Article 41 RGPD : l'organisme de suivi des codes décrypté

Quand l’autorité belge de protection des données a approuvé l’EU Cloud Code of Conduct en mai 2021, le code n’est pas devenu opposable parce qu’il était bien rédigé. Il l’est devenu parce qu’un tiers indépendant — SCOPE Europe — a été simultanément agréé pour en contrôler le respect par les adhérents. Sans cet organisme de suivi, le code reste un texte de soft law. Avec lui, il devient un mécanisme de conformité disciplinant. C’est tout l’enjeu de l’Art. 41 du RGPD : il transforme un instrument déclaratif en un instrument vérifié, et conditionne l’effet juridique des codes de conduite Art. 40 à l’existence d’un contrôle effectif.

Ce que dit l’article 41 du RGPD

L’Art. 41 s’intitule « Suivi des codes de conduite approuvés ». Il figure au chapitre IV section 5 du RGPD, entre l’Art. 40 sur les codes de conduite et l’Art. 42 sur la certification. Sa fonction est strictement procédurale : il définit qui peut contrôler le respect d’un code, à quelles conditions, et avec quelles obligations.

L’architecture du texte est en six paragraphes. L’Art. 41(1) pose le principe : le suivi est confié à un organisme qui dispose d’un niveau d’expertise approprié et qui est agréé à cette fin par l’autorité de contrôle compétente. L’Art. 41(2) énumère les quatre conditions cumulatives d’agrément. L’Art. 41(3) renvoie le projet de critères d’agrément à l’examen du Comité européen de la protection des données (CEPD) au titre du mécanisme de cohérence Art. 63. L’Art. 41(4) impose à l’organisme une obligation d’action en cas d’infraction au code. L’Art. 41(5) confère à l’autorité de contrôle le pouvoir de retirer l’agrément. L’Art. 41(6) exclut le mécanisme pour les autorités publiques.

Le législateur européen a voulu une chose simple : qu’un adhérent à un code ne puisse pas se contenter de signer un document. Il doit accepter d’être contrôlé par un tiers indépendant, qui doit lui-même répondre devant la CNIL. La double redevabilité — adhérent vers organisme, organisme vers autorité — est la clef de voûte du dispositif. Sans elle, les codes de conduite n’auraient jamais pu devenir, depuis 2022, un instrument autonome de transferts internationaux au sens de l’Art. 46(2)(e).

Art. 41(1) — Le principe : un organisme tiers, agréé et expert

L’Art. 41(1) dispose que, sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente au titre des Art. 57 et 58, le suivi du respect d’un code de conduite peut être effectué par un organisme qui dispose d’un niveau d’expertise approprié au regard de l’objet du code et qui est agréé à cette fin par l’autorité de contrôle compétente.

Trois éléments structurants se dégagent du texte.

D’abord, le principe de non-substitution. Le suivi par un organisme tiers ne fait pas écran aux pouvoirs de la CNIL. C’est important parce qu’on rencontre encore, dans certains argumentaires commerciaux, l’idée qu’un adhérent à un code « passe sous le contrôle » de l’organisme et échappe à l’autorité. C’est faux. La CNIL conserve l’intégralité de ses pouvoirs d’enquête et de sanction au titre de l’Art. 58, et peut, par exemple, ouvrir un contrôle sur un adhérent EU Cloud CoC qui aurait subi une violation de données notifiée au titre de l’Art. 33 sans que l’organisme de suivi ait été préalablement saisi.

Ensuite, le caractère facultatif au regard de la nature du code. L’Art. 41(1) prévoit que le suivi « peut » être effectué par un organisme — formulation qui paraît permissive, mais qui est en pratique contredite par l’Art. 41(4) : un code approuvé doit être suivi, et il l’est soit par un organisme tiers, soit, exceptionnellement, par l’autorité elle-même. Les Lignes directrices 1/2019 du CEPD du 4 juin 2019, dans leur version 2.0 du 6 juin 2019, précisent que pour les codes nationaux, l’autorité peut accepter qu’elle-même assure le suivi lorsque le code émane du secteur public ; mais pour les codes sectoriels privés, l’organisme de suivi tiers est la règle.

Enfin, le critère matériel d’expertise. L’expertise doit être « appropriée au regard de l’objet du code ». Cela signifie que les compétences exigées d’un organisme suivant un code « cloud hyperscaler » (EU Cloud CoC) diffèrent de celles requises pour un code « pharmacie clinique » (EFPIA), pour un code « marketing direct » (FEDMA) ou pour un code « assurance » (Insurance Europe). La CNIL apprécie l’expertise au cas par cas en examinant le CV des dirigeants de l’organisme, les certifications professionnelles des auditeurs, les références antérieures et l’organisation interne.

Art. 41(2) — Les quatre conditions cumulatives d’agrément

L’Art. 41(2) énumère quatre conditions que l’organisme de suivi doit remplir cumulativement pour être agréé. Aucune n’est facultative.

Première condition — l’indépendance et l’expertise (Art. 41(2)(a)). L’organisme doit démontrer son indépendance et son expertise au regard de l’objet du code, à la satisfaction de l’autorité de contrôle compétente. L’indépendance est appréciée à plusieurs niveaux : indépendance capitalistique vis-à-vis du code owner (l’association sectorielle qui porte le code), indépendance fonctionnelle (procédures de décision distinctes), indépendance financière (ressources propres permettant de refuser un dossier mal payé) et indépendance opérationnelle (personnel d’audit non partagé avec les services commerciaux du code owner). SCOPE Europe, l’organisme de suivi de l’EU Cloud CoC et du CISPE Data Protection Code, est structuré en société-fille de la Self-Regulation Information Society (SRIW) précisément pour assurer cette indépendance.

Deuxième condition — les procédures de contrôle (Art. 41(2)(b)). L’organisme doit avoir mis en place des procédures permettant d’apprécier si les responsables de traitement et les sous-traitants concernés peuvent appliquer le code, de contrôler le respect de ses dispositions et d’examiner périodiquement son fonctionnement. Le triptyque — éligibilité, contrôle initial, surveillance continue — structure l’ensemble du dispositif. Les Lignes directrices 1/2019 v2.0 du CEPD du 6 juin 2019 et la mise à jour CEPD 6/2022 du 14 juin 2022 ajoutent une exigence de proportionnalité : la profondeur du contrôle doit refléter le risque que le traitement concerné fait peser sur les droits et libertés des personnes, au sens de l’Art. 24.

Troisième condition — la gestion des réclamations (Art. 41(2)©). L’organisme doit avoir mis en place des procédures et des structures pour traiter les réclamations relatives aux violations du code ou à la manière dont le code a été ou est appliqué par un responsable du traitement ou un sous-traitant, et rendre ces procédures et structures transparentes à l’égard des personnes concernées et du public. Cette exigence est essentielle : sans canal de plainte effectif, le suivi reste théorique. SCOPE Europe publie une procédure de plainte avec accès en ligne, délai cible de réponse, suivi écrit et possibilité d’escalade. Le rapport annuel de l’organisme — exigé par la CNIL en pratique — détaille le volume des plaintes, le délai moyen de traitement et la suite donnée.

Quatrième condition — l’absence de conflit d’intérêts (Art. 41(2)(d)). L’organisme doit démontrer, à la satisfaction de l’autorité de contrôle compétente, que ses tâches et ses missions n’entraînent pas de conflit d’intérêts. Cette condition s’apprécie organisation par organisation. Un organisme qui audite un adhérent et fournit en parallèle des prestations de conseil RGPD à ce même adhérent crée un conflit prohibé. C’est l’une des raisons pour lesquelles SCOPE Europe, organisme de suivi, est juridiquement et opérationnellement distinct de la SRIW elle-même, et c’est aussi pourquoi les Lignes directrices CEPD imposent une politique de gestion des conflits d’intérêts formalisée et publiée.

À ces quatre conditions de l’Art. 41(2), les Lignes directrices CEPD 1/2019 v2.0 ajoutent — sans modifier le texte — un faisceau d’exigences pratiques : statuts, gouvernance, charte d’audit, méthodologie reproductible, politique d’archivage, plan de continuité d’activité, polices d’assurance professionnelle, transparence sur les barèmes d’audit. La CNIL, dans le cadre des projets nationaux qu’elle instruit, vérifie systématiquement ces éléments avant agrément.

Art. 41(3) — Le mécanisme de cohérence

L’Art. 41(3) prévoit que les projets de critères d’agrément d’un organisme de suivi sont soumis à l’autorité de contrôle compétente, qui les communique au CEPD au titre du mécanisme de cohérence visé à l’Art. 63. Le CEPD émet un avis non contraignant — qui en pratique l’est devenu, car aucune autorité n’a, à ce jour, choisi de s’en écarter.

Le sens du mécanisme est d’assurer l’homogénéité du niveau d’exigence sur l’ensemble du territoire de l’Union. Sans coordination, on pourrait imaginer qu’un État membre approuve des organismes laxistes pour favoriser ses opérateurs nationaux. L’Art. 41(3) ferme cette porte. C’est précisément ce qui a permis la reconnaissance transfrontalière des codes transnationaux : un opérateur français qui adhère à l’EU Cloud CoC suivi par SCOPE Europe est, en pratique, contrôlé selon les mêmes critères qu’un opérateur allemand ou italien.

Art. 41(4) — L’obligation d’action de l’organisme

L’Art. 41(4) impose à l’organisme de suivi, sans préjudice des missions et des pouvoirs de l’autorité de contrôle compétente et des dispositions du chapitre VIII, et sous réserve des garanties appropriées, de prendre des mesures appropriées en cas de violation du code par un responsable du traitement ou un sous-traitant. Le texte cite expressément la suspension ou l’exclusion du responsable du traitement ou du sous-traitant concerné, et l’obligation d’informer l’autorité de contrôle compétente des mesures prises et de leur justification.

Trois éléments doivent être soulignés.

D’abord, l’éventail gradué des mesures. L’organisme doit disposer d’une palette d’actions proportionnée : avertissement écrit, demande de remédiation sous délai, suspension de l’adhésion, exclusion. Les Lignes directrices CEPD 1/2019 v2.0 précisent que la procédure doit être contradictoire, motivée et susceptible de recours interne. SCOPE Europe, comme l’organisme italien Insurance Europe, publie le règlement intérieur de sa procédure disciplinaire.

Ensuite, l’obligation de notification à la CNIL. L’organisme ne peut pas régler en interne sans informer l’autorité. Cette information n’est pas optionnelle ; elle est une condition de la traçabilité du dispositif. Un organisme qui suspendrait un adhérent sans notifier la CNIL violerait l’Art. 41(4) et exposerait sa propre accréditation au retrait au titre de l’Art. 41(5).

Enfin, l’articulation avec les pouvoirs propres de la CNIL. Si une violation du code constitue par ailleurs une violation du RGPD, la notification à la CNIL au titre de l’Art. 41(4) ne dispense pas le responsable de traitement de ses obligations propres au titre de l’Art. 33 ou de l’Art. 34. La CNIL peut, sur la base de l’information transmise par l’organisme, déclencher un contrôle au titre de l’Art. 58 et prononcer une sanction au titre de l’Art. 83.

Art. 41(5) — Le retrait de l’agrément

L’Art. 41(5) prévoit que l’autorité de contrôle compétente révoque l’agrément de l’organisme de suivi visé au paragraphe 1 si les conditions requises pour l’agrément ne sont pas, ou ne sont plus, remplies, ou si les mesures prises par l’organisme constituent une violation du règlement.

Le retrait peut intervenir dans trois situations principales. Premièrement, lorsque l’une des quatre conditions de l’Art. 41(2) cesse d’être remplie — par exemple si l’organisme perd son indépendance à la suite d’un rachat capitalistique par le code owner ou par un adhérent. Deuxièmement, lorsque l’organisme n’agit pas, ou agit de manière manifestement inadéquate, face à une violation du code par un adhérent. Troisièmement, lorsque les mesures prises par l’organisme contredisent directement les obligations du RGPD — un cas que les Lignes directrices CEPD 1/2019 v2.0 illustrent par l’hypothèse d’un organisme qui exigerait des adhérents des pratiques contraires à l’Art. 5 ou à l’Art. 6.

Le retrait est une décision susceptible de recours contentieux devant le juge administratif compétent. À ma connaissance, aucun retrait d’agrément Art. 41(5) n’a été prononcé en France ni dans un autre État membre depuis 2018. Ce n’est pas le signe d’une procédure inefficace : c’est plutôt l’effet d’un filtrage très exigeant en amont, où la CNIL et les autorités homologues n’accordent l’agrément qu’à un nombre restreint d’organismes — SCOPE Europe en Belgique, BSI Group au Royaume-Uni post-Brexit, AssoDPO en Italie pour certains codes nationaux.

Art. 41(6) — L’exclusion des autorités publiques

L’Art. 41(6) prévoit que le présent article ne s’applique pas au traitement effectué par les autorités publiques et les organismes publics. Le considérant 76 du RGPD justifie cette exclusion : les autorités publiques sont soumises à un régime de contrôle spécifique, fondé sur le contrôle de légalité administratif et sur la responsabilité politique, et l’agrément d’un organisme privé de suivi serait incompatible avec ce régime.

En pratique, lorsqu’un code de conduite concerne des traitements mis en œuvre par des autorités publiques — par exemple, un code sectoriel hospitalier ou un code des collectivités territoriales — le suivi est assuré directement par l’autorité de contrôle, sans organisme tiers. Cette voie est ouverte par les Lignes directrices CEPD 1/2019 v2.0, qui précisent que pour les codes nationaux à composante publique, l’autorité peut accepter d’assumer elle-même la fonction de suivi.

Procédure d’agrément CNIL : les étapes structurantes

La procédure d’agrément d’un organisme de suivi par la CNIL n’est pas codifiée dans un texte unique. Elle se déduit de l’Art. 41, des Lignes directrices CEPD 1/2019 v2.0, de la pratique administrative française et des délibérations CNIL sur les procédures d’instruction. Elle se déroule en quatre temps.

Phase 1 — Pré-saisine et instruction conjointe avec le code. L’organisme candidat dépose un dossier conjoint avec le porteur du code de conduite, qui détaille la structure juridique, les statuts, la gouvernance, la procédure de plainte, la méthodologie d’audit, le barème, la politique d’indépendance et de gestion des conflits d’intérêts, les CV des auditeurs et les références antérieures. La CNIL examine en parallèle le projet de code (au titre de l’Art. 40) et le projet d’organisme (au titre de l’Art. 41).

Phase 2 — Échanges contradictoires. La CNIL adresse à l’organisme candidat une série de questions techniques et juridiques, organise des auditions des dirigeants et examine la cohérence de la méthodologie d’audit avec l’objet du code. Cette phase peut s’étendre sur 6 à 12 mois.

Phase 3 — Avis du CEPD. Pour un code transnational, le projet d’agrément est soumis au CEPD au titre de l’Art. 41(3). Pour un code national, la consultation peut être moins formelle mais reste pratiquée. L’avis du CEPD est rendu en plénière, généralement dans un délai de 8 semaines avec prolongation possible.

Phase 4 — Délibération et publication. La CNIL adopte la délibération d’agrément en formation plénière, en même temps ou très peu après la délibération d’approbation du code de conduite. L’agrément est publié au registre tenu par la CNIL et figure, pour les codes transnationaux, au registre public du CEPD sur edpb.europa.eu.

Le coût total d’un projet d’agrément — pour l’organisme candidat — est rarement inférieur à 200 000 € (frais juridiques, expertise méthodologique, audits blancs, mise à niveau organisationnelle). Le retour sur investissement s’apprécie sur 10 à 15 ans, durée de vie typique d’un code de conduite.

Articulation avec les autres instruments de conformité

L’Art. 41 s’articule avec plusieurs instruments du RGPD, qu’il convient de distinguer.

Avec l’Art. 43 RGPD sur les organismes de certification, l’Art. 41 partage la logique générale du tiers indépendant accrédité, mais s’en distingue par deux points : l’organisme de certification est accrédité par un organisme national d’accréditation (en France, le COFRAC) selon les normes ISO 17065 et 17021, alors que l’organisme de suivi est agréé directement par la CNIL sur la base des Art. 41(2) et 43(1) lettre b ; et l’objet du contrôle diffère, le certificateur attestant la conformité au RGPD via un schéma de certification, l’organisme de suivi attestant le respect d’un code de conduite sectoriel.

Avec les audits Art. 28 dans le cadre de la sous-traitance, l’Art. 41 partage la fonction de contrôle d’un acteur sur un autre, mais avec deux différences majeures : l’audit Art. 28 est diligenté par le responsable de traitement vis-à-vis de son sous-traitant, alors que l’agrément Art. 41 vise un organisme tiers indépendant ; et l’audit Art. 28 est contractuel, alors que l’agrément Art. 41 est administratif et opposable erga omnes.

Avec les BCR Art. 47, l’Art. 41 partage le caractère pluri-acteurs des engagements, mais les BCR sont un instrument intra-groupe pour les transferts, alors que l’Art. 41 est un mécanisme sectoriel ouvert.

Avec les certifications privées (ISO 27001, ISO 27701, SecNumCloud, HDS), l’Art. 41 partage la dimension d’audit tiers, mais ces certifications privées n’offrent pas l’ancrage juridique RGPD direct ni l’effet de transfert international au titre de l’Art. 46(2)(e).

Plan opérationnel pour un porteur de code

Pour un porteur de code de conduite qui prépare la soumission de son code à la CNIL au titre de l’Art. 40, la question de l’organisme de suivi se pose en quatre chantiers.

Chantier 1 — Choisir le modèle. Trois options sont ouvertes : créer une structure dédiée (modèle SCOPE Europe pour le cloud), s’adosser à un organisme existant déjà agréé sur un autre code (modèle BSI Group), ou solliciter le suivi par l’autorité de contrôle elle-même lorsque le code émane d’un secteur public. Le choix dépend du volume d’adhérents anticipé, du budget disponible et du degré de spécialisation requis.

Chantier 2 — Construire l’indépendance. Si la voie « structure dédiée » est retenue, organiser dès la conception la séparation capitalistique, fonctionnelle, financière et opérationnelle avec le porteur du code et avec les adhérents. Documenter la politique de gestion des conflits d’intérêts et la publier.

Chantier 3 — Méthodologie et procédures. Élaborer la méthodologie d’audit (profondeur, échantillonnage, cycle), la procédure de plainte, la procédure disciplinaire (avertissement, remédiation, suspension, exclusion), la procédure de notification à la CNIL et le rapport annuel d’activité. La cohérence d’ensemble est plus importante que la sophistication de chaque procédure prise isolément.

Chantier 4 — Documentation et instruction. Préparer le dossier de saisine conjoint avec le porteur du code, l’instruire avec la CNIL en mode contradictoire, anticiper la phase CEPD pour un code transnational. Le calendrier réaliste est de 18 à 30 mois entre le dépôt et la délibération d’agrément.

Ce qu’il faut retenir

• L’Art. 41 RGPD organise le suivi des codes de conduite Art. 40 par un organisme tiers indépendant, agréé par la CNIL en France, sans dessaisissement de l’autorité de contrôle.
• L’agrément suppose quatre conditions cumulatives (Art. 41(2)) : indépendance et expertise, procédures d’évaluation et de contrôle, gestion des réclamations transparente, absence de conflit d’intérêts.
• Les critères d’agrément sont soumis au CEPD au titre du mécanisme de cohérence Art. 63, ce qui garantit l’homogénéité européenne des exigences.
• L’organisme de suivi a une obligation d’action graduée (Art. 41(4)) en cas de violation du code : avertissement, remédiation, suspension, exclusion, avec notification à la CNIL.
• L’autorité de contrôle peut retirer l’agrément (Art. 41(5)) si les conditions ne sont plus remplies ou si l’action de l’organisme contrevient au RGPD.
• Le mécanisme ne s’applique pas aux autorités publiques (Art. 41(6)) : pour les codes à composante publique, le suivi est assuré directement par l’autorité de contrôle.
• En pratique, SCOPE Europe (EU Cloud CoC, CISPE) est l’archétype de l’organisme de suivi : société-fille dédiée, méthodologie publique, rapport annuel, procédure de plainte en ligne.

---

Recevez nos analyses de conformité chaque semaine. Abonnez-vous à la newsletter pour décrypter ensemble les décisions CNIL et CJUE, les nouvelles lignes directrices du CEPD et les chantiers réglementaires européens qui structurent votre conformité.

---

FAQ

Qui agrée un organisme de suivi de code de conduite RGPD en France ?

En France, l’agrément est délivré par la CNIL, autorité de contrôle compétente au sens de l’Art. 55 du RGPD. Pour un code transnational, le projet d’agrément est soumis à l’avis du Comité européen de la protection des données au titre du mécanisme de cohérence de l’Art. 63. L’agrément est une décision administrative susceptible de recours devant le juge administratif.

Quelles différences entre l’Art. 41 et l’Art. 43 du RGPD ?

L’Art. 41 vise l’agrément d’un organisme qui contrôle le respect d’un code de conduite sectoriel Art. 40. L’Art. 43 vise l’accréditation d’un organisme qui délivre des certifications individuelles au sens de l’Art. 42 (par exemple Europrivacy). Les deux logiques sont parallèles mais distinctes : un organisme de suivi atteste qu’un adhérent respecte un code collectif, un organisme de certification atteste qu’un responsable de traitement satisfait un référentiel de certification.

Un organisme de suivi peut-il sanctionner un adhérent qui viole un code ?

Oui, dans les limites fixées par l’Art. 41(4). L’organisme dispose d’une palette d’actions graduées — avertissement, demande de remédiation sous délai, suspension, exclusion — qu’il met en œuvre selon une procédure contradictoire publiée. Ces mesures ne sont pas des sanctions administratives au sens de l’Art. 83 ; elles relèvent du droit privé associatif et n’excluent pas un contrôle parallèle de la CNIL.

Qu’est-ce que SCOPE Europe et quel est son rôle ?

SCOPE Europe est un organisme de suivi établi en Belgique, agréé par l’autorité belge de protection des données pour assurer le suivi de l’EU Cloud Code of Conduct (approuvé en mai 2021, étendu en 2024 pour les transferts internationaux) et du CISPE Data Protection Code (cloud infrastructure). C’est aujourd’hui le principal organisme de suivi européen en activité, modèle de référence pour les autres codes transnationaux en préparation.

Un organisme de suivi peut-il être créé par une association sectorielle ?

Oui, à condition que l’indépendance organique soit assurée. L’organisme doit être juridiquement distinct du porteur du code, doté de ressources propres, gouverné de manière autonome et opérationnellement séparé. La pratique la plus courante consiste à constituer une société-fille dédiée du porteur de code (modèle SCOPE Europe, filiale de SRIW), assortie d’une politique formalisée de gestion des conflits d’intérêts.