Le 17 mars 2022, l’autorité de protection des données (APD) belge a rendu une décision intéressante en matière d’exercice des droits, à l’occasion d’une décision de classement sans suite. En France, et même à travers toute l’Union Européenne, il est acquis depuis l’entrée du vigueur du RGPD que la copie de la carte d’identité ne peut être demandée à la personne concernée dans le seul cas où il existe un « doute raisonnable » sur son identité. Autrement dit, en application de l’article 12.6 du RGPD et du principe de minimisation, il est interdit de traiter des données supplémentaires si les données en possession du responsable de traitement sont suffisantes pour répondre à la demande. Tel est classiquement le cas si une personne qui s’est inscrite à votre site web en utilisant une adresse mail réalise une demande d’exercice de droits en utilisant cette même adresse, ou vous envoie un message via son compte.
Demande systématique de la carte d’identité : la Belgique condamne
L’APD belge confirme la jurisprudence …
Dans un premier temps, l’APD belge confirme la jurisprudence de la CNIL : « Elle souhaite cependant rappeler au défendeur que conformément à l’article 12.6 du RGPD, le responsable du traitement peut uniquement demander des informations supplémentaires à la personne concernée « [lorsqu’il] a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21 » . En conséquence, le fait de réclamer de manière systématique une pièce justifiant l’identité de la personne est jugé disproportionné par l’APD : l’objectif de la demande de pièces complémentaires est en effet d’éviter une perte de la confidentialité de données dans le cas où un droit d’accès serait indûment accordé à une personne, il ne s’agit donc pas de traiter plus de données sur la personne concernée.
Comme le rappelle très justement l’autorité belge, cette position a été confirmée au niveau européen par le CEPD qui, dans ses récentes lignes directrices sur le droit d’accès, indique, en substance, que « requérir une copie d’une pièce d’identité de la personne concernée ne devrait généralement pas être considéré comme une manière appropriée d’authentifier cette personne » . Ainsi, dans une logique de minimisation des données traitées, une alternative moins intrusive doit être préférée le cas échéant.
… et va même un peu plus loin
L’autorité belge a même osé aller plus loin dans sa décision. Selon elle, même lorsque que le responsable de traitement peut effectivement avoir un doute raisonnable quant à l’identité de la personne réalisant auprès de lui une demande d’exercice des droits, et qu’il n’existe pas de moyen moins intrusif que la demande de la carte d’identité afin d’authentifier la personne, il ne semble pas nécessaire de fournir une copie complète de la pièce d’identité (carte d’identité, passeport, permis de conduire, …).
Par exemple, le verso de la carte d’identité contient un certain nombre d’informations (telles que l’adresse postale de la personne, qui n’est par ailleurs pas toujours correcte) qui ne sont pas requises pour authentifier le demandeur. Ainsi, un responsable de traitement ne saurait exiger le verso de la carte d’identité, au risque d’avoir une pratique qui n’est pas conforme au RGPD.
Mieux encore : le responsable de traitement ne peut pas non plus exiger d’avoir une copie complète du recto de la pièce. Autrement dit, le demandeur peut, s’il le souhaite, occulter les mentions qui ne sont pas nécessaires à son identification.
Cette décision est bienvenue, et permettra d’aller un peu plus loin encore dans la minimisation des données. Néanmoins, il semble que l’équilibre pourrait être particulièrement difficile à trouver : le numéro de carte d’identité n’est sans doute pas requis pour authentifier son propriétaire, mais quid des deuxième et troisième prénoms ? Et la photo de la personne ? Par ailleurs, que doit faire un responsable de traitement si une personne masque l’intégralité de la pièce sauf un élément permettant de reconnaître la nature de la pièce, ainsi que son nom et prénom ? En effet, avec quelques compétences en Photoshop, il semble en effet tout à fait envisageable de réussir à modifier ces éléments de manière convaincante.
Ainsi, il est légitime que les responsables de traitement se montrent méfiants lorsqu’il personne leur transmet une carte d’identité sur laquelle des mentions ont été occultées : il n’est pas tout à fait improbable que des pirates s’engouffrent dans cette nouvelle brèche, en envoyant de multiples requêtes à diverses plateformes très populaires afin d’obtenir un maximum d’informations sur leur cible. En France, la CNIL n’est pas encore allée aussi loin, mais cela pourrait être le cas à l’avenir.