RGPD et codes de conduite : les exigences du G29

RGPD et codes de conduite : le G29 analyse la conformité des codes de conduites face aux exigences posées  par le RGPD, la lettre du G29 délivre les différents points à respecter.

A l’occasion de sa lettre du 10 avril 2017 (1), adressée à l’éditeur du projet de code de conduite « Privacy en santé mobile » (2) (3), le G29 a délivré ses commentaires relatifs à la conformité des codes de conduite, au regard des exigences posées par la directive de protection des données de 1995 et du RGPD, en dégageant un certain nombre de principes fondamentaux et généraux relatifs à leur élaboration.

Les commentaires du G29 constituent ainsi pour partie de véritables lignes directrices générales, dont le respect est indispensable à la réalisation et à l’approbation des codes de conduites européens qui ont vocation à prendre une importance considérable sous l’empire du RGPD entrant en vigueur en mai 2018.

Le rôle conféré par le RGPD aux codes de conduite

L’application du principe d’ « accountability » tel que défini par le RGPD impose :

• la mise en place par l’organisation concernée, d’un processus permanent et dynamique de mise en conformité ;
• de pouvoir rapporter la preuve des mesures de mise en conformité prises.

A cet effet, le RGPD prévoit des méthodologies permettant de démontrer la conformité de traitements sous la forme notamment de « certifications », de « labels » et en particulier, de « codes de bonne conduite » (4) dont l’application « (…) peut servir d’élément pour démontrer le respect des obligations incombant au responsable du traitement » (5) et qui pourront également être pris en compte par l’autorité de contrôle en cas de procédure contentieuse (6).

RGPD et codes de conduite : le processus d’approbation

Les projets de codes de conduite doivent être présentés pour approbation à l’autorité nationale de contrôle (ou à la Commission européenne après avis du comité européen de protection des données si le code de conduite concerne des activités de traitement menées dans plusieurs Etats membres), qui vérifie s’ils présentent des garanties appropriées suffisantes en vue du respect du RGPD.

C’est donc dans le cadre de ce processus qu’est intervenue la publication de la lettre du G29 sur le code de conduite sur le respect de la vie privée et les applications de santé mobile (M-Health) (1).

Une fois approuvés, ces codes de conduite peuvent être enregistrés, rendus publics et, sur décision de la Commission, être considérés comme d’application générale au sein de l’Union.
Quant au contrôle de leur respect, il peut être mis en œuvre par un organisme disposant d’un niveau d’expertise approprié au regard de l’objet du code, qui serait agréé à cette fin par l’autorité de contrôle compétente.

RGPD et codes de conduite : les principes fondamentaux

Dans sa lettre, le G29 rappelle en premier lieu les principes généraux fondamentaux qui doivent impérativement guider l’élaboration de tout code de conduite :

• être conforme au RGPD et à ses transpositions en droit national ;
• être de qualité et apporter une valeur ajoutée tant au RGPD qu’aux législations nationales applicables en matière de protection des données ;
• sa valeur ajoutée peut être démontrée au regard de problématiques et questions spécifiques rencontrées par les organisations auxquelles le code apporte des réponses claires et opérationnelles ;
• avoir pour objet de spécifier et préciser l’application de la règlementation.

RGPD et codes de conduite : les principes généraux

Le G29 délivre dans un second temps des commentaires généraux relatifs au projet de code de conduite qui lui était soumis, qui constituent eux aussi des points cardinaux applicables à tous les projets de codes de conduite. Il considère de manière générale :

• qu’il n’apporte pas suffisamment de valeur ajoutée par rapport à la Directive (RGPD) ;
• qu’il doit être clarifié, comporter plus de référence au référentiel légal existant, en particulier concernant le secteur spécifique de la santé mobile concerné ;
• qu’il doit notamment faire le lien entre RGPD et législations nationales, en particulier lorsque le premier laisse une liberté de transposition aux secondes ;
• il devrait prendre en compte d’autres éléments de la règlementation qui impactent la conformité en matière de protection des données, comme la « directive ePrivacy » s’agissant de la mise en œuvre des cookies ; le règlement « eIDAS » (en matière d’identification électronique et de services de confiance), ou la directive 93/42/CE relative aux dispositifs médicaux ;
• il doit clarifier le rôle des différents acteurs concernés dans les traitements mis en œuvre et les différents niveaux d’obligations correspondantes (responsable du traitement et sous-traitant).

L’ensemble de ces principes généraux constituent une grille de lecture indispensable pour les porteurs de projets de codes de conduite recherchant leur approbation par la Commission européenne afin de contribuer à l’enrichissement normatif européen et à une prise de position compétitive dans leur secteur.

RGPD et codes de conduite : les applications de santé mobile (M-Health)

La lettre du G29 contient, au-delà des principes exposés ci-avant, une analyse du code de conduite sur le respect de la vie privée et les applications de santé mobile (M-Health) à travers des observations et questions spécifiques qui font l’objet de nos commentaires distincts (1).

Marguerite Brac de La Perrière
Benjamin-Victor Labyod
Lexing Santé numérique

(1) G29 (Article 29 Data Protection Working Party) Letter re mHealth.
(2) Site de la Commission européenne « Privacy Code of Conduct on mobile health apps » et projet de Code de conduite mHealth.
(3) Marguerite Brac de La Perrière & Benjamin-Victor Labyod, Code de conduite européen « Privacy en santé mobile », Alain-Bensoussan.com, 02-05-2017.
(4) RGPD articles 40 et 41
(5) RGPD article 24
(6) RGPD article 83