Navigation
RGPD > Article 41. Suivi des codes de conduite approuvés
Télécharger le PDF

Article 41 RGPD. Suivi des codes de conduite approuvés

Article 41 GDPR. Monitoring of approved codes of conduct

1. Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente au titre des articles 57 et 58, le contrôle du respect du code de conduite en vertu de l’article 40 peut être effectué par un organisme qui dispose d’un niveau d’expertise approprié au regard de l’objet du code et qui est agréé à cette fin par l’autorité de contrôle compétente.

1. Without prejudice to the tasks and powers of the competent supervisory authority under Articles 57 and 58, the monitoring of compliance with a code of conduct pursuant to Article 40 may be carried out by a body which has an appropriate level of expertise in relation to the subject-matter of the code and is accredited for that purpose by the competent supervisory authority.

2. Un organisme visé au paragraphe 1 peut être agréé pour contrôler le respect d’un code de conduite lorsque cet organisme a:

2. A body as referred to in paragraph 1 may be accredited to monitor compliance with a code of conduct where that body has:

a) démontré, à la satisfaction de l’autorité de contrôle compétente, son indépendance et son expertise au regard de l’objet du code;

(a) demonstrated its independence and expertise in relation to the subject-matter of the code to the satisfaction of the competent supervisory authority;

b) établi des procédures qui lui permettent d’apprécier si les responsables du traitement et les sous-traitants concernés satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d’examiner périodiquement son fonctionnement;

(b) established procedures which allow it to assess the eligibility of controllers and processors concerned to apply the code, to monitor their compliance with its provisions and to periodically review its operation;

c) établi des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et pour rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public; et

(c) established procedures and structures to handle complaints about infringements of the code or the manner in which the code has been, or is being, implemented by a controller or processor, and to make those procedures and structures transparent to data subjects and the public; and

d) démontré, à la satisfaction de l’autorité de contrôle compétente, que ses tâches et ses missions n’entraînent pas de conflit d’intérêts.

(d) demonstrated to the satisfaction of the competent supervisory authority that its tasks and duties do not result in a conflict of interests.

3. L’autorité de contrôle compétente soumet le projet d’exigences relatives à l’agrément d’un organisme visé au paragraphe 1 du présent article au comité en application du mécanisme de contrôle de la cohérence visé à l’article 63.

3. The competent supervisory authority shall submit the draft requirements for accreditation of a body as referred to in paragraph 1 of this Article to the Board pursuant to the consistency mechanism referred to in Article 63.

Connexe

4. Sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente et des dispositions du chapitre VIII, un organisme visé au paragraphe 1 du présent article prend, sous réserve des garanties appropriées, des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant, et peut notamment suspendre ou exclure le responsable du traitement ou le sous-traitant concerné de l’application du code. Il informe l’autorité de contrôle compétente de ces mesures et des raisons pour lesquelles elles ont été prises.

4. Without prejudice to the tasks and powers of the competent supervisory authority and the provisions of Chapter VIII, a body as referred to in paragraph 1 of this Article shall, subject to appropriate safeguards, take appropriate action in cases of infringement of the code by a controller or processor, including suspension or exclusion of the controller or processor concerned from the code. It shall inform the competent supervisory authority of such actions and the reasons for taking them.

5. L’autorité de contrôle compétente révoque l’agrément d’un organisme visé au paragraphe 1 si les exigences relatives à l’agrément ne sont pas ou ne sont plus respectées ou si les mesures prises par l’organisme constituent une violation du présent règlement.

5. The competent supervisory authority shall revoke the accreditation of a body as referred to in paragraph 1 if the requirements for accreditation are not, or are no longer, met or where actions taken by the body infringe this Regulation.

6. Le présent article ne s’applique pas au traitement effectué par les autorités publiques et les organismes publics.

6. This Article shall not apply to processing carried out by public authorities and bodies.

ISO 27701 Lignes directrices & Jurisprudence Laisser un commentaire
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27001, section 4.1.

Here is the relevant paragraph to article 41 GDPR:

5.2.1 Understanding the organization and its context

The organization shall include among its interested parties (see ISO/IEC 27001:2013, 4.2), those parties having interests or responsibilities associated with the processing of PII, including the PII principals.

[…]


lire le texte complet

Lignes directrices & Jurisprudence Laisser un commentaire
[js-disqus]