur du code ou le recours à un ou plusieurs organismes tiers qui vérifieront à intervalles réguliers que le code est bien appliqué par les adhérents.

Cet organisme interne ou externe, qui devra être agréé par la CNIL, effectuera un audit préalable à l’adhésion au code de conduite, des audits réguliers après adhésion au code de conduite, prendra des mesures appropriées en cas de violation du code telles que la suspension ou l’exclusion de l’adhérent au code et participera à la mise à jour du code de conduite.

Les lignes directrices relatives aux codes de conduite adoptées par Comité européen à la protection des données (CEPD) fournissent également des explications et exemples pratiques quant aux conditions de désignation de cet organisme.


Comment devenir organisme de contrôle ?

Vous pouvez devenir un organisme de contrôle d’un code de conduite sectoriel si vous remplissez les trois critères suivants:

  1. Le code de conduite de référence a été approuvé par la CNIL  ou est en cours d’approbation.
  2. Vous avez été désigné par ce code de conduite.
  3. Vous remplissez les exigences définies par le référentiel d’exigence de la CNIL afin d’être agréé.

Comment obtenir l’agrément d’organisme de contrôle ?

En complément des exigences prévues par le code de conduite, l’organisme demandeur doit démontrer:

  • son indépendance vis-à-vis du porteur du code et des adhérents à ce dernier ;
  • l’absence de conflits d’intérêts dans l’exercice de ses missions ;
  • son expertise dans le domaine du droit de la protection des données personnelles et du secteur d’activité visé par le code ;
  • l’existence de structures et procédures de contrôle dédiées à l’évaluation régulière des responsables de traitement et des sous-traitants antérieurement et postérieurement à l’adhésion au code de conduite de ceux-ci ;
  • l’existence et la transparence de la procédure de traitements des plaintes ;

L’ensemble de ces exigences sont précisées par le référentiel d’agrément de la CNIL qui sera publié prochainement, dès avis favorable du CEPD.

Les mots clés associés à cet article