Depuis l’entrée en vigueur du Règlement général relatif à la protection des données (RGPD), qui n’a pas reçu une flopée de mails provenant de sites internet plus ou moins oubliés indiquant que vos données personnelles font l’objet d’un traitement ? Ce nouveau Règlement oblige tous les responsables de traitement à délivrer une information claire et intelligible sur ce qu’ils font des données personnelles.
Surtout, les individus ont tous des droits sur ces données (on parle de Data Subjects Rights). Nos lecteurs le savent, ces droits sont au nombre de six (tous détaillés ici) : il y a un droit d’accès, un droit de rectification, un droit à l’oubli, un droit à la limitation du traitement, un droit à la portabilité des données, et un droit d’opposition au traitement. Cependant, l’exercice de ces droits n’est pas automatique et peut être soumis à une étape préalable importante : la preuve de son identité. Cette étape pourrait être un prérequis quasi-systématique dans bien des cas. Explications.
La preuve d’identité pour l’exercice des droits RGPD : de l’exception à la généralisation ?
Tous les individus doivent pouvoir solliciter l’exercice de leurs droits conférés par le RGPD auprès des responsables de traitement. L’article 12 du Règlement précise les règles de transparence des informations et des communications qui doivent être suivies pour permettre à chacun d’obtenir les informations qu’il peut légitimement obtenir.
Mais cet article pose aussi les modalités d’exercice des droits des individus. Il précise, à son point 6, que le responsable du traitement, s’il a des doutes raisonnables sur l’identité de la personne physique présentant la demande, peut demander à l’individu de lui fournir des informations supplémentaires pour confirmer son identité afin de donner suite à sa demande d’exercice de ces droits.
En d’autres termes, une copie de la carte d’identité ou de tout autre document officiel peut être demandée par le responsable du traitement avant de poursuivre la procédure d’exercice des droits de l’individu sur ses données personnelles. On notera que le texte précise bien que “des doutes raisonnables sur l’identité de la personne physique présentant la demande” doivent exister. Tout repose sur cette notion de doute raisonnable.
Mais, dès lors que l’individu se manifeste par un email, le responsable du traitement n’est-il pas tenu, dans le cadre de la protection des données personnelles, d’exiger une preuve d’identité ? En effet, le piratage d’adresse mail est un risque véritable et il n’est pas impossible que cela serve à obtenir frauduleusement des données personnelles via l’exercice des droits conférés par le RGPD.
Le responsable du traitement est face à un dilemme : s’il ne demande pas de preuve d’identité de l’individu et qu’il accède à la demande de fourniture des données personnelles, sa légèreté peut être considérée comme une protection insuffisante des données traitées. A l’inverse, s’il demande une preuve d’identité, il doit pouvoir démontrer qu’un doute raisonnable existe, or la simple demande par email pourrait à elle seule caractériser un doute raisonnable.
Il ne faut pas non plus omettre le type de données personnelles demandées par l’individu. Le caractère plus ou moins sensible des données doit être pris en compte pour déterminer les doutes raisonnables à émettre sur l’identité des personnes qui réclament l’application de leurs droits sur leurs données.
En pratique, il est très probable que la demande d’une preuve d’identité devienne généralisée lorsqu’un individu souhaite exercer un droit sur ses données personnelles. Les responsables de traitement ne peuvent pas prendre le risque de transmettre des données personnelles à une adresse mail qui aurait été piratée sans avoir pris soin de vérifier que la personne physique est bien celle qu’elle prétend être.
