Code de conduite : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

Le code de conduite désigne, au sens du RGPD, l'instrument volontaire élaboré par les associations ou autres organismes représentant des catégories de responsables de traitement ou de sous-traitants pour préciser l'application du règlement aux particularités d'un secteur.

Le code de conduite désigne, au sens du RGPD, l'instrument volontaire élaboré par les associations ou autres organismes représentant des catégories de responsables de traitement ou de sous-traitants pour préciser l'application du règlement aux particularités d'un secteur. L'article 40 du Règlement (UE) 2016/679 organise ce dispositif d'autorégulation encadrée, qui permet aux acteurs sectoriels de définir des règles opérationnelles adaptées à leurs spécificités tout en bénéficiant d'une présomption de conformité approuvée par les autorités de contrôle.

L'enjeu pratique des codes de conduite est central pour les secteurs présentant des particularités appelant des règles d'application adaptées (santé, recherche scientifique, marketing direct, e-commerce, services financiers, ressources humaines). Plutôt que de laisser chaque acteur interpréter individuellement les exigences générales du RGPD, le code de conduite consolide une doctrine sectorielle approuvée par l'autorité de contrôle, qui guide la pratique de l'ensemble des opérateurs concernés.

L'adoption d'un code de conduite suit une procédure formalisée prévue par les articles 40 et 41 du RGPD, qui comporte trois phases principales : élaboration par l'organisme représentatif, soumission à l'autorité de contrôle compétente, approbation après examen et publication officielle. Le code approuvé bénéficie alors d'une portée juridique renforcée pour les adhérents qui s'y conforment effectivement.

Vous souhaitez participer à l'élaboration ou à l'adhésion à un code de conduite ? Le Cabinet Aurore Bonavia accompagne la rédaction et la mise en œuvre des codes de conduite RGPD. → Voir l'accompagnement en droit du numérique

La portée des codes de conduite

L'article 40 paragraphe 1 du RGPD pose la finalité des codes de conduite :

« Les États membres, les autorités de contrôle, le comité et la Commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises. »

L'article 40 paragraphe 2 énumère les points que les codes de conduite peuvent préciser :

  • le traitement loyal et transparent des données ;
  • les intérêts légitimes poursuivis par les responsables de traitement dans des contextes spécifiques ;
  • la collecte des données ;
  • la pseudonymisation des données ;
  • l'information du public et des personnes concernées ;
  • l'exercice des droits des personnes concernées ;
  • l'information et la protection des enfants et la manière dont le consentement des titulaires de l'autorité parentale doit être recueilli ;
  • les mesures et procédures visant à respecter les principes de minimisation, exactitude et limitation de la conservation ;
  • la protection des données dès la conception et par défaut ;
  • la gestion des violations de données ;
  • les transferts vers des pays tiers ou des organisations internationales ;
  • les procédures extrajudiciaires et autres procédures de résolution des litiges.

Cette liste n'est pas exhaustive et permet aux secteurs d'adapter les codes de conduite à leurs besoins spécifiques. La pratique a forgé des codes sectoriels couvrant des champs très divers, depuis les pratiques publicitaires jusqu'aux exigences de conformité dans les laboratoires de recherche.

La procédure d'approbation

L'article 40 paragraphes 5 à 9 du RGPD organise la procédure d'approbation des codes de conduite :

  • l'élaboration par les associations et autres organismes représentant des catégories de responsables ou sous-traitants ;
  • la soumission à l'autorité de contrôle compétente (CNIL en France pour les codes nationaux, autre autorité chef de file pour les groupes transfrontaliers) ;
  • l'examen par l'autorité, qui peut demander des modifications et des ajustements ;
  • l'approbation lorsque le code respecte les exigences du règlement et garantit des protections suffisantes ;
  • la publication du code approuvé dans un registre public accessible.

Pour les codes transfrontaliers (couvrant des activités dans plusieurs États membres), l'article 40 paragraphe 7 prévoit l'intervention du Comité européen de la protection des données (EDPB) qui rend un avis sur la conformité du code avant son approbation. Cet examen européen garantit la cohérence des codes transfrontaliers et facilite leur reconnaissance dans l'ensemble de l'Union européenne.

L'article 40 paragraphe 9 prévoit la publication par la Commission européenne des codes transfrontaliers approuvés dans le Journal officiel de l'Union européenne, ce qui leur confère une portée juridique renforcée.

Les codes approuvés en pratique

Plusieurs codes de conduite ont été approuvés depuis l'entrée en application du RGPD. Parmi les plus structurants :

  • le EU Cloud Code of Conduct approuvé en 2021, qui couvre les fournisseurs de services cloud (B2B) et précise leurs obligations en tant que sous-traitants au sens de l'article 28 du RGPD ;
  • le CISPE Code of Conduct approuvé en 2021, qui encadre les fournisseurs d'infrastructures cloud européennes avec des exigences renforcées ;
  • le Code de conduite EFPIA sur la pharmacovigilance, qui précise les pratiques de l'industrie pharmaceutique européenne ;
  • le Code de conduite européen pour la téléphonie mobile sur la protection des enfants ;
  • les codes nationaux approuvés par les autorités de contrôle dans des secteurs spécifiques (notamment en Allemagne, Italie, Espagne).

En France, la CNIL a approuvé plusieurs codes de conduite sectoriels et continue d'examiner les soumissions en cours. Le Code de conduite de l'Union française du marketing direct (UFMD) sur la prospection commerciale et le Code des éditeurs de logiciels du syndicat Numeum font partie des initiatives les plus marquantes.

Le suivi par les organismes accrédités

L'article 41 du RGPD organise le suivi des codes de conduite par des organismes accrédités. Ces organismes, distincts de l'autorité de contrôle, sont chargés de vérifier le respect du code par les adhérents et de prendre les mesures nécessaires en cas de manquement.

L'accréditation des organismes de suivi est délivrée par l'autorité de contrôle compétente, sous réserve du respect de plusieurs critères :

  • l'indépendance vis-à-vis des organisations adhérentes au code ;
  • l'expertise dans la matière couverte par le code ;
  • l'absence de conflits d'intérêts ;
  • la mise en place de procédures appropriées pour évaluer la conformité et traiter les manquements.

Les organismes de suivi peuvent prononcer plusieurs mesures correctrices :

  • la mise en demeure d'adhérents non conformes ;
  • la suspension temporaire de l'adhésion ;
  • l'exclusion définitive du code en cas de manquement grave ou répété ;
  • la notification à l'autorité de contrôle des manquements caractérisés.

L'article 41 paragraphe 6 précise que ces dispositions ne s'appliquent pas aux autorités publiques et aux organismes publics, dont la conformité est contrôlée directement par l'autorité de contrôle.

La présomption de conformité

L'adhésion à un code de conduite approuvé crée une présomption de conformité au RGPD pour les éléments couverts par le code. Cette présomption produit plusieurs avantages pratiques :

  • une simplification de la démonstration de la conformité en cas de contrôle de l'autorité ;
  • une réduction des risques d'interprétation divergente des exigences générales du règlement ;
  • une mutualisation des efforts de conformité entre adhérents au code ;
  • une reconnaissance facilitée auprès des partenaires commerciaux et des clients soucieux de leur propre conformité.

L'article 24 paragraphe 3 du RGPD précise que l'application du code peut être utilisée pour démontrer le respect des obligations du règlement par le responsable de traitement. Cette mention encourage l'adoption des codes par les organisations soucieuses de leur conformité.

L'article 32 paragraphe 3 du RGPD étend cette logique aux mesures de sécurité : l'application d'un code approuvé peut être utilisée pour démontrer le respect des exigences de sécurité de l'article 32. Cette articulation permet de structurer la démonstration de conformité sur l'ensemble du périmètre RGPD.

Spécificité juridique sur les transferts internationaux

L'article 40 paragraphe 3 du RGPD reconnaît l'utilisation des codes de conduite comme garanties appropriées pour les transferts internationaux au sens de l'article 46 paragraphe 2 e) du règlement. Les codes de conduite approuvés et adoptés par des destinataires dans des pays tiers peuvent servir de fondement aux transferts vers ces pays, sous réserve d'engagements contraignants et exécutoires des destinataires.

Cette utilisation des codes pour les transferts internationaux constitue une innovation majeure du RGPD, qui complète les autres mécanismes (décisions d'adéquation, clauses contractuelles types, BCR). Elle reste toutefois encore peu utilisée en pratique, en raison de la complexité de la procédure d'élaboration et d'adoption de codes opérants à l'international.

L'EDPB a publié des lignes directrices spécifiques sur l'utilisation des codes de conduite comme outil de transfert (Lignes directrices 4/2021), qui détaillent les conditions de mise en œuvre et les bonnes pratiques. Ces lignes directrices guident les organismes représentatifs souhaitant développer des codes couvrant des opérations transfrontalières.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de code de conduite

  • la participation à l'élaboration de codes de conduite sectoriels au niveau français et européen ;
  • la rédaction des codes de conduite et leur soumission aux autorités de contrôle ;
  • l'analyse de la conformité d'un code de conduite envisagé au regard des exigences RGPD ;
  • l'adhésion à un code de conduite approuvé et l'audit de conformité ;
  • la démonstration de la conformité au RGPD par référence aux codes de conduite adoptés ;
  • la défense face aux contrôles CNIL portant sur le respect d'un code de conduite ;
  • la rédaction des règles internes des organismes accrédités de suivi des codes ;
  • l'utilisation des codes de conduite comme garantie appropriée pour les transferts internationaux ;
  • la formation des équipes juridiques aux enjeux et opportunités des codes de conduite.

En savoir plus sur l'accompagnement du cabinet : avocat RGPD.

Sources : Règlement (UE) 2016/679 (RGPD) art. 24, art. 32, art. 40, art. 41, art. 46, EDPB Lignes directrices 1/2019 sur les codes de conduite, Lignes directrices 4/2021 sur les codes de conduite comme outil de transfert, codes approuvés (EU Cloud Code of Conduct, CISPE Code, EFPIA Code et autres), CNIL guide pratique sur les codes de conduite. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.