Décision de l’autorité de protec­tion des données d’Espagne du 25 février 2022 (PS.0003.2021) et déci­sion de l’autorité de protec­tion des données de Belgique du 17 mars 2022 (40.2022).

Les auto­ri­tés de protec­tion des données d’Espagne (APD-ES) et de Belgique (APD-BE) ont chacune dû se déter­mi­ner sur la ques­tion de la solli­ci­ta­tion – systé­ma­tique – par le respon­sable du trai­te­ment de la copie de la carte d’identité des personnes exer­çant leur droit d’accès, et ce à des fins d’identification. Ces deux déci­sions sont pour nous une occa­sion de reve­nir sur cette obli­ga­tion de justi­fier de son iden­tité, dans une pers­pec­tive de droit euro­péen et suisse.

La déci­sion espa­gnole concerne la société euro­péenne de recru­te­ment « Page Group », qui gère un site web sur lequel toute personne peut créer un profil d’utilisateur conte­nant toutes les données person­nelles néces­saires à la recherche d’un emploi (données de contact, histo­rique profes­sion­nel, compé­tences profes­sion­nelles, etc.).

La déci­sion belge concerne pour sa part la société belge « bpost », qui s’occupe en Belgique du trai­te­ment du cour­rier postal et de la gestion du réseau de bureaux de poste.

L’obligation de justi­fier de son identité

L’art. 15 RGPD prévoit que toute personne a le droit d’obtenir du respon­sable du trai­te­ment la confir­ma­tion que des données person­nelles la concer­nant sont ou ne sont pas trai­tées, et lorsqu’elles le sont, l’accès auxdites données ainsi diverses infor­ma­tions telles que les fina­li­tés du trai­te­ment ou les caté­go­ries de données trai­tées. Comme en droit suisse, le droit d’accès au sens du RGPD est consti­tué de trois compo­santes : (1) la confir­ma­tion qu’un trai­te­ment de données existe ou non, (2) l’accès aux données person­nelles qui sont trai­tées, ainsi que (3) l’accès à certaines infor­ma­tions spécifiques.

Si le RGPD n’impose aucune méthode au respon­sable du trai­te­ment pour déter­mi­ner l’identité d’une personne lorsqu’elle exerce l’un de ses droits, l’art. 12 RGPD règle néan­moins certaines moda­li­tés de l’exercice des droits. En parti­cu­lier s’agissant de l’identification d’une personne, l’art. 12 par. 6 RGPD prévoit que le respon­sable du trai­te­ment est en droit de deman­der des infor­ma­tions supplé­men­taires à la personne exer­çant ses droits pour qu’elle confirme son iden­tité lorsque le respon­sable du trai­te­ment a des doutes raison­nables quant à son identité.

Cette possi­bi­lité pour le respon­sable du trai­te­ment de deman­der des infor­ma­tions addi­tion­nelles permet­tant l’identification de la personne concer­née est fondée sur le prin­cipe de sécu­rité (art. 5 par. 1 let. f et art. 32 RGPD). Chaque respon­sable du trai­te­ment doit s’assurer, à chaque étape du trai­te­ment, de garan­tir une sécu­rité appro­priée des données person­nelles, notam­ment la protec­tion contre tout trai­te­ment non auto­risé ou illi­cite. Remettre à la mauvaise personne les données person­nelles d’une autre revien­drait pour le respon­sable du trai­te­ment à violer notam­ment le prin­cipe de sécurité.

Il convient toute­fois de rappe­ler que, sous l’angle du prin­cipe de propor­tion­na­lité, le respon­sable du trai­te­ment ne peut pas trai­ter plus de données person­nelles que ce qui est néces­saire, même pour permettre l’identification de la personne concer­née (art. 5 par. 1 let. c RGPD). L’utilisation des infor­ma­tions requises doit en outre être limi­tée dans le temps confor­mé­ment à la limi­ta­tion de la conser­va­tion (art. 5 par. 1 let. e RGPD). Dans le cas d’une véri­fi­ca­tion de l’identité, les données doivent être conser­vées le temps de trai­ter la requête.

Dans le cas où le respon­sable du trai­te­ment demande la four­ni­ture d’in­for­ma­tions complé­men­taires néces­saires à l’identification de la personne exer­çant l’un de ses droits, le respon­sable du trai­te­ment doit évaluer quelles infor­ma­tions lui permet­tront effec­ti­ve­ment de confir­mer l’identité de la personne. Si la copie d’une carte d’identité est à même de permettre l’identification d’une personne, d’autres mesures doivent être avant tout privi­lé­giées. Par exemple, si le respon­sable du trai­te­ment dispose du numéro de télé­phone de la personne concer­née, celui-ci pour­rait privi­lé­gier l’envoi d’un SMS d’authentification.

Dans le cas où seule la carte d’identité est à même de permettre l’identification de la personne concer­née, le respon­sable du trai­te­ment doit se conten­ter de trai­ter les données néces­saires à l’identification. Le recto de la carte d’identité, duquel la personne concer­née peut caviar­der toutes les données autres que son nom, son prénom et sa date de nais­sance, est suffi­sant à atteindre ce but.

Dans le cadre de la déci­sion belge, l’APD-BE reproche à la société bpost de deman­der auto­ma­ti­que­ment une copie de la carte d’identité. L’autorité n’a toute­fois pas prononcé d’amende administrative.

Dans l’affaire espa­gnole, une amende admi­nis­tra­tive de 300’000 euros a été pronon­cée contre la société Page Group pour la viola­tion de la limi­ta­tion de la conser­va­tion (art. 5 par. 1 let. e RGPD) et pour la viola­tion des moda­li­tés de l’exercice des droits de la personne (art. 12 RGPD). Ce montant, parti­cu­liè­re­ment sévère, a été prononcé par l’APD-ES car la société, en plus d’une copie de la carte d’identité, deman­dait égale­ment à la personne des copies de sa carte d’assurance et de ses factures d’énergie ou d’eau pour véri­fier l’exactitude de l’adresse de la personne concernée.

Quelles limites en droit suisse ? 

En droit suisse, l’obligation de justi­fier de son iden­tité n’est prévue ni par la LPD ni par la nLPD. Cette obli­ga­tion est ancrée au sein de l’OLPD. L’art. 1 al. 1 OLPD pres­crit que toute personne qui demande au respon­sable du trai­te­ment si des données la concer­nant sont trai­tées doit justi­fier de son iden­tité. L’essence de cette dispo­si­tion a été reprise au sein du projet d’ordonnance rela­tive à la loi sur la protec­tion des données (P‑OLPD). La dispo­si­tion a toute­fois été complé­tée, l’art. 20 al. 4 P‑OLPD dispo­sant que :

Le respon­sable du trai­te­ment prend les mesures adéquates pour assu­rer l’identification de la personne concer­née et pour proté­ger les données de la personne concer­née de tout accès de tiers non auto­risé lors de la commu­ni­ca­tion des rensei­gne­ments. La personne concer­née est tenue de colla­bo­rer à son identification.

Il est vrai­sem­blable que la teneur de l’art. 20 al. 4 P‑OLPD soit reprise au sein de la nouvelle OLPD, actuel­le­ment en cours d’élaboration. Malgré une pratique établie, il ne faut déduire ni de l’art. 1 al. 1 OLPD ni de l’art. 20 al. 4 P‑OLPD que le respon­sable du trai­te­ment est en droit de deman­der auto­ma­ti­que­ment une copie de la carte d’identité de la personne exer­çant l’un de ses droits, et en parti­cu­lier son droit d’accéder aux données person­nelles. On ne peut pas non plus en déduire que la personne concer­née doit auto­ma­ti­que­ment annexer la copie de sa carte d’identité à sa demande. Nous souli­gnons qu’il est d’ailleurs regret­table que la lettre-type de demande de rensei­gne­ments simple établie par le PFPDT indique le contraire.

Selon nous, les mêmes prin­cipes que ceux susmen­tion­nés doivent préva­loir en droit suisse. Le respon­sable du trai­te­ment ne peut exiger la produc­tion de la carte d’identité de la personne exer­çant l’un de ses droits que dans le cas d’un doute raison­nable, ou lorsque la situa­tion l’exige (p. ex. pour la trans­mis­sion de données sensibles). En cas de doute, le respon­sable du trai­te­ment doit dans un premier temps évaluer si d’autres infor­ma­tions permettent l’identification de la personne et privi­lé­gier la mise en place de mesures apte à permettre l’identification de la personne (p. ex. un SMS d’authentification, une procé­dure élec­tro­nique par l’accès à son compte utili­sa­teur, etc.).