30.3. Les tiers autorisés : Veiller à sécuriser la communication

Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous


Veiller à sécuriser la communication

Les dispositions légales encadrant les pouvoirs des tiers autorisés prévoient différentes modalités d’obtention des informations auprès des responsables de traitement :

  • Communication de documents ou d’informations par le responsable de traitement au tiers autorisé ;
  • Consultation et / ou copie de documents ou données par le tiers autorisé (lors d’un contrôle sur place, par exemple) ;
  • Saisie par le tiers autorisé de documents ou de supports de stockage de données ;
  • Audition du responsable de traitement (qui pourra notamment donner lieu à consultation à distance ou échanges oraux sur le contenu de documents ou de données) ;
  • Ouverture d’un accès distant à un système d’information par le tiers autorisé.

Il revient à chaque acteur de s’assurer que la modalité de communication utilisée est conforme aux dispositions invoquées. Les développements suivants se pencheront sur le cas de la communication dématérialisée par leresponsable de traitement, en raison des enjeux particuliers relatifs à la sécurité des données.

1. La détermination du canal de transmission des informations

Les dispositions en vigueur ne prévoient que rarement les modalités de transmission des informations demandées entre l’organisme détenteur de l’information et l’organisme agissant en tant que tiers autorisé.

Par principe, les acteurs doivent conjointement veiller à respecter l’obligation de sécurité des données, en particulier en termes de confidentialité et d’intégrité des données.

Le responsable de traitement doit, à ce titre, privilégier dans la mesure du possible les modalités2 de communication offrant un niveau de sécurité adapté, le cas échéant en définissant de lui-même des modalités sécurisées de transmission.

Ces modalités peuvent concerner le canal de transmission ou l’information elle-même, au moyen par exemple :

  • De l’utilisation de procédés de chiffrement afin de rendre l’information inintelligible à toute personne ne disposant pas de la clef (par exemple : utilisation des outils gratuits et reconnus fiables tels que 7-zip, Veracrypt ou Zed!) ;
  • De l’utilisation de procédés de hachage afin de s’assurer, si nécessaire, que les informations n’ont pas subi d’altérations non prévues lors de la transmission (en veillant à n’utiliser que des algorithmes reconnus et sûrs) ;
  • De l’utilisation d’une plateforme d’échange en ligne présentant des standards de sécurité conformes à l’état de l’art ;
  • De l’utilisation systématique de deux canaux de transmission distincts pour l’envoi d’un document chiffré et de la clef de déchiffrement correspondante (par exemple : courriel puis téléphone).

Remarque :
Le choix par le tiers autorisé de modalités d’échanges jugées peu sûres par le responsable de traitement ne peut pas en principe l’autoriser à s’opposer à la transmission.
Il est cependant conseillé au responsable de traitement d’adresser cette observation à l’organisme tiers autorisé et de conserver tout échange et élément jugé utile sur ce point.

Consultez les « Cas concrets »

2. Peut-on contester une demande de communication de données d’un
tiers autorisé ?

Des voies de recours permettant de contester ou de s’opposer à une demande d’un tiers autorisé existent. Cellesci devront être rigoureusement identifiées et employées selon les modalités prévues, dans la mesure où :

  • un « simple » refus de répondre est susceptible de donner lieu à l’engagement de la responsabilité de l’organisme visé ;
  • les conditions d’usage des voies de recours et leurs effets immédiats peuvent sensiblement différer selon les dispositions applicables (par exemple : un recours peut ou non suspendre l’obligation de transmission d’information).

Il est dans tous les cas hautement recommandé de documenter rigoureusement tout élément pertinent se
rapportant au contexte et aux échanges, afin de pouvoir justifier cette décision.

3. Peut-on conserver les éléments transmis ?

Des constats fréquents de la CNIL au sein d’organismes de différentes natures font état de pratiques disparates concernant les modalités de traitement des informations par les organismes, une fois celles-ci transmises à un organisme tiers autorisé.

La pluralité des situations possibles ne permet pas d’avancer une réponse générale. Il peut néanmoins être indiqué que la conservation des échanges est envisageable dans la mesure où un tel traitement (inscrit au registre comme tel) :

  • pourra être justifié par la poursuite d’une finalité déterminée, explicite et légitime (article 5-1-b du RGPD) ;
  • concernera un périmètre de données minimisées au strict nécessaire selon la finalité précitée (conservation de la seule preuve de la transmission ou conservation des données transmises, à
    justifier rigoureusement dans ce cas) ;
  • ne pourra être mis en œuvre au-delà du délai (préalablement fixé) nécessaire à l’accomplissement de cette finalité ;
  • bénéficiera de mesures de sécurité adaptées, en particulier s’agissant de l’obligation de confidentialité.

La documentation « tiers autorisés » : un outil interne

Pour certains organismes, l’établissement d’une documentation relative à la gestion des demandes « tiers autorisés » s’avèrera indispensable.

Une telle documentation devra être diffusée aux agents susceptibles d’être destinataires ou en charge de telles demandes (ainsi qu’aux éventuels sous-traitants de l’organisme). Elle devra mentionner les principaux points abordés jusqu’ici :

  • Les premiers gestes de tout agent à la réception d’une demande à la forme « impérative » (informations à demander, référent interne à saisir etc.) ;
  • La désignation du ou des référents chargés veiller à la prise en compte de la demande (si la validation définitive revient au responsable de traitement, le DPO devra a minima être en mesure de donner son
    avis au préalable sur la procédure interne et, le cas échéant, sur la réponse au cas particulier) ;
  • Informer rigoureusement chaque agent et salarié sur les menaces connues et / ou référencées par les acteurs institutionnels compétents (notamment ANSSI, DGCCRF, CNIL) en matière de tentatives d’extractions malveillantes ;
  • Prévoir les outils de chiffrement, modes de communication, politique de mot de passe privilégiés et tout autre standard pour la transmission de données personnelles à un organisme tiers autorisé.

Sommaire du Chapitre « 30. LES TIERS AUTORISÉS »


Source : CNIL : Guide pratique des « tiers autorisés »




Ce contenu est mis à disposition à titre pédagogique par notre organisme de formation « LE NET EXPERT FORMATIONS ». Il entre dans le cadre de formations sur le thème du RGPD que nous proposons. Il ne constitue ni un contenu officiel, ni une liste exhaustive, ni une incitation à des actes malveillants.
Ce document constitue un extrait du support de cours que notre formateur met à la disposition de nos stagiaires.

Notre Formateur/Expert peut aussi être en mesure de vous accompagner pour répondre à une situation ponctuelle.

LeNetExpert Formations