30.4. Les tiers autorisés : Cas concrets

Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous


Cas concrets

Cas n°1 : Question
Bonjour, merci de bien vouloir nous communiquer toute information relative à M. Dupont pour lequel notre service investigation réalise actuellement un contrôle en application des dispositions légales en vigueur. Ne pas répondre à cette demande sous 15 jours à compter de sa réception vous expose à des poursuites judiciaires en vertu des dispositions du code de procédure pénale.
Nous vous demandons de déposer les documents réunis sur la plateforme sécurisée accessible en ligne et gérée par les services du ministère (accessible depuis ce lien). Cordialement

Exemple de réponse :
Non. Cette demande ne mentionne aucun texte permettant de vérifier si l’organisme agit en tant que tiers autorisé. Le responsable de traitement doit, avant toute éventuelle transmission de données, exiger cette information de l’organisme à l’initiative de la demande.

Cas n°2 : Question
Bonjour, l’entrée en vigueur de la loi du 16 avril 2077 relative à l’encadrement des implants cybernétiques a prévu une mission de suivi technologique au sein des corporations partenaires. La Direction Prospective et Mise à jour du ministère vous prie de communiquer dans les plus brefs délais l’intégralité du registre des agents (comprenant le nom, le prénom et le matricule) actuellement bénéficiaires de cette technologie. Cordialement

Exemple de réponse :
Non. Bien que l’institution précise agir sur le fondement d’un texte effectivement en vigueur, la mention d’un ensemble large de dispositions ne permet pas de considérer que le responsable de traitement est en mesure de répondre en étant assuré de la légalité de la demande. De nombreux textes peuvent en effet prévoir plusieurs modalités d’échange de données, selon différentes conditions et à des fins distinctes. La corporation ciblée est fondée par conséquent à demander quelles dispositions précises de la loi (et le cas échéant des textes réglementaires d’application) sont appliquées dans le cadre de cette demande.

Cas n°3 : Question
Bonjour, le service investigation du ministère réalise actuellement un contrôle sur pièce de votre entreprise. En application des dispositions des articles L. 32 et R. 32-1 et suivants du code des contrôles, nous vous demandons de bien vouloir nous communiquer, dans un délai de 15 jours, les dossiers des nouveaux clients obtenus durant le mois de janvier de cette année. Cordialement

Exemple de réponse :
Oui. L’organisme adresse sa demande en précisant agir sur le fondement de dispositions précises, ce qui permet à l’entreprise de vérifier sa qualité de tiers autorisé à exiger et recevoir communication de ces informations de façon sécurisée.

Cas n°4 : Question
Bonjour, je mesure pleinement en tant qu’élu national les difficultés des familles impactées par la fermeture des établissements scolaires durant cette crise sanitaire d’ampleur. C’est pour leur apporter un message d’encouragement et les soutenir dans cette épreuve que je vous saurais gré de me remettre les informations de contact des parents d’élèves de vos communes. Cordialement

Exemple de réponse :

Non. Malgré la qualité de l’auteur, cette demande ne permet pas de répondre positivement dans la mesure où aucun texte juridique prévoyant une telle transmission n’est cité. Le responsable de traitement doit, avant tout éventuel envoi, exiger cette information.

Cas n°5 :
S’agissant des collectivités : une enquête peut-elle être menée pour répondre à un droit de communication ?

Réponse :
Une collectivité ne peut, dans le but de satisfaire à une demande de renseignement d’un tiers autorisé, diligenter une enquête auprès d’un autre
organisme afin d’obtenir des données qu’elle ne détient pas. Il convient de
rappeler qu’aucune disposition législative ne permet en effet aux mairies d’agir ainsi, même à la demande de tiers autorisés.

Exemples :
Les services municipaux ne peuvent pas, afin de répondre à un tiers autorisé, utiliser les fichiers des centres communaux d’action sociale (CCAS) car ce sont des responsables de traitements distincts. Par ailleurs, une collectivité ne peut pas davantage recueillir des données à caractère personnel sans lien avec la finalité d’un fichier, afin de répondre à une demande.

Cas n°6 : Question
Une disposition légale prévoyant la communication obligatoire par un responsable de « tous documents ou informations utiles » est-elle suffisante à elle seule pour considérer que le secret professionnel ne peut être opposé ?

Réponse :
Non, des formulations de cette nature ne permettent pas de lever un secret professionnel si elles ne sont pas complétées par la présence de l’une des dispositions précitées : une disposition explicite ou ayant pour effet de lever un tel secret.

Cas n°7 Question :
Une disposition prévoyant qu’un organisme tiers autorisé ne peut demander la communication d’informations couvertes par un secret professionnel spécifique (ex. secret médical) a-telle implicitement pour effet de permettre une demande de communication d’informations couvertes par un autre secret professionnel ?

Réponse :
Non, un secret professionnel est opposable à un tiers autorisé quand bien même les dispositions détaillant les limites de son droit de communication n’y fait pas référence, à moins que la formulation ne soit exclusive (par exemple : « Le respect du secret des sources journalistiques est le seul secret professionnel opposable »).

Cas n°8 Question :
Une disposition prévoyant que les agents de l’organisme tiers autorisé sont soumis au secret professionnel a-t-elle pour effet d’autoriser cet organisme à exiger la communication de données couvertes par un secret professionnel ?

Réponse :
Non, une telle disposition n’a pas pour effet d’étendre le périmètre des informations et documents pouvant faire l’objet d’un droit de communication. Elle vient cependant préciser explicitement que la révélation, par l’organisme ou les agents précités, d’une information à caractère secret est susceptible d’engager leur responsabilité pénale dans les conditions précisées aux articles 226-13 et 226-14 du code pénal.

Cas n°9 Question :
Transmission des données à caractère personnel par courriel contenant en
pièce-jointe les données chiffrées. À la réception des données, le destinataire utilisera le mot de passe renseigné dans le corps du courriel. Ce mot de passe comporte les 8 caractères suivants : « hJrc8p3W ».

Réponse :
Non. Cette transmission n’apparaît pas satisfaisante. D’une part, l’utilisation du même canal (courriel) pour la transmission de la pièce jointe et du mot de passe n’est pas pertinente. Il convient en effet de communiquer séparément le mot de passe et le document chiffré (au moyen du téléphone, du SMS ou du courrier postal, par exemple). D’autre part, lorsque l’accès à un fichier de données personnelles est uniquement protégé par l’utilisation d’un mot de passe, la CNIL recommande que celui-ci présente a minima une
complexité de 12 caractères avec une majuscule, minuscule, chiffre et caractère spécial (voir recommandation CNIL sur les mots de passe du 22 juin 2017). Une communication en retour accusant réception des informations devrait par ailleurs être prévue.

Cas n°10 Question :
Transmission des données à caractère personnel non chiffrées au moyen de
la remise en mains propres d’un dispositif de stockage amovible (par exemple clé USB ou CD-ROM) contenant les informations.

Réponse :
Non. Cette méthode peut-être problématique dans la mesure où la perte ou le vol du dispositif de stockage lors du déplacement à l’extérieur de l’organisme du tiers autorisé expose les données personnelles à des accès et réutilisations non prévues. Il convient de prévoir le chiffrement de données avant leur transfert sur le support et de consigner sa remise à l’organisme tiers autorisé (au moyen d’une signature de l’agent, par exemple).

Cas n°11 Question :

Transmission des données à caractère personnel par pli avec accusé
réception contenant un CD-ROM sur lequel sont placées les informations
exigées dans un format chiffré. Le mot de passe « Soc13t3X-CNIL20 » est
transmis oralement par téléphone.

Réponse :
Oui. Les modalités d’échanges paraissent satisfaisantes pour une transmission ne présentant pas de spécificités particulières. Le mot de passe ne doit cependant pas être prévisible ni réutilisé pour plusieurs échanges de cette nature.


Sommaire du Chapitre « 30. LES TIERS AUTORISÉS »


Source : CNIL : Guide pratique des « tiers autorisés »




Ce contenu est mis à disposition à titre pédagogique par notre organisme de formation « LE NET EXPERT FORMATIONS ». Il entre dans le cadre de formations sur le thème du RGPD que nous proposons. Il ne constitue ni un contenu officiel, ni une liste exhaustive, ni une incitation à des actes malveillants.
Ce document constitue un extrait du support de cours que notre formateur met à la disposition de nos stagiaires.

Notre Formateur/Expert peut aussi être en mesure de vous accompagner pour répondre à une situation ponctuelle.

LeNetExpert Formations