Vous avez dit Destinataire ?
Par Christophe CHAMPOUSSIN • Gérant ANAXIA CONSEIL • 1 septembre 2018 • Newsletter ANAXIA CONSEIL
Cette notion peut sembler floue et on a parfois du mal à s’y retrouver entre tiers, tiers autorisé, destinataire et sous-traitant. C’est l’article 4 qui donne les définitions.
Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
Exemple : société à qui l’on confie des enquêtes de satisfaction clients sur la base d’un questionnaire fourni par le responsable de traitement.
N.B. : la notion de sous-traitant elle-même est délicate à cerner. Nous y reviendrons dans un prochain numéro.
Tiers : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.
Les tiers sont responsables de leur propre traitement. Exemples :
Société mère à qui l’on communiquerait des données sur des salariés ;
Entreprise à qui l’on envoie le CV d’un consultant qui va intervenir ;
Communauté de communes à qui un bailleur social envoie la liste des locataires dans le cadre de la gestion de la taxe sur les ordures ménagères.
Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires […]
Le terme Tiers autorisé n’existe pas dans le RGPD, pas plus qu’il n’existait dans l’ancienne Loi « Informatique et Libertés ».
Le RGPD parle d’Autorité publique (cf. ci-dessus dans la définition de Destinataire). Exemples :
La CAF qui est autorisée à demander des données sur un locataire à un bailleur social
(il y a bien sûr un cadre à respecter) ;Le fisc qui peut aussi demander des informations à une société.
Donc, les destinataires sont :
Les services internes du responsable de traitement
Les sous-traitants
Les tiers
MAIS PAS les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière.
Pourquoi c’est important ?
Parce que les articles 13 et 14 du RGPD imposent de communiquer aux personnes concernées (par un traitement) les destinataires ou les catégories de destinataires des données à caractère personnel (dit autrement : qui a accès aux données ou à qui elles sont communiquées).
Il est donc utile de comprendre cette notion afin de bien informer.
N.B. : on peut ne pas donner le nom d’un sous-traitant mais se baser sur la notion de catégorie de destinataire.
On pourra par exemple indiquer « les sous-traitants en charge du stockage des données ».