Transmission de données par téléphone : identification du requérant ?

Photo de Isaac Mitchell sur Pexels.com

Le responsable du traitement est la Nederlandse Sociale Verzekeringsbank (SVB), une institution gouvernementale néerlandaise responsable de différentes formes de sécurité sociale et de prestations. Les citoyens peuvent s’adresser au responsable du traitement par l’intermédiaire d’un service d’assistance téléphonique pour poser des questions sur les assurances de sécurité sociale. Selon la SVB, ses 1 500 employés reçoivent environ 20 000 appels téléphoniques par semaine à ce sujet.

Le 1er novembre 2019, l’autorité néerlandaise de protection des données (APD ; Autoriteit Persoonsgegevens) a reçu une plainte d’une personne concernée, laquelle affirmait qu’un membre de sa famille, lors d’un appel téléphonique, avait pu recevoir du responsable du traitement des données à caractère personnel la concernant, sans son consentement.

Le service d’enquête de l’APD a constaté que de nombreuses catégories de données à caractère personnel étaient enregistrées dans les systèmes du SVB, telles que le nom, l’adresse, l’adresse postale, la nationalité et l’état civil, mais aussi des données pénales, qui indiquaient quelles personnes avaient été condamnées pour un délit ou étaient soupçonnées de fraude. Le service d’enquête a constaté que tous les 1 500 employés du SVB avaient accès aux dossiers et aux données à caractère personnel des personnes concernées.

À la demande de l’APD, qui souhaitait savoir comment la politique actuelle concernant les questions de vérification d’identité avait vu le jour, la SVB a fourni à l’APD des documents datant de 2006 et 2007 montrant qu’il reconnaissait le risque qu’un tiers puisse demander les données à caractère personnel d’une personne concernée. Par la suite, le responsable du traitement a décidé d’introduire des questions de vérification afin de confirmer l’identité de l’appelant. Il ressort d’un autre document que des préoccupations ont été exprimées en 2007 au sujet de ces questions de vérification. Le service d’enquête a constaté qu’aucun changement de politique n’avait été introduit depuis 2006 et qu’aucune autre évaluation n’avait été effectuée.

Le service d’enquête de l’APD a également constaté que la SVB  avait mis en place deux politiques internes différentes à l’intention de ses employés afin d’identifier les personnes concernées par téléphone. Toutefois, ces politiques comportaient des différences quant à la manière dont les personnes concernées devaient être identifiées, ce qui a semé la confusion parmi les employés. En bref, il n’était pas clair quelles questions – et combien de questions – devaient être posées au téléphone pour vérifier l’identité de la personne concernée. Il n’était pas non plus clair quelles questions supplémentaires devaient être posées en cas de doute sur l’identité de la personne concernée.

Le service d’enquête de l’APD a conclu que le responsable du traitement n’avait aucun moyen de garantir que les politiques de vérification de l’identité étaient suffisantes pour vérifier effectivement l’identité de la personne concernée. Il a également constaté que les employés n’agissaient pas toujours conformément aux politiques et que la vérification de l’identité était souvent laissée à l’appréciation et à l’interprétation de l’employé en question.

L’APD, dans une décision du 19 janvier 2023 (https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_sociale_verzekeringsbank.pdf) a examiné la question sous l’angle du « niveau de sécurité adapté au risque » au sens de l’art. 32 par. 1 et 2 RGPD, lesquels prévoient :

1.   Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, (…).

2.   Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

L’APD a estimé que le responsable du traitement n’avait pas procédé à une évaluation correcte des risques liés à ses opérations de traitement, compte tenu du fait que les documents de 2006 et 2007 dataient déjà de 14 ans au moment où l’enquête a été menée à son terme. En outre, le responsable du traitement n’a pas réévalué les risques du traitement une seule fois au cours de ces 14 années et n’a pas correctement identifié les risques en jeu. Par exemple, l’APD note qu’aucune attention n’a été accordée au fait que les 1 500 employés avaient tous accès à l’ensemble des données à caractère personnel et qu’un tel accès à grande échelle constituait déjà en lui-même un risque.

L’APD a déterminé que le risque constitué par la fourniture des données à caractère personnel par téléphone était élevé, compte tenu de l’ampleur du traitement, de la nature des données à caractère personnel en question, du nombre d’employés pouvant accéder aux données et de la fréquence à laquelle les personnes concernées contacteraient le responsable du traitement.

L’APD a également conclu que les mesures prises par le responsable du traitement étaient insuffisantes pour atténuer ce risque élevé. Deux aspects ont été jugés insuffisants : la vérification de l’identité par téléphone et le manque de sensibilisation aux responsabilités en matière de sécurité au sein de l’organisation du responsable du traitement.

En conclusion, l’APD a considéré que les mesures de sécurité prises par SVB n’étaient pas appropriées au regard des risques de sécurité, et ce en violation de l’art. 32 par. 1 et 2 RGPD.

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

A propos Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M. (Tax), Genève et Yverdon.
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s