La Cnil a publié un guide destiné à présenter aux responsables de traitement la démarche à suivre lors d’une demande de tiers autorisé.
Qu’est-ce qu’un tiers autorisé ?
La Cnil précise la notion de tiers autorisé dans son guide pratique. Les tiers autorisés sont des autorités et des organismes habilités, par des dispositions législatives, à ordonner à un responsable de traitement le transfert de documents ou de renseignements contenant des données à caractère personnel de personnes déterminées.
Les tiers autorisés obtiennent la communication de données à caractère personnel « dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre » au sens de l’article 4, 9 du RGPD.
Toutefois, chaque responsable de traitement est tenu de respecter son obligation d’assurer la sécurité des données à caractère personnel conformément aux articles 5, 1, f et 32 du RGPD.
Le guide de la Cnil a pour objectif de présenter à chaque responsable de traitement la démarche à suivre lors d’une demande émanant d’un tiers autorisé.
Pour répondre valablement à une demande de communication de données à caractère personnel de la part d’un tiers autorisé, le responsable de traitement doit procéder à trois vérifications :
- la demande provient d’un tiers autorisé ;
- la source et le périmètre de la demande ;
- la sécurisation de la communication.
La mise en œuvre de cette démarche permet à chaque responsable de traitement d’assurer la sécurité des données à caractère personnel, conformément aux exigences du RGPD.
1ère vérification : son origine, « la demande d’un tiers autorisé »
À titre liminaire, une demande de tiers autorisé peut prendre toute forme, sauf si le texte en cause en prévoit une spécifiquement.
Si la demande mentionne une disposition légale ou réglementaire, le responsable de traitement doit la vérifier.
Si elle ne le fait pas, le responsable de traitement doit demander au tiers autorisé la référence légale pour qu’il puisse procéder à cette vérification.
2ème vérification : la source et le périmètre de la demande
Avant d’accéder à la demande, une double vérification, pratique et juridique, est nécessaire. La vérification pratique a pour objet de s’assurer que la demande provient bien de l’autorité ou de l’organisme public mentionné. Elle permet d’éviter les fraudes. Quant à la vérification juridique, elle vise à contrôler que l’acteur émetteur est autorisé à exiger la communication des informations demandées
En premier lieu, afin de lever un éventuel doute concernant le tiers autorisé, plusieurs possibilités existent comme :
- effectuer un contre-appel en utilisant le numéro de contact diffusé par l’administration,
- vérifier que l’adresse postale communiquée correspond à celle diffusée par le tiers autorisé sur son site web
- vérifier que le nom de domaine de l’adresse de courrier électronique utilisée correspond à celui diffusé par le tiers autorisé
- recueillir toute information identifiant la personne se présentant dans les locaux aux fins de vérifier qu’elle appartient à l’organisme en question.
En second lieu, le responsable de traitement doit s’assurer du périmètre des données à caractère personnel transmises. Les informations qui seront transmises doivent effectivement être visées par les dispositions invoquées par le tiers autorisé. En outre, la transmission ne doit pas contenir plus de données à caractère personnel que celles demandées. Cette vérification permet de respecter le principe de minimisation énoncé à l’article 5, 1, b du RGPD.
La transmission des données à caractère personnel à des tiers autorisés pose par ailleurs la question du respect du secret professionnel. Celui-ci doit être opposé par le responsable de traitement à une demande provenant d’un tiers autorisé uniquement lorsqu’aucune disposition ne prévoit la levée d’un ou de plusieurs secrets professionnels.
Le responsable de traitement doit donc vérifier que les deux conditions suivantes sont réunies avant toute transmission de données à caractère personnel :
- la demande de communication de données à caractère personnel est-elle couverte par un secret professionnel ?
- si tel est le cas, la demande de communication provient-elle d’un organisme bénéficiant d’une disposition législative prévoyant la levée du secret professionnel concerné ?
3ème vérification : la sécurisation de la communication
Chaque responsable de traitement doit déterminer un canal de transmission des informations demandées entre lui et le tiers autorisé, et veiller à ce que les modalités de cette transmission en assurent la sécurité, notamment par un procédé de chiffrement, hachage, etc.
Pour aider les responsables de traitement dans leur démarche de vérification en cas de demande de tiers autorisé, la Cnil a recensé pour chaque procédure d’enquête (juridictionnelle, administrative, économique, sociale, travail et santé), le type de tiers autorisés, les objectifs et les conditions de la demande, la nature des informations transmissibles ainsi que les fondements juridiques.
Le refus de communication des données à la demande d’un tiers autorisé
Il est possible de refuser d’accéder à une telle demande, mais cela peut aboutir à l’engagement de la responsabilité du responsable de traitement.
Recommandation : Il est recommandé de documenter la gestion des demandes émanant de « tiers autorisés » et de diffuser cette documentation auprès des personnes en charge des demandes. Elle peut indiquer les premières actions à faire par tout agent à la réception d’une demande, faire mention de la nécessité d’une désignation d’un référent chargé de la prise en compte des demandes, comporter des éléments de sensibilisation des agents et des salariés, ou bien encore faire état des outils permettant de sécuriser la communication de données à caractère personnel (ex : outil de chiffrement, politique de mot de passe, etc.).
Anne Renard
Lucie Antigny
Lexing Conformité et certification