Alors que la CNIL a annoncé que le droit d’accès constituera une priorité pour ses contrôles, en 2024, faisons le point sur l’authentification de la personne concernée. Comment votre organisation s’en assure-t-elle ?
Intégrité et confidentialité justifient que le responsable s’assure de ce que les droits RGPD sont bel et bien exercés par la personne concernée (AEPD, n° PS/00456/2022). Ce que rappelle d’ailleurs son article 12§2.
Pour autant, à partir de 2020, les APD – CNIL en tête, pour les sanctions, et l’autorité danoise avec une doctrine sur le sujet en 2019 – ont prohibé la demande systématique d’un justificatif d’identité.
Désormais, elle doit être limitée aux cas où existent un doute raisonnable, documenté (BVwG, 21 juin 2021, W274 2237071-1). Alors, le responsable doit :
- Se limiter au recto (AEPD, n° PS/00499/2022)
- Assurer la sécurité du document (Recommandation Mandat, §17)
- Et l’effacer dès la fin du traitement (Délibération SAN-2020-008)
Le doute a ainsi été retenu lorsque la demande :
- aurait été signée par un « bénéficiaire, agent autorisé et représentant » (RvS Pays-Bas, 4 août 2021, n° 202006082-1-A3)
- transite via un formulaire de contact (Courrier de la CNIL du 26 juillet 2022)
Bon, le sujet peut toutefois se corser. L’Italie a ainsi sanctionné un opérateur de téléphonie pour s’être contenté d’une copie papier du justificatif (GPDP, 14 septembre 2023, n° 9936215).
Ah. Alors, comment gérer ? En procédant par étape:
1) Vérifier si un texte impose la production d’un justificatif
2) Dans la négative, établir un doute raisonnable
3) Le cas échéant, rechercher les moyens les moins intrusifs pour vérifier l’identité de la personne
4) A défaut, ne demander que le recto du document
Pour conclure, pensez à mettre à jour votre politique de gestion des demandes avec ces étapes, évidemment!
Avez-vous eu à gérer de telles situations? Comment mesurez-vous le caractère raisonnable du doute? Partagez-les en commentaires.
Vous n’avez pas de politique de gestion des demandes? Vous recevez des demandes délicates? N’hésitez pas à me contacter.