Vous êtes dans une zone habituellement réservée aux stagiaires RGPD de « LE NET EXPERT FORMATIONS ». Afin des fins pédagogiques d’intérêt général, nous avons libéré l’accès à cette page et avons le plaisir de partager avec vous ce contenu.
Vous souhaitez suivre une formation sur le RGPD ou la CYBER ? Contactez-nous
Vérifier la source et le périmètre de la demande
La connaissance des dispositions légales prévoyant le droit de communication répond à une seconde exigence relative au contrôle par le responsable de traitement :
- de l’organisme à l’origine de la procédure ;
- du périmètre de la demande (quelles informations demandées, à quel acteur).
Chaque procédure légalement prévue présente en effet des spécificités déterminantes qu’il convient de vérifier avant de réunir et de communiquer les éléments d’information demandés. Une disposition peut prévoir un périmètre très large (par exemple : « toute donnée utile détenue par tout organisme peut être exigée ») ou restreint (« la copie des factures détenues par les organismes mentionnés à l’article 10 peut être exigée »).
Certaines dispositions peuvent par ailleurs prévoir des règles supplémentaires, en précisant par exemple qu’une demande doit être émise par une personne détenant une fonction particulière (tel qu’un officier de police judiciaire).
1. La vérification de l’organisme à l’origine d’une demande
Cette vérification est double.
Vérification juridique
Elle consiste à s’assurer que l’acteur émetteur de la demande est effectivement cité dans la disposition légale invoquée comme autorisé à exiger la communication des informations.
Il s’agit ici d’une vérification des termes des dispositions législatives et réglementaires pertinentes.
Vérification pratique
Elle consiste à s’assurer que l’émetteur de la demande de communication reçue par le responsable de traitement provient effectivement de l’autorité ou de l’organisme public mentionné. Il s’agit ici d’entraver les éventuelles tentatives frauduleuses de récupération d’informations par des acteurs malveillants ou non autorisés.
Cette seconde vérification doit conduire le responsable de traitement à adapter sa vigilance et ses contrôles en cas de doute raisonnable ou au regard des enjeux, notamment lorsque :
- les échanges entre le responsable de traitement et l’acteur émetteur de la demande ne sont pas habituels (par exemple : premier échange avec l’organisme, nouvel interlocuteur d’un organisme « connu ») ;
- la demande est transmise par un moyen ne permettant qu’un contrôle limité par le responsable (par téléphone, par courriel, en personne) ;
- la demande concerne des données d’un volume important, de nature inhabituelle ou d’une particulière sensibilité
Lorsque le responsable de traitement est dans l’un de ces cas ou dans toute autre situation faisant peser un doute raisonnable, il conviendra de prévoir les mesures adaptées pour s’assurer de la réalité de la procédure auprès de l’organe émetteur de la demande.
Modalités de vérification
Il pourra s’agir notamment de procéder aux contrôles suivants :
- Effectuer un contre-appel en utilisant le numéro de contact diffusé par l’administration (sur son site web ou sur l’annuaire public des administrations accessible depuis cette page) – ne pas utiliser le
numéro fourni par le demandeur ;
- Vérifier que l’adresse postale communiquée correspond à celle diffusée par le tiers autorisé sur son site web (ou sur l’annuaire précité) ;
- Vérifier que le nom de domaine de l’adresse courriel utilisée ou indiquée (la partie qui suit le signe « @ » dans une adresse de messagerie) correspond à celui diffusé par l’administration sur son site web
(vérification à faire lors de la réception du message et lors de la réponse, si une réponse par courriel est attendue) ;
- Recueillir toute information identifiant la personne se présentant dans les locaux aux fins de vérification auprès de son organisme d’appartenance (le cas échéant nom, prénom, fonction, matricule, ou
présentation d’une carte professionnelle) ;
- Contacter pour toute vérification utile le délégué à la protection des données (DPD / DPO) de l’organisme à l’origine de la demande (les organismes autorisés à agir en tant que « tiers autorisés » disposent généralement d’un DPO, dont les coordonnées sont accessibles depuis la page « data.gouv.fr » dédiée).
Remarque :
Si un responsable de traitement réalise a posteriori que des données à caractère personnel ont été transmises « à tort » (par exemple : acteur malveillant s’étant fait passer pour un tiers autorisé légitime), il devra aussitôt envisager de notifier une violation de données à la CNIL, en application de l’article 33 du RGPD (ainsi que, le cas échéant, aux personnes concernées, en application de l’article 34).
Contrôle sur place
À l’occasion des contrôles sur place que réalise la CNIL, il arrive que la délégation de contrôle invite l’organisme à contacter de lui-même la Commission en cas de doute raisonnable quant au cadre légal prévoyant ses actions. Cet appel lui permet d’obtenir la confirmation que les agents agissent effectivement en application d’une décision formelle de la CNIL de procéder à un contrôle de l’organisme.
Contrôle sur pièces
À l’occasion des contrôles sur pièces que réalise la CNIL (par exemple : transmission d’un courrier exigeant de l’organisme qu’il communique certaines informations), l’organisme peut à tout moment contacter la Commission afin de se faire confirmer la réalité de la procédure.
2. La vérification de l’organisme à l’origine d’une demande
Les textes relatifs aux pouvoirs des tiers autorisés prévoient systématiquement un périmètre délimitant les informations ou documents pouvant faire l’objet d’une demande de communication.
Le tiers autorisé est tenu de respecter ce périmètre à l’occasion de sa demande. Néanmoins, cela ne décharge pas le responsable de traitement de la vigilance dont il doit faire preuve afin de veiller à répondre conformément au périmètre d’une part, et précisément à la demande d’autre part.
Il revient ainsi au responsable de traitement de s’assurer :
- Que les informations transmises sont effectivement visées par les dispositions invoquées par le tiers
autorisé ; - Que les informations réunies, avant transmission, ne contiennent pas de données à caractère personnel « en trop », c’est-à-dire non demandées par le tiers autorisé dans sa requête.
Cas des données « en trop »
Lorsque le tiers autorisé requiert la communication des noms et prénoms des agents ou salariés d’un service, le responsable de traitement peut, par commodité, transmettre la copie de l’organigramme correspondant, à condition de masquer les informations « en trop » (photo, adresse de messagerie et numéro de téléphone).
Lorsque la demande n’exige pas, en elle-même, la transmission de données personnelles, le responsable de traitement doit envisager de minimiser sa réponse jusqu’à l’anonymisation des éléments fournis.
Consultez les « Cas concrets ».
3. Le respect du secret professionnel et l’exercice du droit de communication
L’obligation de respect du secret professionnel résulte de la volonté du législateur de protéger certaines informations en interdisant leur divulgation à des personnes non autorisées par la loi (sous peine de poursuites pénales).
En pratique, le secret professionnel doit être opposé par l’organisme en réponse à une demande provenant d’un tiers autorisé pour lequel aucune disposition ne prévoit la levée d’un ou de plusieurs secrets professionnels.
Le responsable doit donc, avant toute invocation du secret professionnel, vérifier si les deux conditions précitées sont effectivement réunies :
- La demande de communication vise-t-elle des informations ou documents protégés par un secret professionnel ?
- Dans l’affirmative, la demande de communication provient-elle d’un organisme bénéficiant d’une disposition législative prévoyant la levée du secret professionnel concerné ?
La bonne connaissance et le suivi de ces règles sont primordiaux dans la mesure où les décisions prises par le responsable sur leur fondement, transmission ou refus de transmission d’une information, peuvent donner lieu aux suites contentieuses précitées : violation du secret professionnel ou, en cas d’opposabilité non fondée du secret professionnel, entrave au contrôle (lorsque les textes le prévoient).
a) La demande vise-t-elle des informations protégées par un secret professionnel ?
L’existence d’un secret professionnel peut être vérifiée dans deux cas de figure, selon qu’il existe ou non des dispositions explicites le prévoyant.
Dans le premier cas, il revient au responsable de traitement d’identifier et d’invoquer l’existence de dispositions expresses protégeant les informations qu’il détient. De telles dispositions pourront viser des informations d’une certaine nature ou détenues et exploitées dans un contexte particulier.
L’absence de disposition explicite ne signifie cependant pas nécessairement que le responsable de traitement n’est pas soumis au secret professionnel.
Un responsable de traitement peut en effet être soumis au respect d’un secret professionnel malgré l’absence de disposition légale explicite le concernant. Les critères d’appréciation en la matière ont trait à « la nature secrète de l’information en cause et, d’autre part, à la fonction ayant permis à l’intéressé d’obtenir ladite information » (arrêt n° 1-2019 du 30 septembre 2019 – Cour de justice de la République).
b) Le secret professionnel est-il opposable au tiers autorisé ?
Les dispositions relatives au droit de communication peuvent être accompagnées de précisions explicites quant aux modalités de respect du secret professionnel. De telles dispositions peuvent prévoir ou exclure les cas d’opposabilité d’un secret professionnel, de manière générale ou dans des conditions spécifiques.
Ici encore, l’absence de dispositions explicites en la matière ne signifie pas nécessairement l’impossibilité pour un tiers autorisé de lever un secret professionnel.
À plusieurs reprises, les juridictions ont en effet estimé que des informations pourtant protégées par un secret professionnel devaient être transmises à un tiers autorisé car leur divulgation était la conséquence nécessaire des dispositions légales applicables à ce tiers (en particulier celles relatives à la mission attribuée au tiers autorisé par le législateur). Autrement dit, outre les cas dans lesquels le secret est expressément rendu
inopposable par une disposition législative spécifique, il existe un certain nombre d’hypothèses dans lesquelles un texte doit être interprété comme ayant, implicitement, pour effet de lever le secret à l’égard d’un tiers.
Au regard de la jurisprudence chaque « autorisation » en la matière fait cependant l’objet d’un examen au cas par cas par le juge afin de vérifier que l’application des dispositions légales précitées requiert impérativement la transmission d’informations couvertes par un secret, ou si l’objectif fixé par les dispositions peut être atteint sans qu’il soit nécessaire de le transgresser (un certain nombre de décisions du Conseil d’Etat ont été prises en ce sens).
Dès lors, la vigilance du responsable de traitement (ainsi que, le cas échéant, les motifs avancés par les tiers autorisés à l’occasion de leurs demandes) devra s’étendre à l’interprétation des textes par les éventuelles
décisions juridictionnelles le concernant directement ou par analogie.
Pour mémoire, un droit de communication exercé irrégulièrement est de nature à vicier la procédure qui en découle, comme l’a rappelé le Conseil constitutionnel (décision n° 2013-679 DC du 4 décembre 2013, § 32 à 34).
Consultez les « Cas concrets ».
Sommaire du Chapitre « 30. LES TIERS AUTORISÉS »
- 30.4. Cas concrets
Source : CNIL : Guide pratique des « tiers autorisés »
Ce contenu est mis à disposition à titre pédagogique par notre organisme de formation « LE NET EXPERT FORMATIONS ». Il entre dans le cadre de formations sur le thème du RGPD que nous proposons. Il ne constitue ni un contenu officiel, ni une liste exhaustive, ni une incitation à des actes malveillants.
Ce document constitue un extrait du support de cours que notre formateur met à la disposition de nos stagiaires.
Notre Formateur/Expert peut aussi être en mesure de vous accompagner pour répondre à une situation ponctuelle.
LeNetExpert Formations