Droit d’accès – comment identifier le requérant?

L’Information and Data Protection Commissioner (Malte) a rendu, le 4 mars 2022, une décision intéressante sur un responsable de traitement qui requérait des personnes voulant exercer leur droit d’accès  selon l’art. 15 RGPD une copie certifiée de leur pièce d’identité (IDPC (Malta) – EDPBI:MT:OSS:D:2022:341 ; décision : https://gdprhub.eu/index.php?title=IDPC_(Malta)_-_EDPBI:MT:OSS:D:2022:341&mtc=today). La justification avancée par le responsable de traitement était qu’il s’agissait d’une mesure nécessaire pour vérifier l’identité du requérant, étant précisé que les données en cause étaient des données sensibles (« sensitive data »), apparemment en rapport avec un site de jeux en ligne.  Le requérant contestait cette exigence, en soutenant notamment que le responsable de traitement pouvait confirmer son identité en recourant à des informations déjà en sa possession, dont son adresse email.

Photo de ThisIsEngineering sur Pexels.com

Pour l’IDPC, la question à résoudre est de savoir si, en demandant au requérant de produire une copie certifiée d’une pièce d’identité afin d’établir son identité avant de donner lieu à une requête de droit d’accès, le responsable de traitement s’était conformé à son obligation de faciliter l’exercice des droits de la personne concernée (art. 12 par. 2 RGPD).

L’art. 12 par. 2 RGPD a en effet pour but d’assurer que les droits de la personne concernée aux art. 15 à 22 RGPD sont protégés par l’établissement de conditions claires, efficaces et proportionnées, notamment pour ce qui est des conditions d’exercice du droit d’accès. En particulier le responsable de traitement ne doit pas refuser de donner suite à une demande de traitement « (…) à moins [qu’il] ne démontre qu’il n’est pas en mesure d’identifier la personne concernée » (art. 12 par. 2 i.f. RGPD).

L’exposé des motifs (par. 64) expose par ailleurs que le responsable de traitement devrait prendre toutes les mesures raisonnables pour vérifier l’identité d’une personne concernée qui demande l’accès à des données, en particulier dans le cadre des services et des identifiants en ligne. Il ne précise toutefois pas ce que pourraient être ces mesures.

L’Article 29 Working Party, dans ses Guidelines on the right to data portability, 16/EN, WP 242 rev.01, a, sur ce point, affirmé que si une personne concernée propose des informations complémentaires permettant son identification, le responsable de traitement doit donner suite à la requête. Le droit du responsable de traitement de demander des renseignements complémentaires ne doit pas aboutir à des demandes excessives qui ne sont ni pertinentes ni nécessaires pour renforcer/confirmer le lien entre la personne concernée et les données dont on demande l’accès.

L’exposé des motifs (par. 57) précise ici que « L’identification devrait comprendre l’identification numérique d’une personne concernée, par exemple au moyen d’un mécanisme d’authentification tel que les mêmes identifiants utilisés par la personne concernée pour se connecter au service en ligne proposé par le responsable de traitement. »

Le droit du responsable de traitement de vérifier l’identité de la personne concernée doit être proportionné et, à moins que cela ne soit strictement nécessaire, le responsable de traitement ne devra pas requérir « (…) a broader range of personal date other than that which has already been processed prior to the request » (N 20).

Le droit de requérir des informations complémentaires doit aussi obéir au principe de minimisation de l’art. 5 par. 1 let. c RGPD. Les données complémentaires requises devront donc être adéquates, pertinentes et limitées à ce qui est nécessaire en relation avec le but du traitement de données (i.e. l’identification du requérant).

Dans le cas d’espèce, l’IDPC note d’abord que la demande d’une copie certifiée d’une pièce d’identité n’est pas formulée dans tous les cas par le responsable de traitement, mais seulement quand il y a un doute sur l’authenticité de l’identité du requérant. Les règles internes du responsable de traitement ne font d’ailleurs pas référence à de telles copies certifiées.

Le responsable de traitement n’avait, en l’espèce, pas de raison de considérer que l’authentification normale du requérant était douteuse. Par ailleurs il aurait pu mettre en œuvre d’autres mesures raisonnables et efficaces s’il avait eu un doute, par exemple en vérifiant les informations et données du requérant et en les comparant avec celles figurant dans le dossier, ou en demandant des confirmations sur certains faits biographiques ou en rapport avec l’utilisation, par la personne concernée, de la plateforme en cause.

La demande d’une copie certifiée d’une pièce d’identité n’est donc pas justifiée, et viole l’art. 12 par. 2 RGPD.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s