Code de conduite /Certification : transfert des données
Fondamental
Article 40
« Les états membres, les autorités de contrôle, le comité et la commission encouragent l'élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement compte tenu des différents secteurs de traitement et des besoins des micro, petites et moyennes entreprises. »
L'objectif des codes de conduite est de fournir des garanties appropriées aux personnes concernées par le transfert de leurs données vers un pays tiers. « Les responsables de traitement et sous-traitants prennent un engagement contraignant et doté de force obligatoire d'appliquer ces garanties appropriées. »
Les associations et autres organismes représentant des responsables de traitement ou des sous-traitants peuvent élaborer leurs codes de conduite, afin d'informer au mieux les personnes concernées par les traitements de données à caractère personnel qu'elles mettent en place, ces dernières doivent soumettre leurs projets de code de conduite, leur projet de modification ou le projet de prorogation, à l'autorité de contrôle.
Le processus de certification :
Deux cas :
Les activités de traitement sont menées dans un seul état membre, dans ce cas, l'autorité de contrôle étudie la demande, notamment vérifie et délivre la certification.
Les activités de traitement sont menées dans plusieurs états membres, l'autorité de contrôle compétente soumet le projet de code de conduite au Comité Européen de la protection des données qui vérifie que le projet de code de conduite offre les garanties appropriées. Si l'avis du Comité est favorable, le code de conduite devient applicable au sein de l'Union.
Article 68
« Le Comité Européen de la protection des données (ci-après dénommé «Comité») est institué en tant qu'organe de l'Union et possède la personnalité juridique. »
Fondamental
Un processus de certification est également établi afin de permettre aux responsables de traitement et sous-traitants qui ne sont pas soumis au règlement européen de fournir les garanties appropriées dans le cadre des transferts de données à caractère personnel vers un pays tiers. Ce processus de certification est volontaire. « Les responsables de traitement et sous-traitants prennent un engagement contraignant et doté de force obligatoire d'appliquer ces garanties appropriées. »
La certification peut être délivrée par l'autorité de contrôle compétente ou par le Comité, cela peut aboutir à une certification commune, le label européen de protection des données.