Tiers autorisés : la CNIL publie un guide pratique et un recueil de procédures
Certaines autorités ont le pouvoir d’exiger des organismes la transmission de documents ou de renseignements pouvant comprendre des données personnelles : ce sont des « tiers autorisés ». Afin d’aider les professionnels visés par ce type de demande, la CNIL publie un guide pratique et un recueil des procédures les plus courantes.
Un certain nombre d’autorités ont, en vertu de dispositions législatives et réglementaires, le pouvoir d’exiger des organismes la transmission de documents ou de renseignements. De telles demandes impliquent fréquemment la communication de données personnelles par un responsable de traitement.
Les organismes concernés par une demande d’un tiers autorisé peuvent rencontrer des difficultés pour concilier l’obligation d’y répondre tout en veillant au respect des règles de protection des données personnelles, en particulier sur l’exigence de confidentialité.
Afin de les accompagner dans ces démarches, la CNIL publie sous une forme opérationnelle :
- un guide pratique, qui présente les problématiques que peut rencontrer le responsable de traitement et les points de vigilance lors du traitement d’une demande de communication de données personnelles ;
- un recueil des principales procédures listant les acteurs susceptibles de demander la communication de données personnelles.
Le guide pratique « tiers autorisés »
Ce guide pratique contient les points à vérifier avant toute réponse à une demande d’un tiers autorisé, notamment :
- l’obtention d’une demande de communication écrite précisant le fondement légal de la demande ;
- le contrôle de la qualité du tiers autorisé à l’origine de la demande ;
- la vérification que le périmètre de la demande respecte les dispositions légales invoquées (notamment lorsque celles-ci écartent ou rappellent l’obligation de respect d’un secret professionnel) ;
- l’application de mesures de confidentialité afin de sécuriser l’échange ;
- la conservation d’une traçabilité des échanges et des vérifications réalisées.
Chacun de ces points fait l’objet de développements au sein du guide selon une approche opérationnelle.
Le recueil des principaux acteurs et procédures
Conjointement au guide pratique, la CNIL a élaboré un tableau décrivant près d’une centaine de procédures, parmi les plus courantes, susceptibles d’être mises en œuvre par les tiers autorisés.
La majorité du contenu du recueil a fait l’objet d’échanges avec les administrations concernées afin de veiller à l’exactitude des informations données. Il est néanmoins vivement conseillé, lors de l’instruction d’une demande d’un tiers autorisé, de vérifier systématiquement toute modification des textes sur Légifrance.
Télécharger
Les textes de référence
- Article 8 de la Convention européenne des droits de l'homme (CEDH) relatif au droit au respect de la vie privée et familiale
- Articles 2 et 4 de la Déclaration des droits de l'homme et du citoyen de 1789 relatifs au droit au respect de la vie privée
- Article 32 du règlement général sur la protection des données (RGPD)
- Article 226-13 du Code pénal