swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Droit d’accès et justification d’identité

Livio di Tria, le 18 avril 2022
Un respon­sable du trai­te­ment de données peut-il auto­ma­ti­que­ment deman­der à la personne qui exerce son droit d’accès de lui four­nir une copie de sa carte d’identité ? Les auto­ri­tés de protec­tion des données d’Espagne et de Belgique rappellent les règles appli­cables dans deux récentes décisions.

Décision de l’autorité de protec­tion des données d’Espagne du 25 février 2022 (PS.0003.2021) et déci­sion de l’autorité de protec­tion des données de Belgique du 17 mars 2022 (40.2022).

Les auto­ri­tés de protec­tion des données d’Espagne (APD-ES) et de Belgique (APD-BE) ont chacune dû se déter­mi­ner sur la ques­tion de la solli­ci­ta­tion – systé­ma­tique – par le respon­sable du trai­te­ment de la copie de la carte d’identité des personnes exer­çant leur droit d’accès, et ce à des fins d’identification. Ces deux déci­sions sont pour nous une occa­sion de reve­nir sur cette obli­ga­tion de justi­fier de son iden­tité, dans une pers­pec­tive de droit euro­péen et suisse.

La déci­sion espa­gnole concerne la société euro­péenne de recru­te­ment « Page Group », qui gère un site web sur lequel toute personne peut créer un profil d’utilisateur conte­nant toutes les données person­nelles néces­saires à la recherche d’un emploi (données de contact, histo­rique profes­sion­nel, compé­tences profes­sion­nelles, etc.).

La déci­sion belge concerne pour sa part la société belge « bpost », qui s’occupe en Belgique du trai­te­ment du cour­rier postal et de la gestion du réseau de bureaux de poste.

L’obligation de justi­fier de son identité

L’art. 15 RGPD prévoit que toute personne a le droit d’obtenir du respon­sable du trai­te­ment la confir­ma­tion que des données person­nelles la concer­nant sont ou ne sont pas trai­tées, et lorsqu’elles le sont, l’accès auxdites données ainsi diverses infor­ma­tions telles que les fina­li­tés du trai­te­ment ou les caté­go­ries de données trai­tées. Comme en droit suisse, le droit d’accès au sens du RGPD est consti­tué de trois compo­santes : (1) la confir­ma­tion qu’un trai­te­ment de données existe ou non, (2) l’accès aux données person­nelles qui sont trai­tées, ainsi que (3) l’accès à certaines infor­ma­tions spécifiques.

Si le RGPD n’impose aucune méthode au respon­sable du trai­te­ment pour déter­mi­ner l’identité d’une personne lorsqu’elle exerce l’un de ses droits, l’art. 12 RGPD règle néan­moins certaines moda­li­tés de l’exercice des droits. En parti­cu­lier s’agissant de l’identification d’une personne, l’art. 12 par. 6 RGPD prévoit que le respon­sable du trai­te­ment est en droit de deman­der des infor­ma­tions supplé­men­taires à la personne exer­çant ses droits pour qu’elle confirme son iden­tité lorsque le respon­sable du trai­te­ment a des doutes raison­nables quant à son identité.

Cette possi­bi­lité pour le respon­sable du trai­te­ment de deman­der des infor­ma­tions addi­tion­nelles permet­tant l’identification de la personne concer­née est fondée sur le prin­cipe de sécu­rité (art. 5 par. 1 let. f et art. 32 RGPD). Chaque respon­sable du trai­te­ment doit s’assurer, à chaque étape du trai­te­ment, de garan­tir une sécu­rité appro­priée des données person­nelles, notam­ment la protec­tion contre tout trai­te­ment non auto­risé ou illi­cite. Remettre à la mauvaise personne les données person­nelles d’une autre revien­drait pour le respon­sable du trai­te­ment à violer notam­ment le prin­cipe de sécurité.

Il convient toute­fois de rappe­ler que, sous l’angle du prin­cipe de propor­tion­na­lité, le respon­sable du trai­te­ment ne peut pas trai­ter plus de données person­nelles que ce qui est néces­saire, même pour permettre l’identification de la personne concer­née (art. 5 par. 1 let. c RGPD). L’utilisation des infor­ma­tions requises doit en outre être limi­tée dans le temps confor­mé­ment à la limi­ta­tion de la conser­va­tion (art. 5 par. 1 let. e RGPD). Dans le cas d’une véri­fi­ca­tion de l’identité, les données doivent être conser­vées le temps de trai­ter la requête.

Dans le cas où le respon­sable du trai­te­ment demande la four­ni­ture d’in­for­ma­tions complé­men­taires néces­saires à l’identification de la personne exer­çant l’un de ses droits, le respon­sable du trai­te­ment doit évaluer quelles infor­ma­tions lui permet­tront effec­ti­ve­ment de confir­mer l’identité de la personne. Si la copie d’une carte d’identité est à même de permettre l’identification d’une personne, d’autres mesures doivent être avant tout privi­lé­giées. Par exemple, si le respon­sable du trai­te­ment dispose du numéro de télé­phone de la personne concer­née, celui-ci pour­rait privi­lé­gier l’envoi d’un SMS d’authentification.

Dans le cas où seule la carte d’identité est à même de permettre l’identification de la personne concer­née, le respon­sable du trai­te­ment doit se conten­ter de trai­ter les données néces­saires à l’identification. Le recto de la carte d’identité, duquel la personne concer­née peut caviar­der toutes les données autres que son nom, son prénom et sa date de nais­sance, est suffi­sant à atteindre ce but.

Dans le cadre de la déci­sion belge, l’APD-BE reproche à la société bpost de deman­der auto­ma­ti­que­ment une copie de la carte d’identité. L’autorité n’a toute­fois pas prononcé d’amende administrative.

Dans l’affaire espa­gnole, une amende admi­nis­tra­tive de 300’000 euros a été pronon­cée contre la société Page Group pour la viola­tion de la limi­ta­tion de la conser­va­tion (art. 5 par. 1 let. e RGPD) et pour la viola­tion des moda­li­tés de l’exercice des droits de la personne (art. 12 RGPD). Ce montant, parti­cu­liè­re­ment sévère, a été prononcé par l’APD-ES car la société, en plus d’une copie de la carte d’identité, deman­dait égale­ment à la personne des copies de sa carte d’assurance et de ses factures d’énergie ou d’eau pour véri­fier l’exactitude de l’adresse de la personne concernée.

Quelles limites en droit suisse ? 

En droit suisse, l’obligation de justi­fier de son iden­tité n’est prévue ni par la LPD ni par la nLPD. Cette obli­ga­tion est ancrée au sein de l’OLPD. L’art. 1 al. 1 OLPD pres­crit que toute personne qui demande au respon­sable du trai­te­ment si des données la concer­nant sont trai­tées doit justi­fier de son iden­tité. L’essence de cette dispo­si­tion a été reprise au sein du projet d’ordonnance rela­tive à la loi sur la protec­tion des données (P‑OLPD). La dispo­si­tion a toute­fois été complé­tée, l’art. 20 al. 4 P‑OLPD dispo­sant que :

Le respon­sable du trai­te­ment prend les mesures adéquates pour assu­rer l’identification de la personne concer­née et pour proté­ger les données de la personne concer­née de tout accès de tiers non auto­risé lors de la commu­ni­ca­tion des rensei­gne­ments. La personne concer­née est tenue de colla­bo­rer à son identification.

Il est vrai­sem­blable que la teneur de l’art. 20 al. 4 P‑OLPD soit reprise au sein de la nouvelle OLPD, actuel­le­ment en cours d’élaboration. Malgré une pratique établie, il ne faut déduire ni de l’art. 1 al. 1 OLPD ni de l’art. 20 al. 4 P‑OLPD que le respon­sable du trai­te­ment est en droit de deman­der auto­ma­ti­que­ment une copie de la carte d’identité de la personne exer­çant l’un de ses droits, et en parti­cu­lier son droit d’accéder aux données person­nelles. On ne peut pas non plus en déduire que la personne concer­née doit auto­ma­ti­que­ment annexer la copie de sa carte d’identité à sa demande. Nous souli­gnons qu’il est d’ailleurs regret­table que la lettre-type de demande de rensei­gne­ments simple établie par le PFPDT indique le contraire.

Selon nous, les mêmes prin­cipes que ceux susmen­tion­nés doivent préva­loir en droit suisse. Le respon­sable du trai­te­ment ne peut exiger la produc­tion de la carte d’identité de la personne exer­çant l’un de ses droits que dans le cas d’un doute raison­nable, ou lorsque la situa­tion l’exige (p. ex. pour la trans­mis­sion de données sensibles). En cas de doute, le respon­sable du trai­te­ment doit dans un premier temps évaluer si d’autres infor­ma­tions permettent l’identification de la personne et privi­lé­gier la mise en place de mesures apte à permettre l’identification de la personne (p. ex. un SMS d’authentification, une procé­dure élec­tro­nique par l’accès à son compte utili­sa­teur, etc.).



Proposition de citation : Livio di Tria, Droit d’accès et justification d’identité, 18 avril 2022 in www.swissprivacy.law/136


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Droit d'accès : quelles limites pour l'ancien employé ?
  • Le droit d’accès à l’origine de ses données personnelles
  • Destinataires ou catégories de destinataires ?
  • Le droit d’accès à un dossier de police : méli-mélo romand
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law