Article 40 RGPD : les codes de conduite décryptés

Quand l’autorité belge de protection des données a approuvé l’EU Cloud Code of Conduct en mai 2021 puis l’a étendu en 2024 pour couvrir les transferts vers les pays tiers, elle a transformé un texte qui sommeillait depuis 2018 en outil de conformité de premier rang. L’Art. 40 du RGPD était presque resté lettre morte pendant les trois premières années d’application du règlement. Il connaît depuis un essor structurant : huit codes transnationaux figurent désormais au registre du CEPD, plus d’une dizaine de codes nationaux sont approuvés par les autorités de contrôle européennes, et la CNIL a inscrit la promotion des codes dans son plan stratégique 2025-2028. Cet article anatomise les onze paragraphes de l’Art. 40 — qui définissent à la fois un outil de soft law, un mécanisme de gouvernance sectorielle et, depuis 2022, un instrument autonome de transferts internationaux au sens de l’Art. 46(2)(e).

Ce que dit l’article 40 du RGPD

L’Art. 40 s’intitule « Codes de conduite ». Il figure au chapitre IV section 5 du RGPD, aux côtés de la certification (Art. 42 et 43). Sa structure est tripartite. Les Art. 40(1) à 40(3) définissent l’objet, le contenu et la portée d’un code de conduite. Les Art. 40(4) à 40(9) organisent la procédure d’adoption — contrôle, soumission, approbation, publication et reconnaissance transfrontalière. Les Art. 40(10) et 40(11) prévoient le registre central du CEPD et la publicité par voie appropriée.

Le code de conduite est, dans l’architecture du RGPD, un instrument intermédiaire entre la norme générale (le règlement) et la pratique opérationnelle d’un secteur. Il prolonge le principe d’accountability de l’Art. 24 et le principe de privacy by design de l’Art. 25 : un responsable de traitement qui adhère à un code approuvé bénéficie d’une présomption — encadrée — de conformité aux exigences couvertes par le code, et peut s’en prévaloir au titre de l’Art. 24(3). C’est aussi un signal de marché : un fournisseur cloud certifié EU Cloud CoC répond, sans nouvelle négociation, à une partie substantielle des questions qu’un client pose lors de la contractualisation de la sous-traitance (Art. 28).

Les sanctions encourues en cas de non-respect des engagements pris au titre d’un code adhéré relèvent du plafond bas de l’Art. 83(4)(b) — jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial. La CNIL et ses homologues ont la possibilité, prévue par l’Art. 41(4), de prononcer la suspension ou l’exclusion du membre du code, sans préjudice de la sanction pécuniaire.

Art. 40(1) : l’obligation d’encourager des États et de la Commission

L’Art. 40(1) est rédigé en termes programmatiques mais juridiquement obligatoires. Les États membres, les autorités de contrôle, le CEPD et la Commission « encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, en fonction de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises ».

Trois enseignements pratiques découlent de ce paragraphe d’apparence anodine. Premier enseignement : les codes sont par construction sectoriels. Un code « généraliste RGPD » à destination de toutes les entreprises n’aurait aucune chance d’être approuvé — il dupliquerait le règlement sans apporter la granularité que justifie le détour par cet instrument. Les codes approuvés visent toujours une activité (cloud, marketing direct, recherche clinique), un secteur (banque, santé, presse) ou une population (PME, associations). Deuxième enseignement : les TPE-PME constituent un public désigné par le texte lui-même. La CNIL a transposé cette priorité dans son accompagnement des petites structures et a accepté en première lecture des codes nationaux centrés sur des PME (Federpiscine en Italie, BPCE pour la banque mutualiste française, code FEVAD pour le e-commerce). Troisième enseignement : la Commission peut « encourager » sans qu’il y ait procédure formelle d’invitation — les associations professionnelles s’en saisissent généralement à leur initiative.

Art. 40(2) : les onze sujets que peut couvrir un code

Le paragraphe 2 liste de façon non-limitative onze familles de sujets qu’un code de conduite peut préciser. Cette liste sert de grille de relecture aussi bien à l’autorité de contrôle qu’au rédacteur du code. Les onze familles sont :

• (a) le traitement loyal et transparent — qui prolonge l’Art. 5(1)(a) ;
• (b) les intérêts légitimes poursuivis par le responsable de traitement — où le code peut consolider une mise en balance type pour un secteur (la lecture de l’Art. 6(1)(f) intérêt légitime gagne en prévisibilité) ;
• © la collecte des données à caractère personnel — modes, points de collecte, formats ;
• (d) la pseudonymisation — méthodes acceptables au sens de l’Art. 4(5) et de l’Art. 25, parfois en articulation avec l’anonymisation ;
• (e) les informations communiquées au public et aux personnes concernées — modèles de notice Art. 13/14 adaptés au secteur ;
• (f) l’exercice des droits des personnes concernées — procédures opérationnelles type pour l’Art. 12 et les droits Art. 15-22 ;
• (g) les informations communiquées aux enfants et la protection des enfants — articulation avec l’Art. 8 ;
• (h) les mesures et procédures de l’Art. 24 (accountability) et de l’Art. 25 (privacy by design) ;
• (i) les mesures destinées à assurer la sécurité du traitement — outillage opérationnel de l’Art. 32 ;
• (j) la notification de violation et la communication à la personne — procédures sectorielles relatives aux Art. 33 et Art. 34 ;
• (k) les transferts hors UE — l’angle qui a fait basculer la pratique avec l’Art. 40(3) et les Lignes directrices 4/2021 du CEPD.

Cette liste est ouverte. Un code peut traiter un sous-ensemble seulement de ces sujets — c’est presque toujours le cas. Le code BCR-C d’un groupe multinational, l’EU Cloud CoC ou le code FEDMA pour le marketing direct concentrent chacun leur dispositif sur quatre à six familles.

Art. 40(3) : le code comme outil de transferts internationaux

L’Art. 40(3) prolonge la liste : les codes peuvent aussi servir aux responsables de traitement et sous-traitants non soumis au RGPD au titre de l’Art. 3 pour fournir des garanties appropriées dans le cadre des transferts hors UE au sens de l’Art. 46(2)(e). Concrètement, un opérateur établi en Inde, au Brésil ou aux États-Unis peut adhérer à un code de conduite approuvé par une autorité européenne, prendre des engagements contraignants et opposables vis-à-vis des personnes concernées, et offrir ainsi à ses clients européens un instrument de transfert alternatif aux clauses contractuelles types et aux BCR.

Cette voie a été ouverte en pratique par les Lignes directrices 4/2021 du CEPD du 7 juillet 2022 (version 2.0), qui définissent une grille de huit éléments structurels que tout code-outil-de-transfert doit comporter : engagements contraignants et exécutoires, droits opposables et voies de recours pour les personnes concernées, modalités de réception et de traitement des plaintes, transparence sur les transferts ultérieurs, mécanisme de contrôle indépendant, articulation avec les enquêtes des autorités de contrôle, gestion des demandes des autorités publiques du pays tiers (héritière du Transfer Impact Assessment exigé depuis Schrems II), et procédure de notification au CEPD. L’EU Cloud CoC a été étendu en 2024 pour intégrer ces huit éléments — il devient le premier code de conduite véritablement opérationnel pour des transferts vers les États-Unis hors mécanisme DPF de l’Art. 45.

Art. 40(4) : le mécanisme de contrôle obligatoire

Aucun code ne peut être approuvé sans un dispositif de contrôle obligatoire confié à un organisme indépendant. Ce point distingue radicalement le code de conduite au sens du RGPD des chartes professionnelles antérieures à 2018. L’Art. 40(4) renvoie à l’Art. 41 pour les détails du régime de l’organisme de contrôle : il doit être accrédité par l’autorité de contrôle compétente, disposer de l’indépendance et de l’expertise nécessaires, mettre en œuvre des procédures effectives de surveillance, prendre des mesures appropriées en cas d’infraction (avertissement, suspension, exclusion), et coopérer avec l’autorité de contrôle.

Cette exigence procédurale est dimensionnante. Le coût et la durée d’instruction d’un code dépendent à 60-70 % de l’accréditation du monitoring body. Pour l’EU Cloud CoC, l’organisme de contrôle est SCOPE Europe, accrédité par la Belgian Data Protection Authority. Pour le code CISPE, c’est également SCOPE Europe. Pour le code FEDMA marketing direct, c’est un organisme paritaire spécifique. Dans tous les cas, le contrôle n’est pas optionnel : un opérateur qui prétendrait adhérer à un code sans soumission au monitoring body se priverait de la portée juridique de son adhésion et exposerait sa déclaration à une qualification de pratique commerciale déloyale.

L’Art. 40(4) précise expressément que ce mécanisme s’applique « sans préjudice des missions et des pouvoirs des autorités de contrôle compétentes en vertu de l’article 55 ou 56 ». Autrement dit : l’existence d’un monitoring body n’évince ni la compétence de la CNIL, ni la possibilité d’une réclamation au titre de l’Art. 77, ni la sanction administrative au titre de l’Art. 83.

Art. 40(5) : la soumission à l’autorité de contrôle

Le projet de code est soumis à l’autorité de contrôle compétente, qui rend un avis sur la conformité du projet au RGPD et l’approuve si elle estime que celui-ci offre des garanties appropriées et suffisantes. La compétence est définie par la nature du code : autorité nationale unique pour un code national (en France, la CNIL), autorité « chef de file » pour un code transnational (avec consultation du CEPD).

La procédure CNIL n’est pas codifiée par un règlement intérieur public mais suit un schéma stabilisé en quatre étapes. Première étape : pré-saisine informelle, où l’association professionnelle expose son projet et la CNIL signale les sujets attentionnels et les points bloquants. Cette phase peut durer six à douze mois. Deuxième étape : dépôt du projet formel, accompagné du dispositif de gouvernance, du règlement intérieur du monitoring body, du dossier d’accréditation, et d’une auto-évaluation au regard des Lignes directrices 1/2019 du CEPD. Troisième étape : instruction par la CNIL — typiquement douze à vingt-quatre mois avec plusieurs allers-retours et auditions. Quatrième étape : délibération de la formation plénière, publication au registre CNIL et accréditation du monitoring body. Le coût total pour l’association porteuse — coûts internes inclus — se situe entre 150 000 € et 400 000 €.

Art. 40(6) à 40(9) : la portée transnationale

Les paragraphes 6 à 9 organisent l’articulation entre l’autorité nationale et le CEPD. L’Art. 40(6) impose à l’autorité de contrôle, lorsqu’elle approuve un code dont la portée est purement nationale, de l’enregistrer et de le publier. L’Art. 40(7) précise que, lorsque le projet de code concerne des activités de traitement dans plusieurs États membres, l’autorité saisie soumet le projet au CEPD avant approbation. L’Art. 40(8) prévoit que le CEPD rend un avis et, si l’avis est favorable, le code peut être soumis à la Commission. L’Art. 40(9) autorise la Commission à adopter un acte d’exécution conférant au code « une validité générale au sein de l’Union » — c’est ce qu’on appelle le code « pan-européen ».

Ce mécanisme à étages est responsable du temps d’instruction des codes transnationaux : trois à cinq ans entre dépôt et acte d’exécution. À l’inverse, un code national progresse en dix-huit à trente mois, ce qui explique le tropisme des associations sectorielles françaises pour la voie nationale, l’extension transnationale étant décidée ultérieurement.

Art. 40(10) et 40(11) : registre et publicité

Le CEPD tient un registre public de tous les codes approuvés (Art. 40(10)). Il est consultable sur le site edpb.europa.eu et constitue la source de référence pour vérifier l’existence et le périmètre d’un code. Au 1er mai 2026, ce registre recense huit codes transnationaux dont l’EU Cloud Code of Conduct, le CISPE Code, le code EU Data Protection Code of Conduct for Cloud Service Providers, le SCOPE Code et le code de l’European Federation of Pharmaceutical Industries and Associations (EFPIA) pour la recherche clinique. La CNIL, de son côté, publie sur son site la liste des codes approuvés au plan national.

L’Art. 40(11) exige que les codes soient publiés par tout moyen approprié — typiquement, le site internet de l’association porteuse et celui de l’organisme de contrôle. Cette publicité est la condition de la portée externe du code : un client qui contracte avec un fournisseur adhérent doit pouvoir consulter librement le texte intégral des engagements.

Adhérer à un code de conduite : six étapes

Pour un opérateur — responsable de traitement ou sous-traitant — qui souhaite adhérer à un code, le parcours opérationnel se décompose en six étapes.

Premièrement, qualifier la cible : quel code couvre le périmètre d’activité (cloud IaaS/PaaS/SaaS, marketing direct, recherche, etc.) et le périmètre géographique (national, pan-européen) ? Deuxièmement, lire le code dans son intégralité et l’évaluation type proposée par le monitoring body : tous les codes prévoient un référentiel d’auto-évaluation. Troisièmement, mener l’écart-analyse interne : niveaux d’adhésion (parfois Level 1 / Level 2 / Level 3 comme dans l’EU Cloud CoC), traitements concernés, lacunes documentaires. Quatrièmement, soumettre la candidature au monitoring body avec le dossier requis (politique, registre Art. 30, DPA Art. 28, procédures violations, etc.). Cinquièmement, faire réaliser l’audit ou la vérification documentaire selon le niveau ; corriger les non-conformités. Sixièmement, publier l’adhésion (Art. 24(3)) et l’intégrer aux communications externes — site web, fiches commerciales, mentions Art. 13/14, DPA Art. 28 en référence.

Pour un fournisseur cloud français, l’EU Cloud CoC se travaille en six à douze mois pour une certification Level 2, et davantage pour Level 3 ; le coût direct (frais SCOPE Europe + audit) se situe entre 15 000 € et 60 000 € selon l’envergure de l’organisation. Pour un acteur du marketing direct, le code FEDMA est plus léger : trois à six mois et coûts maîtrisés.

Articulation avec les autres instruments

Le code de conduite n’est pas un substitut universel. Il s’articule avec trois autres instruments. Premièrement, la certification Art. 42 : la certification atteste qu’une opération de traitement précise est conforme à un référentiel, tandis que le code engage un acteur sur une famille de pratiques. Deuxièmement, les BCR Art. 47 : les BCR sont conçues pour un groupe d’entreprises, le code pour un secteur. Troisièmement, les clauses contractuelles types : les CCT sont par défaut, le code est une alternative qualitative, plus engageante mais aussi plus discriminante commercialement.

L’arbitrage est rarement exclusif. Dans la pratique des grands fournisseurs cloud, on observe une superposition : adhésion au code EU Cloud CoC (transferts et cloud), certification ISO 27701 (système de management), SecNumCloud ANSSI (souveraineté française), CCT 2021/914 pour les transferts non couverts par le code, et politiques de groupe internes proches de BCR. Cette stratification multiplie les coûts mais répond à l’hétérogénéité des exigences clients.

Ce qu’il faut retenir

• L’Art. 40 institue les codes de conduite comme instruments sectoriels de conformité au RGPD. Onze paragraphes en organisent l’objet, le contenu, la procédure d’adoption et la portée.
• Un code est par construction sectoriel et doit couvrir tout ou partie des onze familles de sujets listées à l’Art. 40(2). Il doit obligatoirement prévoir un mécanisme de contrôle indépendant accrédité (Art. 40(4) et Art. 41).
• Depuis les Lignes directrices 4/2021 du CEPD et l’extension 2024 de l’EU Cloud CoC, les codes peuvent servir de garantie appropriée pour les transferts hors UE au sens de l’Art. 46(2)(e).
• La procédure d’approbation devant la CNIL dure dix-huit à trente mois pour un code national, trois à cinq ans pour un code pan-européen avec validation Commission au titre de l’Art. 40(9).
• Adhérer à un code approuvé renforce l’accountability (Art. 24(3)) et peut éviter une partie des questions de contractualisation sous-traitance Art. 28 — sans pour autant écarter la compétence de la CNIL ni les sanctions de l’Art. 83.

FAQ

Un code de conduite suffit-il à démontrer la conformité au RGPD ?

Non. L’adhésion à un code approuvé constitue un « élément à prendre en considération » pour démontrer le respect des obligations du responsable de traitement (Art. 24(3)) ou du sous-traitant (Art. 28(5)), mais ne crée pas une présomption générale de conformité. La CNIL conserve sa pleine compétence pour contrôler et sanctionner au titre des Art. 83 et 84. Le code couvre par ailleurs une fraction des obligations seulement — il ne dispense pas de la conformité aux autres exigences du règlement.

Quelle est la différence entre un code de conduite et une certification RGPD ?

La certification (Art. 42) atteste qu’une opération de traitement précise — un service, un produit, un système — répond à un référentiel précis ; elle est délivrée par un organisme certificateur à un opérateur déterminé. Le code de conduite (Art. 40) est élaboré par une association professionnelle pour un secteur ; il définit des pratiques opposables à tous les adhérents. Les deux instruments coexistent : un opérateur peut être adhérent d’un code ET détenir une certification pour un service spécifique.

Comment vérifier qu’un fournisseur est réellement adhérent à un code ?

Trois vérifications cumulatives. Premièrement, consulter le registre du CEPD (codes transnationaux) ou de la CNIL (codes nationaux). Deuxièmement, consulter le registre public tenu par le monitoring body — pour l’EU Cloud CoC, c’est SCOPE Europe qui publie la liste des opérateurs adhérents et leur niveau. Troisièmement, demander au fournisseur les pièces justificatives de son adhésion (numéro d’enregistrement, niveau, date d’audit, périmètre des services couverts) — ces informations doivent être annexées au DPA Art. 28.

Un code de conduite remplace-t-il les clauses contractuelles types pour un transfert hors UE ?

Oui, si le code a été approuvé comme outil de transfert au sens de l’Art. 46(2)(e) et conformément aux Lignes directrices 4/2021 du CEPD. En pratique, l’EU Cloud CoC le permet depuis 2024 ; quelques autres codes sont en instruction. Le code ne dispense pas du Transfer Impact Assessment introduit par Schrems II, mais en standardise une partie. Pour les opérateurs non couverts par un code adapté, les clauses contractuelles types 2021/914 restent l’instrument par défaut.

Comment une PME peut-elle bénéficier d’un code de conduite sans en supporter le coût ?

Trois leviers. Premièrement, adhérer à un code existant de son secteur — c’est l’usage normal, le coût d’adhésion est typiquement compris entre 500 € et 5 000 € selon les codes pour une PME, contre 150 000 € à 400 000 € pour la création d’un code. Deuxièmement, participer aux travaux de codification via son syndicat professionnel : les associations porteuses bénéficient du soutien méthodologique de la CNIL au titre de l’accompagnement TPE-PME. Troisièmement, identifier les codes destinés explicitement aux PME (Art. 40(1) en fait une priorité) : la CNIL incite les fédérations à inclure des dispositions différenciées pour les petites structures.

---

Cet article fait partie de la série RGPD article par article — un commentaire systématique des dispositions du règlement (UE) 2016/679. Pour recevoir nos analyses chaque semaine, abonnez-vous à notre newsletter.