Communication de données personnelles : qu’est-ce qu’un tiers autorisé ?

Certains organismes ont qualité pour requérir la communication de documents intégrant des données à caractère personnel : lesquels et dans quelles conditions ?

Source : Tiers autorisés, La CNIL publie un guide pratique et recueil de procédures, le 10 juillet 2020

 

Suivant le RGPD, les autorités publiques requérant la communication de données dans le cadre d’une enquête ne doivent pas être considérées comme des « destinataires » mais doivent bénéficier de la qualité de « tiers autorisés ».

 

Ces « tiers autorisés » jouissent effectivement d’un pouvoir leur permettant de prendre connaissance d’informations et de documents détenus par des organismes de toute nature, sous réserve de justifier de leur requête à travers l’application d’un fondement légal.

 

Sur la forme, toute demande doit :

 

être présentée par écrit

 

être motivée

 

revêtir un caractère occasionnel

 

ne pas porter sur l’intégralité d’un fichier mais préciser les catégories d’informations requises

 

ne pas conduire à l’interconnexion de fichiers

 

Dans ce cadre, tout responsable de traitement doit veiller à se conformer aux demandes formulées tout en garantissant la sécurité des données personnelles collectées et traitées.

 

Pour ce faire, il lui appartient de :

 

vérifier l’existence d’un fondement légal venant à l’appui de la demande de communication ;

 

vérifier la qualité de l’organisme requérant et le périmètre des informations requises ;

 

sécuriser la communication des données

 

1. Le fondement de la demande

 

Deux hypothèses :

 

Soit la requête mentionne un fondement légal : dans ce cas, il est essentiel d’en vérifier le contenu ;

 

Soit la requête ne mentionne aucun fondement légal : dans ce cas, il est nécessaire de se rapprocher de l’organisme requérant pour connaitre la base légale sur laquelle il s’appuie. A défaut de texte, il n’y pas lieu de donner une suite favorable à cette demande.

 

En tout état de cause, le contexte à lui seul ne peut justifier la communication d’informations intégrant des données personnelles.

 

La détermination du fondement légal constitue donc un préalable incontournable.

 

2. La source et le périmètre de la demande

 

Il appartient ici au responsable de traitement de vérifier que l’organisme auteur de la demande de communication apparait expressément dans le fondement légal précité et de vérifier également le périmètre délimitant les informations ou documents pouvant faire l’objet de cette demande de communication.

 

Ainsi, les informations transmises ou à transmettre doivent être explicitement mentionnées dans ce même texte.

 

Le responsable de traitement doit également s’assurer qu’il ne communique aucune donnée personnelle dépassant le périmètre de la demande, à laquelle il ne peut qu’être répondu strictement.

 

3. La sécurité de la communication

 

Les dispositions légales encadrant les pouvoirs des tiers autorisés définissent les différentes modalités de transmission des informations requises, telles que la communication pure et simple, la saisie de documents, l’audition du responsable du traitement ou encore un accès à distance.

 

Il appartient donc conjointement au responsable du traitement et au tiers autorisé de respecter ces modalités, ainsi que de s’assurer de la confidentialité et de l’intégrité des données transmises.

 

Le non-respect d’au moins une de ces 3 conditions (fondement, source et sécurité) est susceptible d’engager la responsabilité du responsable du traitement, que ce soit sur un plan civil, administratif ou pénal.

 

En dernier lieu, contester une demande de cette nature n’est envisageable que dans le seul cadre des voies de recours exposées dans les dispositions légales applicables à la demande considérée, déterminant leurs conditions et effets.

 

Vianney DESSENNE