La question de l’authentification des personnes présentant une demande d’accès, d’effacement, de rectification, etc. est au cœur des débats.
D’un côté, les autorités de protection des données et partisans d’une lecture stricte du RGPD arguent du principe de minimisation des données pour faire juger disproportionnée toute demande de justificatif d’identité faite par le responsable de traitement. L’autorité de protection des données danoise « semble » – mon danois étant un peu rouillé, je préfère être prudent – avoir ainsi conclu, le 25 octobre 2019, qu’un justificatif ne peut être demandé qu’en cas de doute raisonnable sur l’identité de la personne.
De l’autre côté, les responsables de traitement, principalement, soucieux d’assurer la confidentialité des données et, au travers de ce principe, leur sécurité juridique, pointent du doigt la difficulté d’appréciation du caractère raisonnable du doute.
In fine, il s’agit donc de déterminer comment concilier deux principes essentiels posés par l’article 5 du RGPD. Conciliation qui, en plus, doit être opérée par le responsable de traitement, et ce alors que toute erreur étant passible d’une sanction de 20 000 0000,00 euros.
La situation est donc particulièrement délicate.
Le risque ainsi induit croît, depuis quelques semaines, avec l’apparition de services proposant aux internautes de recenser les sites traitant des données les concernant et, ensuite, de formuler en leur nom une « demande RGPD ».
Là encore, d’aucuns pourraient voir dans cette industrialisation des demandes RGPD une bonne chose, alors que d’autres s’interrogeront quant à la sécurité du procédé.
En effet, dans les cas que j’ai rencontrés pour l’heure, les demandes sont alors transmises au responsable de traitement par e-mail et, sans aucune pièce justificative aussi bien de l’identité du demandeur que de l’existence, la portée et la validité du mandat concédé.
Sur le premier point, s’il est évident que l’immense majorité des échanges électroniques Responsable de traitement / Personne concernée passe par l’e-mail, force est de rappeler que ce protocole de communication est l’équivalent numérique de la carte postale. Tous les acteurs de la chaîne peuvent en lire le contenu. La CNIL, dans sa base de connaissance sur les analyses d’impact sur la vie privée, rappelle ainsi à plusieurs reprises la nécessité de sécuriser les échanges par e-mail. On s’interrogera alors quant à la confiance à accorder à un « intermédiaire » qui entend faire valoir certains droits RGPD de ses mandants… en en bafouant vraisemblablement d’autres par la même occasion !
Sur le second point, une analogie avec la jurisprudence relative à la demande de communication d’un dossier médical par le biais d’un mandataire est intéressante. En la matière, le mandataire est tenu de fournir à l’établissement de santé un mandat exprès et un justificatif d’identité (CE, 26 sept. 2005, n° 270234) et l’établissement se doit de rappeler au patient « de rappeler (…) le caractère personnel des informations qui seront communiquées à la personne mandatée ». Rappelons enfin que le mandataire « ne peut avoir de conflit d’intérêts et défendre d’autres intérêts que ceux du mandant (la personne concernée par les informations de santé) ».
Vous voyez certainement où je veux en venir. A réception d’une demande RGPD présentée par un tiers, commencez par vérifier la recevabilité du mandat et l’identité du mandataire. Dans un second temps, interrogez le mandataire en question sur la façon dont il s’est lui-même assuré de l’identité de son mandant. Enfin seulement, en fonction de l’étendue des pouvoirs du mandataire, examinez la recevabilité de la demande. A défaut de l’un ou l’autre de ces éléments, n’hésitez pas à adresser une demande de complément d’information, voire – en cas de « doute raisonnable » – à rejeter purement et simplement la demande.