Communication aux tiers autorisés : Mode opératoire

Vous avez reçu une demande d’un tiers vous réclamant des informations à caractère personnel et vous ne savez pas si vous devez lui transmettre ? Ce mode opératoire est fait pour vous.

Qu’est-ce qu’un tiers autorisé ?

Selon la Commission nationale de l’informatique et des libertés (Cnil), un “tiers autorisé” est un organisme pouvant accéder, et au besoin copie ou saisie, à certaines données contenues dans des fichiers publics ou privés parce qu’une loi l’y autorise expressément. Ces “tiers autorisés” sont des autorités et organismes (publics le plus souvent) ou des auxiliaires de justice.

Ils ont le pouvoir d’exiger la transmission de documents ou de renseignements, ce qui implique donc la communication de données à caractère personnel par le responsable de traitement concerné.

La notion de « destinataire » est abordée dans l’article 4-9 du RGPD. Cet article précise que les tiers autorisés ne sont pas considérés comme des destinataires mais qu’ils ont toutefois la capacité à recevoir communication de données « dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ».

C’est alors au responsable de traitement de votre entité d’assurer la confidentialité et la sécurité de la transmission des données demandées aux seuls tiers habilités ou autorisés.

Comment déterminer si un tiers est autorisé ? La procédure à suivre

Il convient de mettre en œuvre trois grands principes :

  1. Vérifier l’existence d’un fondement légal autorisant la demande et la communication de données ;
  2. Vérifier la qualité de l’organisme à l’origine de la demande et du périmètre des informations ciblées ;
  3. Sécuriser la communication des données ou des modalités d’accès par le tiers autorisé.

Première étape : Vérifier la demande

Même s’il n’existe pas de document type à remplir que le responsable de traitement pourrait demander à chaque demande, il est tout de même indispensable de réclamer une demande écrite.

La demande faite par un tiers autorisé est toujours encadrée par un cadre juridique venant préciser les modalités de sa mise en œuvre (objet, nature des données demandées, documents concernés, etc., il est donc obligatoire de s’assurer que la requête se fonde sur une disposition légale en vigueur.

Il est donc nécessaire donc de contrôler la véracité de la référence légale ou réglementaire (Exemple : regarder la disposition sur Légifrance).

Si aucune disposition particulière n’est indiquée, le responsable de traitement doit contacter l’organisme à l’origine de la demande et lui demander la référence légale sur laquelle il se base pour réclamer les informations.

Une demande uniquement fondée sur des éléments contextuels (nature de l’organisme émetteur, habitudes relationnelles, tournures de phrases impératives, etc.) ne saurait être valable.

Deuxième étape : Identifier la source et le périmètre de la demande

Le responsable de traitement doit ensuite :

– Vérifier que l’organisme est bien cité dans la disposition légale ou réglementaire et donc habilité à demander la communication des données ;

– Vérifier les catégories de données des personnes nommément identifiées ou identifiables auxquelles l’organisme souhaite accéder.

La vérification de l’organisme à l’origine de la demande

Cette vérification est double.

– Vérification juridique : s’assurer que l’organisme formulant la demande est bien cité dans la disposition comme autorisé à exiger les informations demandées.

– Vérification pratique : s’assurer que la demande provient bien de l’organisme mentionné.  (Attention aux tentatives frauduleuses de récupération d’informations par des acteurs malveillants ou non autorisés.)

La vérification pratique doit être obligatoirement réalisée :

– Lorsque l’organisme formulant la demande n’est pas habituel (Exemple : premier échange avec l’organisme, nouvel interlocuteur d’un organisme « connu ») ;

– Lorsque la demande est transmise par un moyen ne permettant qu’un contrôle limité par le responsable (Par téléphone, par courriel, en personne) ;

– Lorsque la demande concerne des données d’un volume important, de nature inhabituelle ou d’une particulière sensibilité.

Lorsqu’un doute raisonnable pèse sur la qualité de l’organisme, le responsable de traitement doit réaliser un contrôle auprès de l’organisme lui-même.

Modalités de vérification

– Effectuer un contre-appel en utilisant le numéro de contact diffusé par le tiers sur l’annuaire ou sur son site internet et ne surtout pas utiliser le numéro de téléphone fourni par le demandeur ;

– Vérifier que l’adresse postale communiquée ou le nom de domaine utilisé ou indiqué (la partie qui suit le signe «@» dans une adresse de messagerie) correspond à celle diffusée par le tiers autorisé sur son site internet ou sur l’annuaire ;

– Si une personne physique s’est rendue au sein de votre entité afin de réaliser la demande, vérifier auprès de l’organisme les informations identifiant cette personne dans les locaux (Exemple : nom, prénom, fonction, matricule, ou présentation d’une carte professionnelle) ;

– Contacter le Délégué à la protection des données de l’organisme à l’origine de la demande s’il en existe un.

La vérification du périmètre des données transmises

Il appartient au responsable de traitement de s’assurer :

– Que les informations transmises sont effectivement visées par la disposition légale ou réglementaire invoquée ;

– Que seules les informations strictement nécessaires à la satisfaction de la demande soient transmises.

Lorsque la demande n’exige pas, en elle-même, la transmission de données personnelles, le responsable de traitement doit alors anonymiser les éléments fournis.

Le respect du secret professionnel et l’exercice du droit de communication

Il est important de toujours se demander si les informations exigées par un tiers autorisé sont protégées par le secret professionnel ou non.

Si tel est le cas, l’organisme doit pouvoir prouver, dans sa demande, que la disposition légale ou réglementaire qu’il invoque pour exiger la communication des informations lève ledit secret professionnel. A défaut, le responsable de traitement peut opposer le secret professionnel à l’organisme pour refuser la communication des informations demandées.

Il est important donc important de réaliser un travail d’identification du personnel soumis au secret professionnel au sein de votre entité.

La demande vise-t-elle des informations protégées par un secret professionnel ? Comment vérifier que le responsable de traitement est soumis au secret professionnel ?

Le responsable de traitement peut identifier et invoquer l’existence de dispositions expresses protégeant les informations qu’il détient.

Il se peut toutefois qu’il n’y ait pas de disposition explicite. Le responsable de traitement peut être soumis au respect d’un secret professionnel malgré l’absence de disposition légale explicite le concernant.

Peuvent alors être pris en compte ces critères d’appréciation qui ont trait à « la nature secrète de l’information en cause et, d’autre part, à la fonction ayant permis à l’intéressé d’obtenir ladite information » (Arrêt n°1-2019 du 30 septembre 2019 -Cour de justice de la République).

Le secret professionnel est-il opposable aux tiers autorisés ?

Il existe trois possibilités :

  1. Soit le secret professionnel est opposable aux tiers autorisés ;
  2. Soit certaines dispositions légales ou réglementaires peuvent lever ce secret professionnel, le tiers autorisé pouvant alors exiger la transmission des informations demandées ;
  3. Soit, à la marge, un texte peut être interprété et avoir pour effet, implicitement, de lever ledit secret à l’égard d’un tiers.

Pour cette dernière possibilité et au regard de la jurisprudence, chaque demande doit faire l’objet d’une « autorisation » en la matière après une interprétation casuistique d’un juge. Ce juge va déterminer si l’application des dispositions légales requiert impérativement la transmission d’information malgré le secret professionnel ou si l’objectif de la demande peut être atteint sans transgresser ce secret professionnel.

Troisième étape : Sécuriser la communication des informations demandées

Les dispositions légales encadrant les demandes des tiers autorisés prévoient différentes modalités d’obtention des informations auprès des responsables de traitement.

Quelques exemples de modalité d’obtention de l’information désirée :

  • Consultation et/ou copie de documents ou données (Exemple : contrôle sur place) ;
  • Saisie de documents ou de supports de stockage de données ;
  • Audition du responsable de traitement ;
  • Ouverture d’un accès distant à un système d’information par le tiers autorisé (Communication dématérialisée sécurisée).

La détermination du canal de transmission des informations

Les dispositions en vigueur prévoient rarement les modalités de transmission des informations demandées entre le responsable de traitement et le tiers autorisé formulant la demande.

Par principe, les acteurs doivent conjointement veiller à respecter l’obligation de sécurité des données, en particulier en termes de confidentialité et d’intégrité des données.

Quelques exemples de transmission sécurisée des informations demandées par le tiers autorisé :

  • Utilisation de procédés de chiffrement afin de rendre l’information inintelligible à toute personne ne disposant pas de la clef ;
  • Utilisation d’une plateforme d’échange en ligne sécurisée ;
  • Utilisation de deux canaux de transmission différents pour l’envoi d’un document chiffré et de la clef de déchiffrement associée (par exemple : envoi du document chiffré par courriel puis envoi de la clé de déchiffrement par téléphone).

Remarque

Si le tiers autorisé choisit un mode de transmission des informations peu sécurisée, le responsable de traitement ne peut en principe pas s’y opposer. En l’état, il conviendra donc d’adresser cette observation au tiers autorisé ayant fait la demande et de conserver les échanges ou tout élément utile sur ce point.

Peut-on conserver les éléments transmis ?

La CNIL fait état de pratiques différentes selon les organismes en ce qui concerne la conservation des informations transmises.

Dans ce flou juridique, il est possible d’envisager la conservation des échanges dans la mesure où un tel traitement :

  • Peut être justifié par la poursuite d’une finalité déterminée, explicite et légitime (article 5-1 du RGPD) ;
  • Concerne un périmètre de données réduit au strict nécessaire selon la finalité précitée (conservation des données ou uniquement la preuve de transmission) ;
  • Ne peut plus être mis en œuvre au-delà du délai nécessaire à l’accomplissement de cette finalité ;
  • Dispose de mesures de sécurité adaptées (ex : obligation de confidentialité).

Il est conseillé de créer un registre recensant les demandes des tiers autorisés et documents afférents, permettant ainsi de conserver une traçabilité en interne.

Liens utiles

  • Recueil des procédures « Tiers autorisés », Commission nationale de l’informatique et des libertés, juillet 2020 ;
  • Recueil des procédures « Tiers autorisés » référençant les principaux acteurs et procédures susceptibles de concerner les responsables de traitement de données.
Aude Aubry
Aude Aubry
Aude est un membre de notre équipe de rédaction, apportant une expertise de plus de 5 ans dans le domaine de la protection des données personnelles. Spécialisée en RGPD (Règlement général sur la protection des données), Aude a aidé de nombreuses entreprises et collectivités à se conformer à ces réglementations strictes et à protéger efficacement les informations sensibles. Outre son expertise en RGPD, Aude s'occupe actuellement de la mise en place de certifications ISO 27001 et HDS (Hébergement de données de santé).

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie