Aller au contenu principal

Transmission de documents à l’administration : des conséquences en matière de RGPD

Date de mise à jour : 27/02/2023 Date de vérification le : 27/02/2023 5 minutes

Dans la vie d’une entreprise, il arrive fréquemment qu’un organisme administratif lui réclame des documents auxquels il peut légalement accéder : il est alors appelé « tiers autorisé ». Quelles conséquences cela a-t-il au regard du RGPD ?

Rédigé par l'équipe WebLex.
Transmission de documents à l’administration : des conséquences en matière de RGPD

Transmission de documents à l’administration : le point sur la notion de « tiers autorisé » et de « RGPD »

Qu’est-ce qu’un tiers autorisé ? Un « tiers autorisé » est un organisme qui peut accéder à certaines données contenues dans des fichiers publics ou privés parce qu'une Loi l'y autorise expressément.

Exemples. Il peut s’agir de l’administration fiscale, des organismes de sécurité sociale, des administrations de la justice, de la police et de la gendarmerie ou encore des huissiers de justice.

Conditions requises. Pour qu’un « tiers autorisé » puisse obtenir les informations réclamées, il doit respecter les conditions suivantes :

  • sa demande doit être écrite et préciser les références du texte législatif qui la justifie ;
  • sa demande doit viser des personnes nommément identifiées ou identifiables (il ne peut pas avoir accès à l'intégralité d'un fichier) ;
  • sa demande doit être ponctuelle ;
  • sa demande doit préciser les catégories de données auxquelles il souhaite accéder.

Qu’est-ce que le RGPD ? Le Règlement Général sur la Protection des Données (RGPD) est le texte législatif, issue de l’Union Européenne (UE), qui protège les données à caractère personnel.


Transmission de documents à l’administration : la protection du RGPD

Tiers autorisé + RGPD : quelles conséquences ? Lorsqu’un « tiers autorisé » sollicite la communication d’un document, il va prendre connaissance de données à caractère personnel protégées par le RGPD. Dans ce cas, au regard de cette règlementation particulière, de quoi faut-il s’assurer ?

Réponse de la CNIL. Pour répondre à cette question, la CNIL a publié un guide pratique, consultable à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/guide_tiers_autorises.pdf.

Quel objectif ? Au regard du RGPD, l’enjeu principal pour le responsable de traitement de l’entreprise recevant une demande d’un tiers autorisé est de veiller à se conformer aux demandes prévues par les dispositions légales et de garantir la sécurité des données à caractère personnel traitées.

Les étapes à respecter. Pour atteindre son objectif de protection des données à caractère personnel, le responsable de traitement doit respecter 3 étapes :

  • étape 1 : identifier une demande de « tiers autorisé » ;
  • étape 2 : vérifier la source et le périmètre de la demande ;
  • étape 3 : veiller à sécuriser la communication.

Étape 1. 2 scenarii sont ici possibles :

  • si la demande mentionne une référence légale ou réglementaire précise, alors le responsable de traitement doit vérifier la réalité des dispositions mentionnées ;
  • si la demande ne mentionne aucune disposition particulière, alors le responsable de traitement doit demander au « tiers autorisé » s’il agit en application d’un texte et de préciser la référence légale afin que la vérification précitée puisse être menée.

Attention ! Si le responsable de traitement adresse des données à caractère personnel à un « tiers autorisé » sans qu’une telle vérification n’ait été réalisée, il s’expose à des sanctions de la CNIL.

Quelles sanctions ? Pour rappel, le non-respect de la réglementation sur la protection des données peut être sanctionné d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires annuel de l’entreprise ou 20 millions d'euros.

Étape 2. À cette étape, le responsable de traitement doit vérifier que l’émetteur de la demande de communication de documents provient effectivement de l’organisme mentionné dans la demande.

Exemples. Il s’agit, par exemple, pour le responsable de traitement d’effectuer un contre-appel en utilisant le numéro de contact diffusé par l’administration sur son site web (il ne faut pas utiliser le numéro fourni par le demandeur) ou de vérifier que l’adresse postale communiquée correspond à celle diffusée par le « tiers autorisé » sur son site web.

Bon à savoir. Si un responsable de traitement réalise a posteriori que des données à caractère personnel ont été transmises « à tort », il doit aussitôt envisager de notifier une violation de données à la CNIL.

Vérification juridique. À cette 2ème étape, le responsable de traitement doit aussi vérifier que la demande est effectivement autorisée par la disposition légale invoquée. Ainsi, il doit s’assurer que :

  • les informations transmises sont effectivement visées par les dispositions invoquées par le « tiers autorisé » ;
  • les informations réunies, avant transmission, ne contiennent pas de données à caractère personnel « en trop », c’est-à-dire non demandées par le « tiers autorisé » dans sa requête.

Bon à savoir. Lorsque le « tiers autorisé » sollicite la communication des noms et prénoms des salariés d’un service, le responsable de traitement peut, par commodité, transmettre la copie de l’organigramme correspondant, à condition de masquer les informations « en trop » (photo, adresse de messagerie et numéro de téléphone).

Le point sur le secret professionnel. Le secret professionnel doit être opposé par le responsable de traitement seulement si aucune disposition ne prévoit sa levée. Mais, en pratique, il est rarement possible d’opposer le secret professionnel à un « tiers autorisé » comme l’administration fiscale, par exemple…

Étape 3. Dans cette dernière étape, va se poser la question de la détermination du canal de transmission des informations. Le responsable de traitement doit, à ce titre, privilégier dans la mesure du possible les modalités de communication offrant un niveau de sécurité adapté.

Conseil. Le choix par le « tiers autorisé » de modalités d’échanges jugées peu sûres par le responsable de traitement ne peut pas, en principe l’autoriser à s’opposer à la transmission. Il est cependant conseillé au responsable de traitement d’adresser cette observation à l’organisme tiers autorisé et de conserver tout échange et élément jugé utile sur ce point.


Transmission de documents à l’administration : quelles procédures ?

Un recueil des procédures « tiers autorisés ». La CNIL a rassemblé les procédures « tiers autorisés » en raison de leur fréquence d’utilisation dans un document consultable à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/recueil-procedures-tiers-autorises.pdf.

Découpage du recueil. Le recueil est découpé selon le champ d’intervention du « tiers autorisé », à savoir :

  • enquêtes juridictionnelles ;
  • enquêtes administratives ;
  • enquêtes économiques ;
  • enquêtes sociales, travail et santé.
A retenir

La CNIL a publié à un guide à destination des responsables de traitement, dans les entreprises, lorsqu’ils font face à des demandes de communication de documents provenant de « tiers autorisés » (administration fiscale, Urssaf, etc.) Il a également publié un recueil rassemblant les procédures les plus souvent utilisées par ces « tiers autorisés ».

Pour un contenu personnalisé, inscrivez-vous gratuitement !
Déjà inscrit ? Connectez-vous
mysilae
Abonnez vous à la newsletter
Accéder à WebLexPro
Accéder à WeblexPro