Certaines autorités ont le pouvoir d’exiger des organismes la transmission de documents ou de renseignements pouvant comprendre des données personnelles : ce sont des « tiers autorisés ». Afin d’aider les professionnels visés par ce type de demande, la CNIL a publié un guide pratique et un recueil des procédures les plus courantes.

Répondre à la demande d’un tiers autorisé

Un certain nombre d’autorités ont, en vertu de dispositions législatives et réglementaires, le pouvoir d’exiger des organismes la transmission de documents ou de renseignements. De telles demandes impliquent fréquemment la communication de données personnelles par un responsable de traitement. Les organismes concernés par une demande d’un tiers autorisé peuvent rencontrer des difficultés pour concilier l’obligation d’y répondre tout en veillant au respect des règles de protection des données personnelles, en particulier sur l’exigence de confidentialité.

Les points à vérifier

Avant toute réponse à la demande d’un tiers autorisé, le responsable du traitement doit vérifier les points suivants : i) l’obtention d’une demande de communication écrite précisant le fondement légal de la demande ; ii) le contrôle de la qualité du tiers autorisé à l’origine de la demande ; iii) la vérification que le périmètre de la demande respecte les dispositions légales invoquées (notamment lorsque celles-ci écartent ou rappellent l’obligation de respect d’un secret professionnel) ; iv) l’application de mesures de confidentialité afin de sécuriser l’échange ; v) la conservation d’une traçabilité des échanges et des vérifications réalisées.

Chacun de ces points fait l’objet de développements au sein du guide selon une approche opérationnelle.

Le recueil des principaux acteurs et procédures

Conjointement au guide pratique, la CNIL a élaboré un tableau décrivant près d’une centaine de procédures, parmi les plus courantes, susceptibles d’être mises en œuvre par les tiers autorisés. La majorité du contenu du recueil a fait l’objet d’échanges avec les administrations concernées afin de veiller à l’exactitude des informations données.

Laisser un commentaire

Your email address will not be published.

Please fill the required fields*