Qui sont ces acteurs ?

L’art. 4(9) RGPD définit un destinataire comme “une personne physique ou morale, une autorité publique, une agence ou un autre organisme, à qui les données personnelles sont divulguées, qu’il s’agisse d’un tiers ou non”. Toutefois, les autorités publiques qui reçoivent des données à caractère personnel par le biais de demandes de renseignements conformément au droit de l’Union ou des États membres sont explicitement exclues de cette définition et ne doivent pas être considérées comme des tiers (art. 4(9)(2) du RGPD).

Toute autre personne est considérée comme un destinataire en recevant des données à caractère personnel. Par conséquent, un sous-traitant ou un tiers, tous deux considérés comme des acteurs principaux dans le présent document, sont considérés comme des destinataires si un responsable du traitement leur transfère des données à caractère personnel. ^[1]

Quelles sont leurs tâches ?

Le destinataire n’a pas de rôle actif puisqu’il n’est défini que par l’accès aux données. Si une entité reçoit des données personnelles et les traite, elle devient naturellement un responsable du traitement. Ceci démontre que le type et les rôles des acteurs changent avec l’accès et le traitement des données personnelles.

Quels sont leurs droits et leurs responsabilités ?

Aucun droit particulier n’est accordé aux destinataires. Lorsque des données à caractère personnel sont communiquées à un destinataire, le responsable du traitement doit en informer les personnes concernées. En cas de rectification ou d’effacement par le destinataire de la personne concernée, celui-ci doit être informé de ces changements^[2] . Toutefois, si les destinataires sont eux-mêmes des responsables du traitement ou des sous-traitants, ils peuvent être couverts par les dispositions du RGPD en tant que responsables du traitement ou sous-traitants, en fonction du champ d’application territorial du règlement.

Exemple :

Un particulier utilise un service de commande et de livraison de nourriture en ligne, la société C, pour commander un repas. La société C qui propose l’interface web n’est cependant pas le restaurant qui produit le repas, mais elle agit à la demande de la personne en envoyant la commande à un restaurant, puis en livrant elle-même le repas. La société C distribue maintenant les données personnelles de la personne, son nom et son adresse, à un restaurant R. C et R sont tous deux considérés comme des responsables du traitement des données personnelles effectué pour offrir leurs services respectifs. Comme C distribue les données à caractère personnel, les informations relatives à la commande et l’adresse, au restaurant R, R est considéré comme le destinataire des données. Dans ce scénario, il n’y a pas de relation responsable du traitement – sous-traitant.^[3]

 

 

1. Voir https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf p.29 pour cet exemple. ↑
2. Art. 19 RGPD Obligation de notification concernant la rectification ou l’effacement des données à caractère personnel ou la limitation du traitement. ↑
3. Exemple similaire à celui de la p.29 de l’EDPB, Guidelines 07/2020 on the concepts of controller and processor in the RGPD, 2020. Disponible sur : https://edpb.europa.eu/sites/default/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf (Dernier accès : 05.10.2021) ↑