Qui sont ces acteurs ?

L’art. 4(10) définit un tiers comme “une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter des données à caractère personnel.” Les employés qui ne sont pas autorisés à traiter des données à caractère personnel, auxquelles ils ont obtenu l’accès, sont donc définis comme des tiers.

Exemple :

Un organisme de recherche, ou une chaire d’université, qui est le responsable du traitement des données à caractère personnel, engage un service de nettoyage. Le personnel de nettoyage peut désormais techniquement accéder à ces données personnelles s’il nettoie les bureaux de l’organisation sur lesquels les données à caractère personnel pourraient être stockées. Même si le personnel de nettoyage ne traite pas, et ne veut pas traiter, les données, il peut entrer en contact avec celles-ci. Le service de nettoyage et son personnel sont considérés comme un tiers. Pour être considéré comme un responsable du traitement, le personnel de nettoyage devrait, dans cet exemple, photographier ou mettre en ligne les données. Il s’agirait alors d’un traitement des données, et le personnel de nettoyage deviendrait un responsable du traitement. L’organisation, en sa qualité de responsable du traitement, doit appliquer des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne puissent pas être consultées par des personnes non autorisées – des tiers. Cela inclut le stockage sécurisé des données de manière à ce que d’autres entités, ici des tiers, ne soient pas en mesure d’accéder aux données, que ce soit involontairement ou volontairement.