Le code de conduite est un guide sectoriel sur l’application de la loi en matière de protection des données adopté par le Bureau de l’autorité de protection des données. Dans le secteur privé, la mise en œuvre du code de conduite est contrôlée par un organe de contrôle accrédité de l’autorité et, en Finlande, c’est le Bureau du commissaire à la protection des données qui est accrédité. L’engagement à respecter le code de conduite aide les organisations à respecter la réglementation sur la protection des données et à remplir l’obligation de démonstration.

Le code de conduite est élaboré par des associations ou d’autres sujets représentant les responsables du traitement des données à caractère personnel dans leur domaine. Les responsables du traitement et les sous-traitants peuvent choisir d’adhérer ou non au code de conduite et ainsi s’assurer qu’ils appliquent correctement le règlement sur la protection des données aux problèmes de protection des données typiques de leur secteur.

Le code de conduite peut être national ou supranational. Pour que le code de conduite soit effectivement mis en œuvre, il doit être suivi selon certains mécanismes de contrôle. Il est recommandé que les créateurs du code proposent de laisser un organe de contrôle au stade de la préparation du code.

Si le code de conduite est appliqué dans le secteur privé, un organisme de contrôle reconnu par l’autorité de surveillance est nécessaire.

Si le code de conduite concerne les autorités publiques ou d’autres organismes publics, un organisme de contrôle n’est pas demandé.

L’organe de contrôle doit être compétent et impartial

Selon les critères d’accréditation du bureau du Contrôleur européen de la protection des données (CEPD), l’organe de contrôle doit être fonctionnellement indépendant et impartial. L’organe de contrôle doit disposer de pouvoirs suffisants et de procédures adéquates et transparentes pour assurer un contrôle efficace du respect du code de conduite.

L’organe de contrôle soumet également un rapport d’activité annuel au bureau du délégué à la protection des données.

Les critères d’accréditation qui viennent d’être publiés ont été élaborés par le CEPD et traités dans le cadre du mécanisme d’harmonisation du Contrôleur européen de la protection des données. L’objectif de la discussion commune entre les deux autorités est d’harmoniser les critères des organes de contrôle et le contrôle du code de conduite dans tous les pays de l’EEE.

Le code de conduite sectoriel peut, par exemple, préciser comment le traitement des données à caractère personnel doit être planifié et les risques évalués, quels intérêts légitimes le responsable du traitement peut avoir et comment les droits de la personne concernée seront garantis. Le code de conduite peut également fournir des orientations, entre autres, sur la mise en œuvre de la protection des mineurs ou sur la pseudonymisation des données à caractère personnel.

SOURCE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA FINLANDIA