Les entreprises reçoivent souvent des demandes de transfert d’informations pour des raisons diverses ; investigations, enquêtes… Le premier réflexe pourrait être d’envoyer directement les données surtout quand la requête émane d’une entité publique.
Cependant, la CNIL a mis en œuvre un rapport qui établit les conditions nécessaires pour procéder à cet envoi.
Qui peut formuler une demande d’information ?
Les organismes publics et privés ont le droit de formuler des demandes d’information, néanmoins, ils devront se conformer à certaines règles.
En effet, « les tiers autorisés », tels que les autorités ou organismes menant des enquêtes spécifiques, peuvent recevoir des communications de données personnelles en accord avec les lois de l’Union européenne ou des États membres.
Vérification de la qualité de « tiers de confiance »
Avant tout transfert des données à un « organisme tier », l’entreprise doit effectuer des vérifications sur la requête en cause et s’assurer de :
- L’existence d’un fondement légal pour le transfert.
- La qualité et l’identité du demandeur.
- Le périmètre des informations demandées.
- La sécurisation des modalités d’envoi.
À cet égard, plusieurs éléments doivent être pris en compte au préalable.
Le demandeur doit avant tout faire référence aux bases légales l’habilitant à recevoir les données personnelles requises dans le cadre de ses missions.
Cette notion de base légale implique la justification de la demande par des articles spécifiques qui fondent la transmission ; ainsi, la mention de dispositifs généraux n’est pas en soi suffisante.
À défaut de telles précisions, l’entreprise devra solliciter des clarifications par rapport aux textes et références légales qui légitimisent le transfert.
Cependant, cette exigence de fondement légal n’est pas suffisante. L’entreprise devra vérifier l’identité du demandeur.
Cette vérification se fait à double facteur ; juridique et pratique.
Juridique |
Pratique |
Les dispositifs législatifs et règlementaires invoqués habilitent effectivement l’acteur en cause à recevoir les informations |
Il s’agit surtout d’éviter les tentatives frauduleuses pouvant être formulées par des acteurs malveillants ou non autorisés |
Dans cette optique, le responsable de traitement devra faire preuve de vigilance. Évidemment, dans certains cas, il est raisonnable de s’attendre à certaines mesures de vigilance de sa part, et ce notamment quand :
- Les conditions des échanges paraissent inhabituelles (nouvel interlocuteur d’un organisme « connu »)
- Le vecteur d’échange est peu contrôlé
- Le volume des données demandées est important, ou de nature inhabituelle, voir particulièrement sensible
Respect de l’impératif de nécessité
En outre, le périmètre de la demande est également essentiel. À cet effet, les données requises doivent être conformes à l’exigence de nécessité, et donc doivent être nécessaires aux traitements.
Respect du secret professionnel
Les acteurs impliqués dans le traitement des données sont parfois tenus par une obligation de confidentialité et de respect du secret professionnel.
À cet égard, ils doivent évaluer si les demandes de communication visent des informations protégées par le secret professionnel et s’assurer de la légitimité de la levée de ce secret.
Sécurisation de la transmission
Le transfert des données doit être sécurisé ; des mesures sont impérativement prises par le responsable de traitement afin de garantir un transfert sur des données.
Ces mesures peuvent inclure :
- Chiffrement des données.
- Hachage pour prévenir l’altération.
- Utilisation de plateformes conformes aux standards de sécurité.
- Emploi de deux canaux de transmission distincts pour envoyer les documents chiffrés et les clés de déchiffrement.
Conservation des données transmises
Les données transmises doivent être conservées uniquement pour la durée nécessaire à la réalisation de la finalité déterminée, explicite et légitime.
En l’occurrence, la conservation doit être sécurisée et limitée au strict nécessaire.
Documentation des procédures
Pour certains organismes, l’établissement d’une documentation relative à la gestion des demandes « tiers autorisés » s’avère indispensable. Une telle documentation devra être diffusée aux agents susceptibles d’être destinataires ou en charge de telles demandes et doit inclure :
- Les premiers gestes de tout agent à la réception d’une demande à la forme « impérative » (informations à demander, référent interne à saisir…) ;
- La désignation du ou des référents chargés de veiller à la prise en compte de la demande
- Informer rigoureusement chaque agent et salarié sur les menaces connues et / ou référencées par les acteurs institutionnels compétents (ANSSI, DGCCRF, CNIL) en matière de tentatives d’extractions malveillantes
- Prévoir les outils de chiffrement, modes de communication, politique de mot de passe privilégiée et tout autre standard pour la transmission de données personnelles à un organisme tiers autorisé.
La communication de documents contenant des données personnelles en réponse à une requête de la CNIL ou d’autres tiers autorisés doit respecter le cadre strict pour la protection des données personnelles. Les procédures décrites dans ce rapport sont essentielles pour guider les responsables de traitement dans la gestion de ces demandes et assurer une protection optimale des données personnelles.
Sources
https://www.cnil.fr/fr/tiers-autorises-la-cnil-publie-un-guide-pratique-et-un-recueil-de-procedures
https://www.cnil.fr/sites/cnil/files/atoms/files/guide_tiers_autorises.pdf
https://www.dpo-partage.fr/transmission-de-donnees-cnil/
www.alain-bensoussan.com/avocats/cnil-comment-repondre-a-une-demande-de-tiers-autorise/2020/09/07
Image : https://www.lemediasocial.fr/mineurs-delinquants-modalites-de-transmission-des-informations-a-l-onpe_D98rDC