Le « tiers » ne traite pas vos données pour le responsable ni pour le compte de celui-ci ; il reste extérieur à la chaîne opérationnelle. Pourtant, il peut représenter un point de vulnérabilité si aucun contrôle n’est exercé. Cet article définit précisément le tiers, le distingue des autres intervenants et propose des mesures pour limiter les risques d’accès non autorisé.
1) Caractéristiques et définition du tiers
Selon le RGPD, un tiers est une personne ou un organisme qui n’intervient pas dans le traitement des données. Il ne s’agit ni de la personne concernée, ni du responsable, ni du sous-traitant. Il ne fait pas non plus partie des équipes autorisées à traiter les données sous leur contrôle direct.
Un tiers n’a donc aucun droit d’accès aux données personnelles, sauf s’il reçoit une autorisation explicite. Il ne traite pas les données sur la base d’un contrat ni d’une instruction formelle. Il est totalement extérieur au traitement.
Cela concerne par exemple un prestataire de nettoyage intervenant dans une banque. Il peut aussi s’agir d’une entreprise de déménagement qui manipule des cartons contenant des archives. Un visiteur de passage dans les locaux de l’entreprise entre également dans cette catégorie.
Si des mesures de sécurité ne sont pas mises en place, ces tiers peuvent accéder par erreur à des informations sensibles. Même si cela n’est pas intentionnel, il s’agit d’une violation du RGPD. D’où l’importance, pour le responsable de traitement, de limiter tout risque d’accès non autorisé.
2) Distinctions avec destinataire et sous-traitant
À la différence du destinataire, qui reçoit formellement les données et peut en disposer pour ses propres finalités, le tiers ne bénéficie d’aucune prérogative pour les consulter ou les traiter. Contrairement au sous-traitant, qui agit pour le compte du responsable selon un mandat précis, le tiers demeure totalement extérieur à la chaîne de responsabilité. Cette absence de lien contractuel et d’instruction formelle rend cruciale la mise en place de barrières pour l’empêcher d’accéder par inadvertance ou malveillance aux informations sensibles.
3) Risques liés à l’intervention de tiers
Jusqu’en 2004, la loi française n’offrait aucune définition explicite de la « personne concernée ». Cette lacune a été comblée par la loi n° 2004-801 du 6 août 2004, qui a introduit la notion par renvoi à la directive européenne 95/46/CE. Vint ensuite, en mai 2018, l’entrée en vigueur du RGPD, qui a intégré cette définition directement dans le règlement, puis l’ordonnance n° 2018-1125 du 12 décembre 2018, qui a aligné la loi française avec le RGPD en renvoyant expressément à ses définitions . L’objectif était clair : unifier les règles au niveau européen et assurer une protection homogène des droits, sans disparités entre États membres.
4) Mesures de prévention et bonnes pratiques
Pour limiter les risques liés aux tiers, le responsable doit organiser l’accès aux données de façon stricte. Il peut, par exemple, prévoir des zones d’accès restreint. Cela comprend des armoires sécurisées pour les documents sensibles ou des bureaux fermés à clé pour les traitements délicats. L’accès à ces espaces doit être contrôlé, par exemple à l’aide de badges.
Les équipements mis à disposition des intervenants extérieurs doivent aussi être protégés. Les ordinateurs, les connexions Wi-Fi pour invités ou les postes partagés doivent être isolés du réseau interne. Ils ne doivent permettre aucun accès aux données personnelles de l’entreprise.
Un accompagnement spécifique des prestataires extérieurs est également recommandé. Il est utile de leur faire signer une charte de confidentialité. Une formation rapide aux bonnes pratiques peut aussi être mise en place. Lors de leurs interventions, une surveillance ou un encadrement doit être prévu.
Il est aussi conseillé de mettre en place un système d’autorisation ponctuelle. Chaque accès exceptionnel aux données ou aux systèmes doit faire l’objet d’une validation écrite. Il doit être consigné dans un registre ou une feuille de présence. Cela permet de garder une trace claire de chaque intervention.
En combinant barrières physiques, séparation des réseaux, engagements de confidentialité et procédures bien définies, le responsable limite les risques. Il réduit les possibilités de fuite via des tiers tout en respectant les exigences du RGPD.
Deshoulières Avocats vous accompagne pour votre mise en conformité et vos litiges en données personnelles.
RESSOURCES :
-
Règlement (UE) 2016/679 (RGPD) – Article 4(10) : définition du tiers
-
Comité européen de la protection des données – Lignes directrices sur les notions de responsable et de sous-traitant (07/2020) : rappel des distinctions avec le tiers
