Partie 4 : Les tiers et destinataires
Cet article est le quatrième d’une série sur le projet de Lignes directrices 07/2020 sur les notions de responsable de traitement et de sous-traitant dans le cadre du RGPD publié par le Comité Européen de la Protection des Données (« CEPD ») le 7 septembre 2020 (le « projet de lignes directrices »). Il traite des notions de « tiers » et « destinataire » dans le projet de lignes directrices. Retrouvez nos précédents articles sur les mises à jour du projet de lignes directrices sur les concepts de sous-traitant ici, responsable de traitement ici et responsables conjoints de traitement ici.
Il convient de rappeler que ce projet de lignes directrices est amené à être modifié suite à la consultation publique mais ne connaitra selon toutes vraisemblances pas de changement majeur.
Les « tiers » et les « destinataires » selon le RGPD
Le RGPD fait référence aux « tiers » et « destinataires » sans leur attribuer de responsabilités ou obligations spécifiques et seulement par rapport aux obligations d’un responsable de traitement ou d’un sous-traitant.
De ce fait les lignes directrices du CEPD examinent ces notions dans le cadre des relations avec un responsable de traitement ou avec un sous-traitant.
Selon les circonstances, les tiers et destinataires peuvent être qualifiés de responsables de traitement pour les activités de traitement dont ils déterminent eux-mêmes les finalités et moyens.
Tiers
Le RGPD fournit une définition négative de la notion de « tiers ». Il s’agit ainsi d’une personne physique ou morale, une autorité publique, un service ou un organisme autre que :
- la personne concernée,
- le responsable du traitement,
- le sous-traitant et
- les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel (Article 4(10)).
Un tiers peut avoir accès aux données personnelles traitées par le responsable de traitement ou le sous-traitant soit de manière intentionnelle, en tant que « destinataire » (par exemple lorsque le responsable de traitement fait appel à un sous-traitant afin de transférer les données personnelles à un tiers), soit de manière non intentionnelle (par exemple lorsque quelqu’un peut potentiellement avoir accès aux données mais n’est pas censé y accéder), ou même illégalement. « Ce tiers sera alors considéré comme responsable de traitement pour le traitement qu’il effectue pour ses propres finalités ».
Par exemple, lorsqu’une entreprise utilise des services de nettoyage, elle n’a pas d’intention de recourir aux services d’une société de nettoyage ou de ses employés pour traiter des données personnelles. Néanmoins, le personnel de nettoyage pourrait potentiellement avoir accès aux données personnelles dans les locaux où il intervient. « La société de nettoyage et ses employés sont ainsi considérés comme des tiers ».
Dans les cas où un tiers a potentiellement accès aux données en raison de ses relations contractuelles avec le responsable de traitement ou le sous-traitant, ce responsable ou ce sous-traitant « doit s’assurer de la mise en place de mesures de sécurité adéquates afin d’empêcher l’accès aux données personnelles et, stipuler une obligation de confidentialité dans l’éventualité où [le tiers] serait accidentellement en contact avec des données personnelles ».
Il est également possible de retrouver des tiers même au sein des groupes de sociétés, par exemple, lorsqu’une société mère demande la communication de données concernant les employés de toutes ses filiales afin d’effectuer des statistiques à l’échelle du groupe. Lors de tels transferts de données, les filiales (les employeurs traitant des données pour des fins de gestion des ressources humaines) considèrent la société mère comme un tiers. Ce tiers agit en tant que responsable de traitement pour le traitement qu’il fait des données personnelles à finalité statistique.
Les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel
La notion de personnes qui « placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel » n’est pas définie par le RGPD. Cette notion est généralement comprise comme faisant référence aux personnes qui sont associées à l’entité légale du responsable de traitement ou du sous-traitant tels par exemple, les employés ou les personnes ayant un «rôle fortement comparable à celui des employées, par exemple le personnel intérimaire ».
Lorsqu’une telle personne traite les données en dehors de son rôle ou sans autorisation, elle devrait être considérée comme tiers par rapport au traitement concerné et, d’autre part comme responsable du traitement non autorisé et en porter la responsabilité.
Destinataires
Un « destinataire » est une « personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers » (Article 4(9)).
Le CEPD donne comme exemple le cas d’une agence de voyage partageant les informations de voyages de ses clients avec les compagnies aériennes, hôtels et organisateurs d’excursions. Ces trois derniers devraient être considérés comme destinataires des données dans la mise en œuvre de leurs services respectifs. Dans cet exemple, les destinataires seraient considérés comme des responsables de traitement indépendants (« disjoints ») pour les besoins de leurs propres services.
Ainsi, le destinataire est une personne à laquelle le responsable du traitement ou le sous-traitant divulgue intentionnellement les données, raison pour laquelle les Articles 13, 14 et 15 du RGPD disposent que le responsable du traitement doit notamment informer les personnes concernées des « destinataires ou [des] catégories de destinataires des données à caractère personnel, s’ils existent ».
L’article 4(9) et le considérant 31 du RGPD disposent que les autorités publiques ne sont pas considérées comme des destinataires lorsqu’elles reçoivent les données personnelles dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État (par exemple les autorités fiscales et douanières, les unités d’enquête sur les marchés financiers). Le considérant 31 dispose « Les demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne devraient pas porter sur l’intégralité d’un fichier ni conduire à l’interconnexion de fichiers. Le traitement des données à caractère personnel par les autorités publiques en question devrait être effectué dans le respect des règles applicables en matière de protection des données en fonction des finalités du traitement ».
Comment pouvons-nous vous aider ?
Nous assistons de nombreuses entreprises dans l’évaluation de leur rôle et qualification dans le traitement de données mais aussi dans la négociation de contrats avec des degrés de complexité très variables dans différents secteurs d’activité.
N’hésitez donc pas à nous contacter si vous avez besoin de conseils pour la rédaction de tels documents ou la négociation de contrats.