Droit d’accès: justification de l’identité

Selon l’art. 12 par. 3 du RGPD, le responsable de traitement dispose d’un délai d’un mois, extensible sous condition à trois mois, pour répondre à une demande d’exercice des droits basée sur les articles 15 à 22, dont le droit d’accès (art. 15 RGPD).

Dans un cas examiné par l’Autorité de protection des données de Belgique (Chambre Contentieuse, Décision 40/2022 du 17 mars 2022 ; https://www.autoriteprotectiondonnees.be/publications/classement-sans-suite-n-40-2022.pdf), le responsable de traitement impose à la personne exerçant son droit d’accès de fournir avec sa requête une copie de sa carte d’identité.

Selon l’art. 12 par. 6 RGPD, le responsable du traitement peut uniquement demander des informations supplémentaires à la personne concernée « [lorsqu’il] a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21 ». Par conséquent, la réclamation systématique d’une copie ou d’un scan de la carte d’identité de la personne concernée est disproportionnée.

Photo de Ashutosh Sonwani sur Pexels.com

Ce n’est que dans les cas spécifiques où, conformément à l’article 5 par. 2  RGPD, le responsable du traitement est à même de démontrer qu’il ne peut pas identifier cette personne concernée (art. 11 par. 2 RGPD) et/ou qu’il a des doutes raisonnables quant à l’identité de la personne physique présentant la demande (art. 12 par. 6 RGPD) qu’il peut réclamer les données supplémentaires nécessaires pour confirmer l’identité de la personne concernée. Ces données supplémentaires peuvent par exemple consister en une copie du recto de la carte d’identité ou d’un autre document prouvant l’identité. Les autres données qui ne sont pas nécessaires à l’identification peuvent avoir été préalablement rendues illisibles par le plaignant. Ces différents éléments concernant l’usage de la carte d’identité sont confirmés par le CEPD dans ses lignes directrices sur le droit d’accès, qui indiquent notamment que « request copies of their clients’ ID card, [it] should generally not be considered an appropriate way of authentication ». (EDPB, « Guidelines 01/2022 on data subject rights – Right of access”, adoptées le 18 janvier 2022, §§ 74-78, 74).

La possibilité de demander des données supplémentaires en cas d’exercice du droit d’accès découle du principe de sécurité (art. 5 par. 1 let. f et 32 RGPD). Le responsable de traitement doit en effet assurer une sécurité appropriée aux données personnelles, et notamment la protection contre tout traitement non autorisé ou illicite. Remettre des données personnelles à des tiers non autorisés constituerait une violation du principe de sécurité.

Cela étant dit, en application du principe de proportionnalité le responsable de traitement ne peut pas traiter plus de données personnelles que ce qui est strictement nécessaire (minimisation des données : art. 5 par. 1 let. c RGPD ; voir en droit suisse Kastriot Lubishtani, Compteurs d’eau intelligents et principes de l’évitement et de la minimisation des données, 15 février 2021 in http://www.swissprivacy.law/56) et l’utilisation des données requises doit être limitée dans le temps (art. 5 par. 1 let. e RGPD).

Comme le souligne de manière convaincante Livio di Tria (Droit d’accès et justification d’identité, 18 avril 2022 in www.swissprivacy.law/136; voir aussi Livio di Tria/ Kastriot Lubishtani, Etude empirique du droit d’accès à ses données personnelles, in : Sylvain Métille (éd.), Le droit d’accès, Berne, 2021 p. 43), si le responsable de traitement doit demander des informations complémentaires afin de s’assurer de l’identité de la personne qui exerce son droit d’accès, il doit évaluer concrètement quelles informations lui permettront de confirmer cette identité dans le respect du principe de proportionnalité, et singulièrement de minimisation des données. Une authentification à facteurs multiples peut ainsi être utilisée, par exemple en cas de demande d’accès au dossier personnel d’un travailleur, dans la mesure où le responsable de traitement possèdera par exemple le numéro de téléphone portable de l’employé. On peut aussi penser à d’autres moyens, dont les questions de contrôle souvent utilisées par les banques ou les assurances par exemple. En d’autres termes, d’autres mesures devraient être préférées à la demande d’une copie de la carte d’identité si cela est possible. Et si ce n’est pas le cas, alors une copie du recto de la carte, dont la personne intéressée devrait pouvoir caviarder toute autre donnée que le nom, le prénom et la carte d’identité, devrait être suffisante. Ces principes devraient également s’appliquer sous l’angle du droit suisse, les art. 1 al. 1 OLPD  et 20 al. 4 P-OLPD ne pouvant en effet fonder une obligation systématique de fournir une copie d’une pièce d’identité.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans nouvelle LPD, Protection des données, RGPD, est tagué , , , , , , , , , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s