Protection des données: comment justifier l’identité du requérant?

Publié le 25 avril 2024 par Me Philippe Ehrenström
Photo de Salvatore Tonnara sur Pexels.com

La personne concernée a contacté Lensway Group AB (responsable du traitement) et formé une demande d’effacement. Le responsable du traitement a répondu que la personne concernée devait lui communiquer son adresse postale afin qu’il puisse lui envoyer les documents relatifs à la demande, qu’elle devait signer et lui renvoyer. Le responsable du traitement a également demandé à la personne concernée d’envoyer une copie de sa pièce d’identité par courrier électronique. La personne concernée a refusé de fournir ces informations et a  déposé une plainte auprès de l’APD finlandaise.

Une autre personne a contacté le même responsable du traitement, également pour une demande d’effacement. Pour répondre à cette demande, le responsable du traitement a demandé à la personne concernée de fournir son numéro de sécurité sociale et une copie de sa carte d’identité. La personne concernée a remis en question la nécessité pour le responsable du traitement de collecter des données personnelles afin de supprimer ses données personnelles et a suggéré qu’il puisse confirmer son identité en envoyant un courrier électronique à l’adresse qu’il avait enregistrée pour lui. Le responsable du traitement a refusé.

Ces deux personnes concernées ont déposé plainte contre le responsable du traitement.

Concernant les documents que la personne concernée était tenue de soumettre, le responsable du traitement a fait valoir que le nom, l’adresse électronique et la signature demandés dans ces documents étaient obligatoires pour confirmer l’identité de la personne concernée et pour garantir qu’elle avait lu les informations et donné son consentement.

Le responsable du traitement a également indiqué qu’il devrait toujours s’assurer que la bonne personne le contacte au sujet des demandes d’exercice d’un droit en vertu du RGPD et que dans le cas présent, les personnes concernées n’ont pas été identifiées de manière correcte et sécurisée lors du contact avec le responsable du traitement. En effet, la relation client pouvait s’établir de deux manières : soit en réalisant un achat, soit en créant un compte.

Dans une décision IMY – 2022-1032 du 19.01.2023 (https://www.imy.se/contentassets/4a448ecb94804740b8e4389d771d1732/beslut-tillsyn-lensway-group-ab.pdf), présentée et commentée sur gdprhub (https://gdprhub.eu/index.php?title=IMY_(Sweden)_-_2022-1032&mtc=today), l’autorité suédoise de protection des données (APD ; Integritetsskyddsmyndigheten – IMY) considère notamment ce qui suit :

L’APD a d’abord regardé si le responsable du traitement avait des motifs raisonnables de douter de l’identité des personnes concernées. En effet, en vertu de l’article 12, paragraphe 6 RGPD, des informations supplémentaires peuvent être demandées si le responsable du traitement a des motifs raisonnables de douter de l’identité du requérant. L’APD a considéré qu’en l’espèce, le responsable du traitement n’avait pas démontré qu’il existait des motifs raisonnables de douter de l’identité des personnes concernées.

L’APD a ensuite examiné si les informations demandées étaient nécessaires pour confirmer l’identité des personnes concernées. Elle a considéré que la fourniture d’une copie d’une pièce d’identité est une mesure intrusive et n’est appropriée que lorsque d’autres méthodes de vérification moins intrusives ne sont pas suffisantes. Dans le cas présent, par exemple, les personnes concernées auraient pu se connecter à leur compte. L’APD a donc estimé que dans le cas présent, le responsable du traitement n’avait pas démontré qu’une copie d’une pièce d’identité ou une signature était absolument nécessaire ou appropriée.

Par conséquent, la DPA a conclu que le responsable du traitement avait violé l’article 12, paragraphe 6, RGPD .

Par ailleurs, concernant l’envoi des documents par courrier, en vertu de l’article 12, paragraphe 2 RGPD , l’utilisation du courrier ordinaire comme seul moyen de contact est acceptée dans des circonstances exceptionnelles. L’APD a ajouté que d’autres moyens de soumettre les données demandées devraient être proposés.

L’APD a adressé un blâme au responsable du traitement pour violation de l’article 12, paragraphe 2, et de l’article 12, paragraphe 6,  RGPD.

Sur le même sujet :

Le responsable de traitement peut-il imposer une manière spécifique de former une requête?
L’identification par téléphone pour accéder aux données
Transmission de données par téléphone : identification du requérant ?
Justification d’identité et minimisation des données

Me Philippe Ehrenström, avocat, LLM, CAS

Avatar de Inconnu

About Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M., Yverdon-les-Bains
Cet article, publié dans Protection des données, RGPD, est tagué , , , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire