La personne concernée a déposé une plainte auprès de l’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos) contre la compagnie de téléphone Orange Espagne, alléguant qu’un employé de General Logistics Systems Spain a pris une photographie du recto et du verso de sa carte d’identité lors de la livraison d’un téléphone portable qu’elle a acheté en ligne. En réponse, Orange a affirmé que la photo était nécessaire à l’exécution du contrat souscrit par la personne concernée et a fourni un courriel dans lequel elle l’informait que la photo du document serait demandée au moment de la livraison pour des raisons de sécurité.

L’APD, dans une décision PS/00413/2021 accessible depuis ce jour sur le site gdprhub.eu, a considéré que General Logistics était le sous-traitant et Orange le responsable du traitement, cette dernière ayant passé un contrat avec General Logistics pour la livraison de téléphones portables et la prise de photos d’identité de ses clients, ce qui a permis de déterminer les finalités et les moyens du traitement des données à caractère personnel. Elle a reconnu la nécessité de garantir que le destinataire du produit est la même personne que celle qui l’a acheté. Elle a également déclaré que la lutte contre la fraude est un intérêt légitime, en particulier en ce qui concerne les transactions en ligne. Toutefois, l’APD a rappelé que le RGPD exige que toute ingérence dans le droit fondamental à la protection des données soit adéquate, nécessaire, pertinente et limitée à ce qui est nécessaire pour atteindre la finalité pour laquelle les données personnelles ont été collectées (minimisation des données : art. 5 al. 1 let. c RGPD).

En l’espèce, la prise d’une photo du recto et du verso de la pièce d’identité révèle non seulement le nom et le prénom du destinataire, mais aussi sa signature, son adresse, son lieu et sa date de naissance, sa photographie, la date de délivrance et de validité du document et son code alphanumérique. Selon l’APD, ces données ne sont ni adéquates ni pertinentes au regard de la finalité de la livraison des biens. En outre, il existe des moyens moins invasifs de s’assurer que le produit est livré à la bonne personne. L’APD a établi une distinction entre le moment de la livraison du produit et celui de la conclusion du contrat, où le responsable du traitement doit être en mesure d’accréditer l’identité de la personne qui conclut le contrat. De leur point de vue, si la transaction est correctement effectuée, il ne devrait pas être difficile de prouver que le destinataire du produit est le même que celui qui a conclu le contrat.

L’APD a donc estimé que la méthode consistant à photographier le recto et le verso de la pièce d’identité au moment de la livraison était inappropriée et portait atteinte à la vie privée des personnes, violant ainsi le principe de minimisation des données.

(Présentation et traduction en Anglais : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00413/2021&mtc=today)

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)