30.1. Les tiers autorisés : Identifier une demande « tiers autorisés »

Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous


Qu’est ce qu’un « tiers autorisé » ?

Un « tiers autorisé » est un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu’une loi l’y autorise expressément.

Ces « tiers autorisés » sont des autorités publiques ou des auxiliaires de justice.

Quelques exemples de « tiers autorisés » :

  • L’administration fiscale.
  • Les organismes de sécurité sociale, dans le cadre de la lutte contre la fraude, et les organismes en charge de l’instruction, du versement et du contrôle du RSA.
  • Les administrations de la justice, de la police et de la gendarmerie.
  • Les huissiers de justice.

Les conditions pour qu’un « tiers autorisés » puisse obtenir des informations contenues dans un fichier :

  • Sa demande doit être écrite et préciser le texte législatif justifiant la demande.
  • Sa demande doit viser des personnes nommément identifiées ou identifiables (le tiers autorisé ne peut pas avoir accès à l’intégralité d’un fichier).
  • Sa demande doit être ponctuelle.
  • Sa demande doit préciser les catégories de données auxquelles il souhaite accèder.

Identifier une demande « tiers autorisés »

Les formes que peut prendre une demande de communication de données d’un tiers autorisé sont diverses : il n’existe pas de document ou de formulation type que le responsable de traitement pourrait systématiquement exiger (sauf lorsque le texte le prévoit explicitement).

Lorsqu’un responsable de traitement reçoit une demande exigeant la communication de données à caractère personnel, le premier réflexe à avoir est de s’assurer que la requête se fonde sur une disposition légale en vigueur.

Deux scénarios sont possibles :

  • Si la demande mentionne une référence légale ou réglementaire précise, alors le responsable de traitement doit vérifier (depuis le site web Légifrance, par exemple) la réalité des dispositions mentionnées ;
  • Si la demande ne mentionne aucune disposition particulière, alors le responsable de traitement doit demander à l’organisme s’il agit en application d’un texte et de préciser la référence légale afin que la
    vérification précitée puisse être menée.

Le responsable de traitement ne peut en effet se satisfaire d’une demande uniquement fondée sur des éléments contextuels (nature de l’organisme émetteur, habitudes relationnelles, tournures de phrases impératives, etc.).
Il doit s’assurer que l’organisme agit effectivement, au moment de la demande, en tant que tiers autorisé.

Adresser des données à caractère personnel à un organisme sans qu’une telle vérification n’ait été réalisée expose le responsable de traitement à deux risques susceptibles de conduire aux sanctions précitées :

  • Transmettre des données à caractère personnel à des personnes non autorisées ;
  • Transmettre des données sans respecter le cadre établi par les dispositions légales relative au droit de communication exercé.

Sommaire du Chapitre « 30. LES TIERS AUTORISÉS »


Source : CNIL : Guide pratique des « tiers autorisés »




Ce contenu est mis à disposition à titre pédagogique par notre organisme de formation « LE NET EXPERT FORMATIONS ». Il entre dans le cadre de formations sur le thème du RGPD que nous proposons. Il ne constitue ni un contenu officiel, ni une liste exhaustive, ni une incitation à des actes malveillants.
Ce document constitue un extrait du support de cours que notre formateur met à la disposition de nos stagiaires.

Notre Formateur/Expert peut aussi être en mesure de vous accompagner pour répondre à une situation ponctuelle.

LeNetExpert Formations