L’article 3 de la loi informatique et libertés prévoit que « le destinataire d’un traitement de données à caractère personnel est toute personne habilitée à recevoir communication de ces données autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, en raison de leurs fonctions, sont chargées de traiter les données. »

De son côté, le RGPD définit, en son article 4, le destinataire du traitement comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. »

L’identification du destinataire du traitement permet de déterminer quelles sont les personnes qui disposent du droit d’accéder aux informations collectées et traitées.

Par exception, la loi informatique et libertés prévoit que « les autorités légalement habilitées, dans le cadre d’une mission particulière ou de l’exercice d’un droit de communication, à demander au responsable du traitement de leur communiquer des données à caractère personnel ne constituent pas des destinataires ».