Le GDPR prévoit l’approbation des codes de conduite («codes») et l’accréditation des certifications, afin d’aider les responsables du traitement (« data controller ») et les utilisateurs de données (data processor ) à démontrer leur conformité au GDPR et aux meilleures pratiques. Nous n’y couperons pas. Pas à pas et à partir de janvier 2019, Il appartient à BAM de trouver le bon chemin pour l’industrie. Une chose est sûre: si nous nous n’occupons pas de cela, les autorités s’occuperont de nous.
Les associations et les organes représentatifs peuvent préparer des codes pour approbation par une autorité de protection de données ou, lorsque les activités de traitement ont lieu dans plusieurs États membres, par le Comité Européen de la Protection des Données («EDPB»). La Commission européenne peut ensuite déclarer que les codes recommandés par l’EDPB ont une validité générale au sein de l’UE. Notre association mère, FEDMA, s’y prépare pour notre secteur.
Dans ce cadre, les codes devront fournir une guidance dans certains domaines clés comme l’intérêt légitime, l’exercice des droits des personnes concernées, la protection des mineurs, la mise en œuvre de la protection de la vie privée par défaut, les mesures de sécurité à prendre, la notification des violations de sécurité, la résolution des litiges entre les data controllers et les personnes concernées…
Le respect de ces codes aidera les data controller et les data processor à démontrer qu’ils respectent les obligations du GDPR. Ce sera contrôlé par des organismes accrédités dûment qualifiés.. Le Code doit prévoir à l’encontre des acteurs ayant enfreint le code, des sanctions notamment la suspension ou exclusion de l’acteur concerné du code. L’organisme doit informer les autrités de d’actions prises et leur justification.
Grâce à ces codes, les transferts internationaux de données personnelles pourront être facilités : le respect des codes pourrait démontrer aux autorités que les importateurs de données (data controller ainsi que data processors) situés en dehors de l’UE / EEE ont mis en œuvre des garanties adéquates pour permettre les transferts. C’est donc un mécanisme plus aisé, pour la gestion de ces transferts internationaux de données qui offre une excellente alternative aux mécanismes légaux existants que sont les clauses contractuelles standards et les Binding Corporate Rules (BCR).
L’EDPB peut élaborer des critères pour une certification commune, le sceau européen de protection des données. Les certifications sont volontaires. Tout comme une ‘autorité protection de données locale peut en approuver. L’EDPB approuvera alors les critères pour les certifications. En étant certifiés, les controllers et les processors seront en mesure de démontrer leur conformité en ce qui concerne la mise en œuvre de mesures techniques et organisationnelles. Ils permettront également de démontrer que les importateurs de données (controllers et processors) situés en dehors de l’UE / EEE ont mis en place des mesures de protection adéquates pour protéger les données personnelles exportées.
Le contrôle du respect des codes ne sera effectué que par des organismes agréés par l’autorité de protection des données compétente (nationale ou européenne). Pour obtenir l’accréditation, les organismes devront démontrer leur indépendance et leur expertise et avoir établi des procédures pour évaluer le respect du code par les controllers et processors. Ils devront également être capables de traiter les plaintes.
En conclusion, l’’adhésion à un code de conduite offrira nombreux avantages : les codes contribueront à la bonne application du GDPR et à plus de certitude juridique pour les entreprises. Il est clair que l’autorité de protection des données compétente ne pourra qu’être sensible au fait que l’entreprise avec laquelle elle discute a adhéré à un code de conduite. Cela démontre la bonne foi et la volonté de se conformer à la GDPR de cette dernière. Cela atténuera sans doute les éventuelles amendes que l’autorité de contrôle pourrait décider de prononcer à l’encontre de l’entreprise qui serait malgré tout en infraction. , Donc, les codes permettront une plus grande facilité pour toute entreprise qui traite des données personnelles à démontrer le respect des règles de la GDPR. De plus, ils facilitent les possibilités de transfert de données personnelles en dehors de l’Union Européenne.
https://www.marketing.be/fr/bam-lobby-news-novembre-2018