Section suivante

Annexe

JORF n°0180 du 24 juillet 2020

Délibération n°2020-050 du 30 avril 2020

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, notamment ses articles 41 et 57.1.p) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu les lignes directrices sur les codes de conduites et les organismes de contrôle de ces codes au sens du règlement (UE) 2016/679 adoptées le 4 juin 2019 par le Comité européen de la protection des données ;

Après avoir entendu Mme Anne DEBET, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Fait les observations suivantes :
L'article 41 du règlement général relatif à la protection des données (RGPD) prévoit que le contrôle du respect d'un code de conduite peut être effectué par un organisme qui dispose du niveau d'expertise approprié au regard de l'objet du code. Ces organismes doivent être agréés à cette fin par l'autorité de contrôle compétente.
L'article 57.1.p) du RGPD prévoit que chaque autorité de contrôle rédige et publie les exigences relatives à l'agrément des organismes chargés du suivi des codes de conduite en application de l'article 41.
L'article 41.3 du RGPD indique que les projets d'agrément établis par chaque autorité de contrôle au niveau national sont soumis au mécanisme de « contrôle de la cohérence » et doivent être communiqués au Comité européen de la protection des données (CEPD).
Le 3 octobre 2019, un projet d'agrément a été adopté par la Commission et soumis au CEPD le 18 octobre 2019. Le CEPD a adopté un avis favorable relatif à ce projet le 28 janvier 2020, qui a été notifié à la Commission le 4 février 2020.
La présente délibération fixe les critères d'agrément des organismes chargés du contrôle du respect des codes de conduite, tels que visés à l'article 41 du règlement (UE) 2016/679.
Décide :
De l'adoption du référentiel d'agrément des organismes chargés du contrôle des codes de conduite, tel qu'annexé à la présente délibération.
La durée de l'agrément sera initialement fixée à cinq ans, sans préjudice de l'exercice à tout moment des compétences de la CNIL au regard des obligations de l'organisme de contrôle.
La procédure de demande initiale et de renouvellement d'un agrément est encadrée par le règlement intérieur de la CNIL. Le renouvellement entraîne un réexamen de l'éligibilité de l'organisme de contrôle, qui peut donner lieu à une décision favorable ou à un refus.
Cette décision sera publiée au Journal officiel de la République française.

1 version

Annexe

La présidente,

M.-L. Denis