Vous avez dit Destinataire ?

Par Christophe CHAMPOUSSIN • Gérant ANAXIA CONSEIL • 1 septembre 2018 • Newsletter ANAXIA CONSEIL

Cette notion peut sembler floue et on a parfois du mal à s’y retrouver entre tiers, tiers autorisé, destinataire et sous-traitant. C’est l’article 4 qui donne les définitions.

Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Exemple : société à qui l’on confie des enquêtes de satisfaction clients sur la base d’un questionnaire fourni par le responsable de traitement.

N.B. : la notion de sous-traitant elle-même est délicate à cerner. Nous y reviendrons dans un prochain numéro.

Tiers : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

Les tiers sont responsables de leur propre traitement. Exemples :

  • Société mère à qui l’on communiquerait des données sur des salariés ;

  • Entreprise à qui l’on envoie le CV d’un consultant qui va intervenir ;

  • Communauté de communes à qui un bailleur social envoie la liste des locataires dans le cadre de la gestion de la taxe sur les ordures ménagères.

Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires […]

Le terme Tiers autorisé n’existe pas dans le RGPD, pas plus qu’il n’existait dans l’ancienne Loi « Informatique et Libertés ».
Le RGPD parle d’Autorité publique (cf. ci-dessus dans la définition de Destinataire). Exemples :

  • La CAF qui est autorisée à demander des données sur un locataire à un bailleur social
    (il y a bien sûr un cadre à respecter) ;

  • Le fisc qui peut aussi demander des informations à une société.

Donc, les destinataires sont :

  • Les services internes du responsable de traitement

  • Les sous-traitants

  • Les tiers

  • MAIS PAS les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière.

Pourquoi c’est important ?

Parce que les articles 13 et 14 du RGPD imposent de communiquer aux personnes concernées (par un traitement) les destinataires ou les catégories de destinataires des données à caractère personnel (dit autrement : qui a accès aux données ou à qui elles sont communiquées).

Il est donc utile de comprendre cette notion afin de bien informer.

N.B. : on peut ne pas donner le nom d’un sous-traitant mais se baser sur la notion de catégorie de destinataire.
On pourra par exemple indiquer « les sous-traitants en charge du stockage des données ».

Retour à la liste des articles
Anaxia Conseil

Contactez-nous

Pour toute demande, merci d'utiliser notre page de contact

© Anaxia Conseil 2024 - Mentions Légales - Données Personnelles

Adresse

400 Avenue Roumanille
Village Greenside • BP 309
06906 SOPHIA ANTIPOLIS Cedex

Merci !

Votre demande nous a bien été envoyée

Merci !

Votre demande nous a bien été envoyée

Je poursuis ma visite