Quelles précautions prendre lorsqu’un officier de police adresse par courriel une demande de communication de données personnelles relatives à un salarié ou à un client ? Quelles sont les règles à respecter pour communiquer les données personnelles de mes clients à mes partenaires ? Leur consentement est-il requis ? En tant que destinataire de données personnelles, quelles sont les obligations à respecter ?

Voici quelques questions qui peuvent se poser lorsqu’un responsable de traitement envisage de communiquer les données personnelles qu’il a collectées à des tiers.

Destinataire ou tiers autorisé, quelle différence ?

Le destinataire des données personnelles est défini à l’article 3, II de la loi Informatique et Libertés comme « toute personne habilitée à recevoir communication de ces données ». D’après le futur Règlement européen, il s’agit de « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. ». Le futur Règlement précise que les autorités publiques recevant communication des données dans le cadre d’une enquête ne sont pas des destinataires. Ces autorités publiques semblent donc avoir la qualité de tiers autorisés, notion qui désigne, selon la loi Informatique et Libertés, l’autorité habilitée à demander la communication des données personnelles traitées par le responsable de traitement parce qu’un texte l’y autorise.

Ainsi, à la différence du destinataire, le tiers autorisé bénéficie d’une habilitation lui permettant d’obtenir la communication des données. Cela signifie aussi que le flux de données vers un tel organisme ne peut, a priori, être que ponctuel.

Communication des données personnelles et tiers autorisé

Dans l’hypothèse où un organisme tiers se prévaut de sa qualité de tiers autorisé pour obtenir la transmission de données personnelles traitées, il convient que le responsable de traitement procède à certaines vérifications.

En effet, la CNIL exige que la demande soit écrite, motivée et circonstanciée. Dès lors, la demande de communication doit préciser le fondement juridique de cette communication ainsi que les catégories d’information sollicitées. En pratique, le responsable de traitement doit vérifier que le fondement textuel invoqué à l’appui de la demande de communication.

En outre, le responsable de traitement de données personnelles est tenu à une obligation de sécurité des données personnelles qui s’étend au stade de la transmission desdites données. Ainsi les modalités choisies pour communiquer les données doivent-elles être de nature à empêcher tout accès non autorisé. La CNIL préconise par exemple que les fichiers joints à des courriels fassent l’objet d’un chiffrement et d’une communication de mot de passe distincte. Le chiffrement des canaux de communication à l’aide du protocole https peut également être utilisé.

Enfin, le responsable de traitement doit s’assurer que les données personnelles qu’il transmet sont exactes. La CNIL a récemment prononcé un avertissement public contre la société NC Numericable en raison d’un manquement à l’obligation d’assurer l’exactitude des données personnelles (article 6, 4° de la loi Informatique et Libertés, repris à l’article 5, d) du Règlement européen). Cette société avait transmis, à plusieurs reprises, les données personnelles relatives à l’un de ses abonnés à la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi) chargée de la lutte contre la contrefaçon sur l’Internet ainsi qu’aux autorités de police. Or, l’enquête préliminaire diligentée avait finalement révélé que cet abonné avait été identifié par erreur en raison du dysfonctionnement de l’application développée par ce responsable de traitement.

Communication des données personnelles et destinataires

La communication de données personnelles à un destinataire n’est subordonnée ni à l’existence d’un fondement juridique ni à une demande écrite motivée. Toutefois, il convient de vérifier que les exigences de la réglementation relative à la protection des données personnelles sont respectées.

En l’état actuel de la législation, le destinataire des données personnelles doit être mentionné dans les formalités effectuées auprès de la CNIL ou auprès du CIL de l’organisme responsable du traitement. Dans le cadre du futur Règlement européen, le destinataire des données personnelles devra être mentionné dans le registre des activités de traitement conformément à l’article 28 du texte. De plus, les personnes dont les données personnelles sont collectées doivent être informées des destinataires ou des catégories de destinataires des données personnelles. Dans certains cas, leur consentement doit être recueilli (prospection commerciale par exemple). Ces obligations sont maintenues par le futur Règlement européen (article 14 du texte notamment).

Il convient à nouveau de porter une attention particulière aux mesures mises en place afin que les données personnelles soient communiquées aux destinataires de manière sécurisée.

Notons enfin que le destinataire des données personnelles a des obligations une fois les données personnelles reçues. En effet, ce destinataire est lui-même un responsable de traitement de données personnelles dès lors qu’il les utilise pour mettre en oeuvre un traitement dont il a défini les finalités et les moyens. Il est donc soumis aux exigences de la loi Informatique et Libertés et sera soumis au futur Règlement européen.

Entre autres impératifs, les personnes concernées doivent ainsi être informées par le destinataire responsable de traitement dès l’enregistrement des données (article 32, III de la loi Informatique et Libertés). L’article 14bis du futur Règlement européen, dédié aux « Informations à fournir lorsque les données n’ont pas été collectées auprès de la personne concernée », prévoit que le responsable de traitement informe les personnes dont il a obtenu transmission des données. Cette information se fait soit au moment de la première communication avec elles au plus tard soit, s’il transmet à son tour les données personnelles à un destinataire, au moment de la première communication des données.