Voici une décision à double tranchant de la CNIL espagnole.
Dans les faits, un escroc met en place une fausse annonce d’emploi, récoltant ainsi photo d’identité et copie de justificatif d’identité. Ces éléments en main, il usurpe l’identité de sa victime et obtient un prêt.
Le prêteur se voit alors accuser d’un manquement à l’obligation de sécurité (des mesures antifraude auraient dû être mises en place) et, bien plus choquant, de défaut de base juridique. Concrètement, l’autorité de protection des données a considéré que le consentement (donné par l’usurpateur) n’était pas valable, au regard de la victime.
Sous cet angle, rien de plus logique. L’usurpateur n’engage pas sa victime. Même si en pratique, celle-ci a généralement toutes les peines du monde à obtenir gain de cause, au civil comme au pénal.
Mais se placer du côté du responsable de traitement éclaire la solution sous un autre jour, semble-t-il.
Admettons qu’il ait mis en œuvre les mesures adaptées.
Invalider le consentement de l’usurpateur revient à priver le traitement de données de base légale, avec effet rétroactif. Tout le traitement est alors vicié, sans faute du responsable de traitement, qui se retrouve pourtant exposé à une sanction administrative majeure.
Et ce alors qu’il eut suffi d’acter l’inexactitude des données et, consécutivement, d’imposer au responsable de traitement de les effacer ou les rectifier (GPDP, 31 août 2023, n° 9938463 ; APD belge, 5 février 2024, Federale Overheidsdienst Financiën, n° 25/2024). La solution a le mérite de ne pas remettre en cause le traitement pour l’antériorité, dès lors que le responsable est de bonne foi. En effet, un manquement au principe d’exactitude ne peut être retenu qu’à compte de la connaissance de la fausseté fausseté des données (IDPC, 22 mai 2023, n° CDP_COMP_583_2022).
Comment se protéger?
Pour les personnes concernées, en étant sceptiques face aux demandes alléchantes et surtout, en utilisant FiligraneFacile
Pour les responsables de traitement, en évaluant le risque d’usurpation d’identité. Il n’est évidemment pas le même pour une banque ou un opérateur de téléphonie que pour s’inscrire à une bibliothèque municipale. Et en fonction du risque, implémenter des mesures de contrôle adaptées.
Avez-vous eu à gérer de telles situations? Des RETEX, des craintes ou des axes de préparation différents? Partagez-les en commentaires.
Des demandes délicates à gérer ? Des doutes sur le caractère suffisant de vos procédures d’identification des personnes concernées ? N’hésitez pas à me contacter.