le 27/08/2020

Données personnelles : Publication d’un guide pratique sur les tiers autorisés

Guide sur les tiers autorisés, CNIL, 10 juillet 2020

Au cours de l’été, la CNIL a diffusé sur son site internet un guide sur les tiers autorisés. 

Cette publication méritait, à notre sens, d’être signalée, dès lors qu’elle vient lever plusieurs incertitudes, à laquelle nombre d’acteurs publics se sont trouvés confrontés du fait de l’ambiguïté juridique de la notion de « tiers » telles que définie au sein du RGPD.  

Ce guide précise ainsi, de façon explicite, les points à vérifier, par un organisme, avant toute communication de données à un tiers autorisé, soit notamment : 

  • l’obtention d’une demande de communication écrite précisant le fondement légal de la demande ;  
  • le contrôle de la qualité du tiers autorisé à l’origine de la demande ; 
  • la vérification que le périmètre de la demande respecte les dispositions légales invoquées (notamment lorsque celles-ci écartent ou rappellent l’obligation de respect d’un secret professionnel) ; 
  • l’application de mesures de confidentialité afin de sécuriser l’échange ; 
  • la conservation d’une traçabilité des échanges et des vérifications réalisées. 

Ce faisant, la légitimité de la pratique d’une demande systématique d’un écrit intégrant la base légale de la saisine s’en trouve pleinement confortée. En cas de récalcitrante d’une autorité publique à s’y soumettre, les organismes pourront désormais utilement faire valoir ce guide.  

Au demeurant, la CNIL a pris soin, de façon également précieuse, de lister une centaine de demandes courantes autorisées.  

En cela, il constitue un document de référence directement opérationnel et pertinent dont nous recommandons vivement la lecture.