Une partie de cet article est issue du site de la CNIL : https://www.cnil.fr/fr/tiers-autorises-la-cnil-publie-un-guide-pratique-et-un-recueil-de-procedures
1. Points à vérifier avant toute réponse à un tiers autorisé
Au regard du RGPD, l’enjeu principal pour un responsable de traitement recevant une telle demande est double : veiller à se conformer aux demandes prévues par les dispositions légales et garantir la sécurité des données à caractère personnel traitées. Ainsi il est nécessaire de vérifier les points suivants avant toute réponse :
- l’obtention d’une demande de communication écrite précisant le fondement légal de la demande ;
- le contrôle de la qualité du tiers autorisé à l’origine de la demande ;
- la vérification que le périmètre de la demande respecte les dispositions légales invoquées (notamment lorsque celles-ci écartent ou rappellent l’obligation de respect d’un secret professionnel) ;
- l’application de mesures de confidentialité afin de sécuriser l’échange ;
- la conservation d’une traçabilité des échanges et des vérifications réalisées.
Le guide des tiers autorisé est consultable ici : https://www.cnil.fr/sites/default/files/atoms/files/guide_tiers_autorises.pdf
2. Recueil des procédures « tiers autorisés »
Pour compléter le guide pratique, la CNIL a publié un recueil qui rassemble les principales procédures « tiers autorisés » retenues en raison de leur fréquence d’utilisation constatée et du grand nombre de responsables de traitement concernés. Ces procédures touchent aussi bien aux enquêtes juridictionnelles, administratives, économiques, sociales qu’aux enquêtes en lien avec le social, le travail ou la santé.
Ce recueil se présente sous la forme d’un tableau où il est indiqué la procédure ou l’autorité à l’origine de la demande, les acteurs soumis à la demande d’informations, les objectifs et conditions de la demande/de l’acte, la nature des informations accessibles/transmissibles et les fondements juridiques.
Le guide des tiers autorisés est consultable ici : https://www.cnil.fr/sites/default/files/atoms/files/recueil-procedures-tiers-autorises.pdf