L'accès aux données personnelles est aujourd'hui un sujet très sensible qui monopolise l'attention de tout le monde, aussi bien celui des États que des entreprises et des consommateurs. Bon nombre de personnes se demandent qui possède leurs données et ce qui en est fait. Alors, pour un meilleur contrôle, le Règlement Général sur la Protection des Données (RGPD) a été établi, et il apporte entre autres des précisions sur les personnes qui ont accès à ces données.
Qu'est-ce qu'un tiers autorisé ?
Comme ce fut mentionné plus haut, le RGPD a défini les différentes catégories de personnes pouvant avoir accès aux données personnelles. Parmi elles, on retrouve les tiers autorisés. Selon la loi, certaines personnes (entités/organisations) peuvent se faire communiquer les données personnelles sous des conditions particulières et dans un cadre bien défini.
Par ailleurs, la CNIL (Commission nationale de l'informatique et des libertés reconnait aussi comme tiers autorisé, les organismes pouvant avoir accès à certaines données personnelles contenues dans les fichiers privés ou publics.)
En revanche, comme ce fut expliqué, une personne considérée comme tiers autorisé ne peut l'être que sous certaines conditions. Voici les conditions d'accès qui autorisent ces personnes à accéder à vos données personnelles :
1- La rédaction d'une demande écrite avec une précision sur le texte législatif justifiant la demande, ainsi que les catégories d'informations sollicitées ;
2- La demande doit absolument viser des personnes nommément identifiées ou identifiables (en effet, il n'est pas accepté qu'un tiers autorisé puisse avoir accès à l'intégralité d'un fichier ou d'un sous-ensemble de fichiers) ;
3- La demande doit être ponctuelle.
Différence entre destinataire et tiers autorisé
Le destinataire et le tiers autorisé ont des significations différentes et selon l'article 3-2 de la loi informatique et liberté, le destinataire est considéré comme toute personne autorisée à recevoir les données à caractère personnel.
Pour le RGPD, le destinataire est « l'autorité publique, la personne physique ou morale, le service ou tout autre organisme qui reçoit communication de données personnelles, qu'il s'agisse d'un tiers ou non ».
Par ailleurs, le RGPD apporte une précision qui est qu'une autorité physique qui reçoit communication des données à caractère personnel pour motif d'une requête, ne peut être considéré comme un destinataire.
La différence principale entre ces deux termes réside principalement dans le fait que les tiers autorisés doivent avoir une habilitation avant de pouvoir se voir communiquer les données personnelles.
Exemples de tiers autorisés
Pour vous donner un aperçu plus concret de ce qu'est un tiers autorisé, voici quelques exemples :
- L'administration fiscale ;
- Les huissiers de justice ;
- Les administrations judiciaires, la gendarmerie et la police ;
- Les organismes chargés de l'instruction, du versement et du contrôle du revenu de solidarité active, les institutions de Sécurité sociale dans le cadre de la lutte contre la fraude ;
- Les administrations de l'action sociale et les autorités sanitaires ;
- Les administrations de l'emploi, du travail et de la formation professionnelle ;
- Les autorités administratives indépendantes telles que l'Autorité des marchés financiers (AMF), l'Autorité de contrôle prudentiel (ACP), etc.
Quand informer les concernés ?
En ce qui concerne la communication de données, quelques modalités sont à préciser. Les personnes qui ne sont pas considérées comme des destinataires (tiers autorisés, sous-traitants, responsables du traitement) n'ont pas à être mentionnées dans le dossier de formalité préalable adressé à la Commission nationale de l'informatique et des libertés.
Par ailleurs, il faut aussi mentionner qu'il n'est en aucun cas obligatoire de notifier aux concernés le fait que des données en relation avec leur identité ont été transmises.
Par contre, si des individus sont concernés par un fichier et que les informations fournies sont générales, il peut être nécessaire ou utile de les informer que des tiers reconnus par la loi pourraient se voir communiquer ces données.
Les tiers autorisés à accéder à vos données personnelles