RGPD : Que sont les tiers-autorisés?

Le Règlement Général sur la Protection des Données (RGPD) évoque différentes catégories de personnes, au nombre desquelles figurent les tiers-autorisés. Il s’agit de personnes qui, à un moment ou à un autre, interviennent ou peuvent intervenir dans le cadre du traitement des données personnelles d’une personne. Le tiers-autorisé est un statut accordé à une personne physique ou à une entité, et qui l’autorise à accéder aux informations personnelles d’une autre personne.

Tiers-autorisés : définition

C’est dans son article 4-10 que le RGPD définit la notion de tiers-autorisés en ces termes : « Une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ».

De son côté, la Commission Nationale de l’Informatique et des Libertés (CNIL) estime que, sont considérés comme des tiers-autorisés, des organismes pouvant accéder à certaines données contenues dans des fichiers publics ou privés parce qu’une loi les y autorise expressément. Ces tiers sont des autorités publiques ou des auxiliaires de justice.

Exemples de tiers-autorisés

Afin de rendre sa réponse plus compréhensible, la CNIL présente une liste de quelques exemples de tiers-autorisés. Y figurent :

  • l’administration fiscale ;
  • les organismes de sécurité sociale, dans le cadre de la lutte contre la fraude, et les organismes en charge de l’instruction, du versement et du contrôle du RSA ;
  • les huissiers de justice ;
  • les administrations de la justice, de la police et de la gendarmerie.

Elle va plus loin en ajoutant que la communication des données personnelles doit être faite sur demande. Celle-ci doit :

  • être écrite et préciser le texte législatif la justifiant ;
  • être ponctuelle et précise (c’est-à-dire que l’accès à l’intégralité d’un fichier n’est pas permis) ;
  • préciser les catégories de données auxquelles le tiers souhaite accéder.

Différence entre destinataire et tiers-autorisé

L’article 3-2 de la loi Informatique et Libertés définit le destinataire des données personnelles comme « toute personne habilitée à recevoir communication de ces données ». Pour le RGPD, il s’agit de « la personne physique ou morale, de l’autorité publique, du service ou de tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ». Au regard de cette définition, le RGPD précise encore que les autorités physiques recevant communication des données dans le cadre d’une requête ne sont pas des destinataires. Elles semblent avoir la qualité de tiers-autorisés, notion que la Loi Informatique et Libertés conçoit comme désignant l’autorité habilitée à demander la communication de données personnelles traitées par le responsable du traitement, parce qu’un texte l’y autorise. Et c’est là la différence fondamentale entre les destinataires et les tiers-autorisés qui, eux, bénéficient d’une habilitation leur permettant d’obtenir la communication des données. Cela voudra aussi dire que le mouvement de données vers cette autorité ne peut qu’être ponctuel.

Rôle du responsable lors de la communication des données

Le responsable du traitement est la première personne intervenant dans le cadre d’une communication de données à des tiers-autorisés. Ainsi, lorsqu’un organisme se prévalant de ce statut demande la transmission de données personnelles, le RGPD dispose que le responsable du traitement doit procéder à certaines vérifications.

Indépendamment des exigences liées à la formulation de la demande et évoquées supra, celle-ci doit préciser les fondements juridiques de cette communication, de même que les catégories d’informations demandées. Il s’agira pour le responsable du traitement de vérifier le fondement textuel de la demande de communication.

En plus de cela, il est tenu de s’assurer de la sécurité des données personnelles fournies, et ceci jusqu’au stade de leur transmission. Dans cette logique, les modalités de communication choisies doivent être de nature à empêcher toute consultation non-autorisée. La CNIL propose par exemple que lorsque des fichiers sont joints à des courriels, ces fichiers fassent l’objet d’un chiffrement, et parallèlement d’une communication de mot de passe. Ici, le protocole HTTPS peut aider à un chiffrement des canaux de communication. Enfin, dans le cadre du RGPD, le responsable du traitement se doit de s’assurer de la véracité des données fournies. C’est le genre de détail auquel veille la CNIL, et pour lequel elle n’hésite pas à sévir ou à prononcer des avertissements publics.

La nécessité d’informer ou non les personnes concernées

Il convient d’apporter quelques précisions quant à certaines modalités de cette communication de données. Les tiers-autorisés, le responsable du traitement ou ses collaborateurs, et les sous-traitants, n’ont pas à être mentionnés dans un dossier de formalité préalable adressé à la CNIL, puisqu’au sens du RGPD, ils ne sont pas considérés comme des destinataires.

De même, il n’est pas non plus obligatoire d’informer les personnes concernées que des transmissions de données relatives à leur identité ont été effectuées. Cependant, lorsque des personnes sont concernées par un fichier, le fait de les informer qu’une communication de données pourrait être faite à des tiers habilités par la loi, peut s’avérer nécessaire ou utile lorsque l’information communiquée reste générale. En outre, ladite information doit se limiter à l’indication de cette possibilité. C’est-à-dire que la liste intégrale des tiers-autorisés n’a pas à être établie.

Articles liés à ce sujet :