Réponse

Le principe de responsabilité est un pilier du règlement général sur la protection des données. Selon le RGPD, il relève de la responsabilité d’une entreprise/organisation de respecter tous les principes de la protection des données et de démontrer ce respect. Le RGPD fournit aux entreprises/organisations un ensemble d’outils pour les aider à démontrer leur responsabilité, dont certains doivent obligatoirement être mis en place.

Par exemple, dans certains cas, la désignation d’un DPD ou l’analyse d’impact relative à la protection des données peut être obligatoire. Les responsables du traitement des données peuvent choisir de recourir à d’autres outils, tels que les codes de conduite et les mécanismes de certification, pour démontrer le respect des principes de protection des données.

Vous pouvez appliquer un code de conduite préparé par une association d’entreprises qui a été approuvé par une APD. Un code de conduite peut bénéficier d’une validité dans l’ensemble de l’UE grâce à un acte d’exécution de la Commission.

Vous pouvez appliquer un mécanisme de certification géré par un des organismes de certification ayant reçu l’agrément d’une APD ou d’un organisme national d’accréditation, voire des deux, selon le droit en vigueur dans chaque État membre de l'UE.

Les codes de conduite et la certification sont des instruments facultatifs. La décision revient donc à votre entreprise/organisation d’appliquer un code de conduite donné ou de demander une certification ou non. Alors que votre entreprise/organisation doit toujours respecter le RGPD, l’application de ces instruments peut être remise en question en cas de mesure répressive à votre encontre pour une violation du RGPD.

Exemple

L’autorité de contrôle a approuvé un code de conduite pour l’organisme-cadre des assureurs de l'Etat membre de l'UE de votre entreprise/organisation. Un certain nombre de compagnies d’assurance concurrentes ont appliqué ce code. Bien que cette application soit volontaire, elle permet de démontrer le respect du RGPD.

Références

  • Articles 24, 40 à 43 et 83 et considérants 98), 99), 100), 148), 150) et 151) du RGPD