de contrôle » (art. 41, 1). Dans le cadre de la demande d'agrément, l'autorité de contrôle devra apprécier différents critères (listés à l'article 41, 2). L'organisme doit démontrer « son indépendance et son expertise au regard de l'objet du code » et que « ses tâches et missions n'entraînent pas de conflits d'intérêts ». Il devra également avoir établi des procédures permettant d'apprécier si les responsables du traitement et les sous-traitants « satisfont aux conditions pour appliquer le code, de contrôler le respect de ses dispositions et d'examiner périodiquement son fonctionnement » et de traiter les éventuelles réclamations portant sur une violation du code. En cas de violation du code par l'un de ses adhérents, l'organisme en charge du contrôle peut suspendre ou exclure l'adhérent en cause de l'application du code. Dans ce cas, il informe l'autorité de contrôle compétente de « ces mesures et des raisons pour lesquelles elles ont été prises ». L'adhésion à un code de conduite et le contrôle du respect du code ne se substituent donc pas au contrôle de l'autorité de protection des données. Cet engagement n'est cependant pas anodin dans la mesure où certains manquements au code de la part d'un adhérent sont susceptibles d'être notifiés à la CNIL (v. supra). L'organisme agréé peut également faire l'objet d'une sanction en application de l'article 83 en cas de manquements à ses propres obligations en tant qu'organisme chargé du contrôle du code (par exemple dans l'hypothèse où il n'informerait pas la CNIL d'une suspension d'un adhérent). Les mécanismes de certification L'article 42 du RGPD prévoit « la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière ». Le but de ces outils est de permettre à un responsable du traitement ou à un sous-traitant de démontrer que les opérations de traitement qu'il réalise sont conformes au Règlement. Ces outils peuvent également être utilisés pour justifier qu'une entreprise non soumise aux dispositions du RGPD respecte ses principes et présente des garanties appropriées dans le cadre des transferts de données hors Union européenne (v. Fiche 9). A titre d'exemple, on peut citer le Code of conduct on Data Protection in Online Gambling adopté en juin 2020 par l'association européenne des jeux et des paris placé sous la supervision de l'autorité maltaise de protection des données. Il s'agit d'un processus volontaire nécessitant une évaluation réalisée cette fois a priori par un organisme de certification agréé, par une autorité de contrôle compétente ou par le CEPD. Cette évaluation est réalisée sur la base de critères approuvés par une autorité de contrôle ou le CEPD. 68