Documente Academic
Documente Profesional
Documente Cultură
4
LE DELEGUE A LA PROTECTION DES DONNÉES
5
LES DESTINATAIRES ET LES TIERS AUTORISÉS
1 A noter que la loi Informatique et Libertés, dans sa rédaction antérieure à l’ordonnance 2018-1125 du 12 décembre 2018, considérait que le des-
tinataire était nécessairement une personne extérieure à l’organisme responsable de traitement. Elle excluait donc de la définition des destinataires
de données la personne concernée, le responsable de traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, étaient chargées
de traiter les données (LIL, Art. 3).
2 Délibération de la CNIL 82-02 du 2 février 1982 portant adoption d’un conseil relatif à la communication à des tiers des renseignements d’ordre
inatif figurant dans les fichiers d’EDF et de GDF.
6
l’intégralité d’un traitement, d’un sous-ensemble de traitements ou qu’elle aboutisse à l’organisation
d’interconnexions.
Lorsqu’il est confronté à une demande de communication venant d’un tiers autorisé s’appuyant sur un texte,
le responsable de traitement doit donc s’assurer que la disposition avancée est en vigueur et qu’elle prévoit
effectivement un droit de communication au bénéfice du demandeur. Il doit par la suite veiller à ne transmettre
que les données prévues par le texte ou, en cas d’imprécision de ce dernier, les seules données qui lui
apparaissent strictement nécessaires pour atteindre l’objectif recherché. La communication des données
devra être réalisée selon des modalités permettant de s’assurer de leur sécurité, en adaptant la mesure
retenue à la nature des données et aux risques en présence. À noter qu’il n’est pas obligatoire d’informer les
personnes concernées des transmissions de données au profit de tiers autorisés.
En application de dispositions législatives ou réglementaires, sont ainsi notamment considérés comme des
tiers autorisés à obtenir ponctuellement des données à caractère personnel les organismes suivants (liste
non exhaustive) :
7
Autorités administratives - Autorité des marchés financiers, CNIL, conseil supérieur de l’audiovisuel, médiateur
indépendantes de la République, autorité de la concurrence… (dans le cadre de leurs missions de
contrôle de la régularité des opérations effectuées)…
Autres tiers autorisés - Commissaires aux comptes (contrôle de la régularité et de la sincérité des comptes
annuels),
- Commissions d’enquête parlementaires (dans le cadre des investigations qu’elles
mènent sur des faits déterminés ou sur la gestion des services publics ou des
entreprises nationales)…
LE REPRÉSENTANT DU RT OU DU ST
Le règlement définit le représentant comme étant Le représentant doit être établi dans l’État où se
« une personne physique ou morale établie dans trouvent les personnes physiques concernées dont
l’UE, désignée par le RT ou le ST par écrit, en vertu le responsable de traitement ou le sous-traitant offre
de l’article 27, qui les représente en ce qui concerne des services ou dont le comportement est suivi.
leurs obligations respectives en vertu du présent
Un contrat lie le représentant au RT ou au ST.
règlement » (RGPD, Art. 4.17).
Le règlement européen précise les obligations du
Le rôle du représentant du responsable du traitement
représentant :
ou du sous-traitant établi hors de l’Union européenne
est précisé à l’article 27 et au considérant 80 du Devoir d’information : s’identifier dans le registre
règlement. des traitements ainsi qu’au moment d’informer les
personnes, accomplir l’obligation d’information des
Le représentant agit dans l’hypothèse où le personnes concernées ;
responsable de traitement ou le sous-traitant qui
n’est pas établi dans l’Union européenne traite Point de contact : être le contact du responsable
des données à caractère personnel de personnes de traitement pour les personnes concernées et pour
concernées qui se trouvent dans l’UE dans le cadre : les autorités de contrôle concernant toute question
relative à un traitement aux fins d’assurer le respect
1. D’offres de biens ou de services à ces per- des dispositions du règlement ;
sonnes, qu’un paiement leur soit demandé ou non ;
Registre des traitements : tenir le(s) registre(s)
2. Du suivi de leur comportement dans la du responsable de traitements et/ou sous-traitant et
mesure où celui-ci a lieu au sein de l’UE. le(s) mettre à disposition de l’autorité de contrôle ;
Dans ces conditions, le responsable de traitement Coopération : coopérer avec l’autorité de contrôle
ou le sous-traitant doit désigner un représentant sauf et lui communiquer toute information nécessaire.
(RGPD, Art. 27 et cons. 80) (conditions cumulatives) :
Le considérant 80 du RGPD indique que le repré-
Si le traitement est occasionnel ; sentant doit agir pour le compte du responsable du
S’il n’implique pas un traitement à grande échelle traitement ou du sous-traitant. La désignation de ce
de catégories particulières de données à caractère représentant ne porte pas atteinte aux responsabi-
personnel (données dites « sensibles ») ; lités du responsable du traitement ou du sous-trai-
S’il n’implique pas un traitement de données relatives tant. Ce représentant doit donc accomplir ses tâches
à des condamnations pénales et à des infractions ; conformément à son mandat.
S’il est « peu susceptible d’engendrer un risque pour La portée juridique des responsabilités du repré-
les droits et libertés des personnes physiques, compte sentant doit néanmoins être encore précisée par le
tenu de la nature, du contexte, de la portée et des CEPD notamment au regard des propositions pré-
finalités du traitement ou si le responsable detraitement sentées dans le « Guidelines 3/2018 on the territorial
est une autorité publique ou un organisme public ». scope of the GDPR ».