Certaines autorités ont, en vertu de dispositions législatives et réglementaires, le pouvoir d’exiger des organismes la transmission de documents ou de renseignements pouvant comprendre des données personnelles : ce sont des « tiers autorisés ». Afin d’aider les professionnels visés par ce type de demande, la CNIL publie un guide pratique et un recueil des procédures les plus courantes.
Les organismes concernés par une demande d’un tiers autorisé peuvent rencontrer des difficultés pour concilier l’obligation d’y répondre tout en veillant au respect des règles de protection des données personnelles, en particulier sur l’exigence de confidentialité.
Afin de les accompagner dans ces démarches, la CNIL publie sous une forme opérationnelle :
- un guide pratique, qui présente les problématiques que peut rencontrer le responsable de traitement et les points de vigilance lors du traitement d’une demande de communication de données personnelles ;
- un recueil des principales procédures listant les acteurs susceptibles de demander la communication de données personnelles.
Le guide pratique « tiers autorisés »
Ce guide pratique contient les points à vérifier avant toute réponse à une demande d’un tiers autorisé, notamment :
- l’obtention d’une demande de communication écrite précisant le fondement légal de la demande ;
- le contrôle de la qualité du tiers autorisé à l’origine de la demande ;
- la vérification que le périmètre de la demande respecte les dispositions légales invoquées (notamment lorsque celles-ci écartent ou rappellent l’obligation de respect d’un secret professionnel) ;
- l’application de mesures de confidentialité afin de sécuriser l’échange ;
- la conservation d’une traçabilité des échanges et des vérifications réalisées.
Chacun de ces points fait l’objet de développements au sein du guide selon une approche opérationnelle.
Le recueil des principaux acteurs et procédures
Conjointement au guide pratique, la CNIL a élaboré un tableau décrivant près d’une centaine de procédures, parmi les plus courantes, susceptibles d’être mises en œuvre par les tiers autorisés.
La majorité du contenu du recueil a fait l’objet d’échanges avec les administrations concernées afin de veiller à l’exactitude des informations données. Il est néanmoins vivement conseillé, lors de l’instruction d’une demande d’un tiers autorisé, de vérifier systématiquement toute modification des textes sur Légifrance.
Plus d’informations sur le site de la CNIL.
Derniers articles parBenoît RIVIERE (voir tous)
- Excel : collecter des données juridiques sur les entreprises avec l’API SIRENE – 1ère partie : base SIREN (entreprises) - lundi 15 avril 2024
- Obtenir les données financières de sociétés au format Excel - mardi 2 avril 2024
- Robotic Process Automation (RPA) et Python : piloter des applications web - dimanche 24 mars 2024
- Initiation à la programmation en Basic : nouveau compilateur FreeBASIC - lundi 18 mars 2024
- Retrogaming : (re)jouer aux jeux vidéo d’antan - lundi 11 mars 2024