L’article 30 1. d) du RGPD impose que le registre comporte l’information relative aux « les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ».

L’article 4 du RPGD définit le destinataire comme étant « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ».

En d’autres termes, il faut entendre dans le terme destinataires, toutes les entités qui vont accéder aux données autres que les autorités publiques (tiers autorisés tels que la CNIL, la police judiciaire dans le cadre d’une enquête judiciaire ou l’administration fiscale par exemple). Il s’agit des services internes du responsable de traitement (le service RH par exemple), des sous-traitants, des responsables conjoints, des autres responsables de traitement (partenaires commerciaux par exemple).

Générer un DPA