Certifications et codes de conduite dans le RGPD : un procédé encore sous-exploitée ?

 
edited.jpg
 
 

Suite à l’entrée en vigueur du RGPD, la CNIL a cessé son activité de labélisation, laquelle sera désormais remplacée par un mécanisme de certification, très largement externalisé, au profit de tiers certificateurs agréés.

Non moins intéressante est la revalorisation qu’opère ce même règlement, de la notion de code de conduite, outil encore trop méconnu, alors qu’il présente pourtant des intérêts multiples.

L’on va donc s’intéresser ici successivement à ces deux objets juridiques, et tâcher de comprendre les usages qui pourraient en être tirés, autant que l’appropriation éventuelle qui pourrait en être faite par les acteurs du traitement de données.

De la labélisation à la certification

Introduite par les article 42 et 43 du RGPD, la notion de certification n’a pas d’équivalent dans la directive 95/46/CE. Jusqu’au 25 mai 2018, c’est une activité de labélisation, aujourd’hui devenue caduque, que pratiquait la CNIL (certains labels perdureront encore jusqu’en 2021).

Le nouveau mécanisme de certification introduit par le RGPD s’inscrit pour une part dans la continuité de cette pratique, avec certaines différences notables.

Par définition, la certification fait intervenir un tiers, indépendant et impartial, en la personne d’un organisme certificateur, ayant lui-même reçu de la CNIL un agrément, à la différence du label qui était uniquement délivré par la CNIL. Au delà du pouvoir certain dont jouiront les organismes dont il est ici question — lesquels devront néanmoins satisfaire des exigences assez lourdes — ce mécanismes aura sans doute pour conséquence libérer le recours à ce type de procédure, désormais décentralisée. Le RGPD envisage celle-ci dans un cadre plus large, comme un véritable outil de droit dérivé, au service de la mise en application de ce texte de portée générale.

Certes, conformément aux dispositions de l’article 42 du RGPD, la CNIL conserve la possibilité de procéder elle-même à des certifications, à l’instar de la Commission et du Comité européen de protection des données. Toutefois, l’on peut se demander si l’externalisation opérée du fait du recours aux organismes tiers n’aura pas pour conséquence de rendre cette pratique plus parcimonieuse.

Une autre innovation intéressant en la matière est l’institution d’un label européen de protection des données, lequel pourra être décerné par le Comité, lorsqu’il sera saisi d’une demande de certification.

La CNIL a déjà élaboré un référentiel de certification des compétences du DPO, et est actuellement en cours d’examen des candidatures en ce qui concerne la désignation des organismes certificateurs.

D’autres référentiels suivront certainement.

Les codes de conduites: une nouvelle impulsion donnée par le RGPD

A la différence de la certification, le code de conduite n’est pas une nouveauté, puisque l’article 27 de la directive 95/46/CE instituait déjà un tel mécanisme, à travers des dispositions très similaires.

Le principe, aujourd’hui formulé à l’article 40 du RGPD, est resté le même : la Commission, les Etats membres et les autorités de contrôle encouragent la rédaction de codes de conduite, destinés à offrir  aux acteurs qui y adhèrent une garantie renforcée du respect du RGPD et des règles en matière de protection des données.

L’essor du RGPD, la logique de responsabilisation des acteurs, que ce texte induit, ainsi que la disparition de l’activité de labélisation de la CNIL, pourraient donner un second souffle à cet outil juridique, à notre sens encore sous-exploité, d’autant plus que, comme pour la plupart des notions déjà présentes dans la directive, ce texte en a considérablement enrichi le contenu, et précisé la portée.

Mais qu’est-ce qu’un code de conduite? à quoi sert ce genre de texte, et dans quelles conditions est-il élaboré et appliqué?

C’est maintenant ce à quoi l’on va tâcher de s’intéresser.

L’élaboration, l’approbation et le contrôle de l’application des codes de conduite

Conformément à l’article 40.2 du RGPD, l’élaboration des codes de conduite est réservée aux associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants. En application de l’alinéa précédent, les codes de conduite ont vocation à être soit sectoriels, destinés à une catégorie des responsables du traitement dans un secteur de traitement donnée, soit répartis par taille de structure (micro-entreprise, petite ou moyenne structure).

La notion de secteur de traitement à laquelle se réfère le texte européen doit sans doute être entendue d’un point de vue juridique, comme l’ensemble des responsables du traitement concernés par les mêmes problématiques, plutôt que d’un point de vue économique, comme un secteur d’activité au sens propre. Bien que certains professions puissent constituer à elles-seules un secteur à part entière, tels que les avocats, ou les médecins, d’autres secteurs de traitements pourraient être transversaux, tels que le domaine des traitements RH, le e-commerce, les activités déclaratives en matière d’AT MP.

Par conséquent, les personnes morales compétentes sont les associations qui représentent ces catégories de responsables de traitement. Pour les catégories précédemment mentionnées, les associations de DRH, les fédérations de e-commerce et de vente à distance, ou bien encore les institutions ordinales (pour les avocats et les médecins),

Les odes de conduite, spontanément élaborés par les acteurs précités, ont ensuite vocation à être officiellement approuvés. Cette approbation s’opère d’abord au niveau national. En France, elle est le fait de la CNIL (article 40.5 du RGPD). Si les activités concernées par le code de conduite en cause ne concernent que des traitements de données opérés en France, la CNIL procède ensuite elle-même à la publication du code de conduite une fois celui-ci approuvé (article 40.6). Dans le cas contraire, le projet est envoyé, avant approbation, au Comité européen de protection des données, lequel peut, dans le cas d’un avis positif, soumettre à son tour celui-ci à la Commission, qui peut à son tour décider de rendre le règlement applicable au niveau européen (article 40.7 et 40.8).

En ce qui concerne le contrôle de la bonne application des codes de conduite, celui-ci est assuré de manière indépendante par un organisme tiers, agréé par la CNIL dans des conditions assez proche de celles qui prévalent pour la procédure de certification (article 41 du RGPD). Afin de bénéficier d’un tel agrément, qui n’est valable que pour une durée de trois ans, l’organisme en question doit justifier, non seulement, d’une expertise technique reconnue, mais encore, de garanties d’indépendance, et de l’absence de conflits d’intérêt.

A ce sujet l’article 40.4 précise d’ailleurs que le code de conduite doit contenir des stipulations concernant les pouvoirs de ce tiers certificateur, et les modalités d’exercice de son contrôle.

Ce tiers agréé n’est pas forcément le même que l’association ou la fédération représentative chargée de l’élaboration du code de conduite. Toutefois, une telle possibilité n’est pas exclue, pourvue que l’association en cause satisfasse les critères concernés.

Les codes de conduite: quel intérêt et quels usages?

De la même manière que les processus de certification, le RGPD conçoit les codes de conduite, comme des outils de droit dérivé servant, dans la continuité de ce texte, à en ajuster les exigences à chaque conteste sectoriel.

Ces codes ont en effet pour vocation de reprendre les principales exigences du RGPD, lesquelles sont formulées en des termes abstraits et généraux, afin de les adapter à chaque contexte spécifique, et d’offrir aux responsables du traitement des outils d’interprétation pratique directement applicables (voir en cela l’exposé des motifs du RGPD (98) et (168)).

Pour les responsables du traitement, l’intérêt de tels instruments juridiques est multiple — au moins triple — et s’inscrit tout à fait dans la logique de contrôle diffus, mais permanent, instauré par le règlement.

Tout d’abord, l’élaboration de tels codes par secteurs (ou par tailles d’entreprises) revient à économiser un effort d’interprétation. Prenons quelques exemples: comment savoir, pour un DRH, à quelles étapes des traitements des fichiers de déclarations d’accident du travail, il doit souscrire, et le cas échéant renouveler ses obligations d’information auprès des salariés, dont il collecte les données? Comment déterminer pour tel type de commerce en ligne la durée de conservation adéquate des fichiers clients, et surtout, mettre celle-ci en cohérence avec les obligations légales de conservation des preuves? (-encore faut-il les connaître… ), pour un avocat comment faire cohabiter harmonieusement obligations RGPD et secret professionnel? Voilà autant de questions auxquelles les codes de conduite pourraient, en amont, apporter des réponses circonstanciées, avec l’appui de la CNIL. En cela, de tels codes seraient un peu les héritiers des déclarations simplifiées, autrefois applicables sous le régime des obligations déclaratives.

Ensuite, les codes de conduite répondent bien évidemment à un souci de documentation et de preuve au service de la démonstration d’une conformité, dans la logique RGPD d’auto-contrôle permanent. L’article 35.8 du RGPD ne manque d’ailleurs pas de préciser que la souscription aux obligations d’un tel code peut fournir une preuve de conformité supplémentaire dans le cadre de l’analyse d’impact.

Enfin — et c’est sans doute là un aspect moins évident mais non moins intéressant — l’usage de codes de conduite pourrait offrir à certains acteurs vertueux l’occasion d’assumer un rôle moteur, d’initier le processus de codification, voir d’être associé à son élaboration, dans le souci de permettre un meilleure prise en compte des droits des personnes intéressées à un secteur.

***

Un peu moins d’un an après l’adoption du RGPD, ce texte recèle encore des ressources et des potentialités. Alors qu’à ce stade, certaines des notions clef de ce texte sont maintenant solidement ancrées dans la pratique, le domaine les procédures de certification et d’élaboration de codes de conduite apparaît encore loin d’avoir atteint sa maturité. A ce jour, la CNIL n’a d’ailleurs pas encore publié de liste des organismes agréés pour procéder à des certification…

Reste encore à déterminer si l’impulsion nouvelle donnée par le RGPD permettra une véritable appropriation de ces notions par les acteurs dans le domaine de la protection des données…