Le Règlement Général sur la Protection des Données (RGPD) définit les droits reconnus aux personnes concernées ainsi que les modalités d’exercice de ces derniers. A l’occasion de la mise à jour des textes nationaux relatifs à la protection des données, l’exigence de la fourniture par le demandeur de la copie de son titre d’identité a été supprimée par le pouvoir réglementaire.
Mathias Avocats revient sur cette évolution, non sans conséquences pour les responsables de traitements.
Rappel du cadre juridique ancien applicable aux demandes de titre d’identité dans la gestion des droits
Avant l’entrée en application du RGPD et des modifications législatives et réglementaires associées, l’article 92 du décret d’application de la loi n°78-17 modifiée contenait une obligation à la charge des personnes concernées exerçant une demande d’exercice de droit. En effet, ce texte prévoyait expressément que les demandes écrites d’exercice de droit devaient être « (…) signées et accompagnées de la photocopie d’un titre d’identité portant la signature du titulaire (…) ».
Dans ce contexte, toute personne qui souhaitait exercer l’un des droits reconnus par la loi dite « Informatique et Libertés » devait justifier de son identité en fournissant la photocopie d’un titre d’identité.
Quel est le cadre juridique actuel applicable aux demandes de titre d’identité dans la gestion des droits ?
Les modalités d’exercice des droits et la possibilité de demander un titre d’identité à la personne concernée exerçant les droits qui lui sont reconnus par la réglementation sont encadrées par l’article 12 du RGPD et les articles 92 et suivants du décret d’application de la loi n°78-17 du 6 janvier 1978 modifiée.
L’article 12§6 du RGPD prévoit que « 6. (…), lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée. ».
A la lecture de ce texte, la sollicitation par le responsable du traitement d’informations supplémentaires relatives à l’identité du demandeur suppose l’existence de « doutes raisonnables quant à l’identité de la personne physique » qui formule la demande. En outre, les éléments doivent être utilisés pour confirmer l’identité de la personne, non pour l’établir.
L’article 92 du décret n°2005-1309 d’application de la loi n°78-17 du 6 janvier 1978 modifié dans sa rédaction issue du décret n°2018-687 du 1er août 2018, devenu l’article 77 du décret n°2019-536 du 29 mai 2019, prévoit en son premier alinéa que « Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus aux articles 48, 49, 50, 51, 53, 54, 55 et 56 de la loi du 6 janvier 1978 susvisée, elle justifie de son identité par tout moyen. ».
Il prévoit en son deuxième alinéa que « Lorsque le responsable du traitement ou le sous-traitant a des doutes raisonnables quant à l’identité de cette personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l’exige, la photocopie d’un titre d’identité portant la signature du titulaire. ».
Soulignons toutefois que ni le RGPD, ni le décret d’application précité ne définit la notion de « doutes raisonnables sur l’identité ». Il semble possible d’affirmer qu’un risque d’homonymie ou d’usurpation d’identité – par exemple à la suite d’un piratage de compte en ligne – pourraient constituer des doutes raisonnables.
Au regard de la réglementation française et européenne rappelée ci-dessus, les conclusions suivantes semblent se dégager :
- La personne concernée n’a pas l’obligation de fournir un titre pour justifier de son identité. Elle est libre des moyens par lesquels elle justifie de son identité.
- Le responsable du traitement ne peut pas subordonner l’exercice de leurs droits par les personnes concernées à la communication d’un titre d’identité.
- Le responsable du traitement doit être en mesure de démontrer un doute raisonnable quant à l’identité de la personne concernée pour solliciter des éléments complémentaires, dont un titre d’identité.
La demande systématique d’un titre d’identité, sans qu’il y ait un doute relatif à l’identité du demandeur, pourrait donc être considérée comme excessive par la Commission nationale de l’informatique et des libertés (Cnil) dès lors que l’identité peut être établie au moyen d’un ou plusieurs éléments (numéro client, numéro de matricule, numéro de carte de fidélité, adresse électronique, adresse postale, etc.).
Il pourrait en être de même si le client, après s’être authentifié sur son espace personnel en ligne ou compte en ligne, exerce ses droits au moyen d’une fonctionnalité prévue à cet effet et mise à sa disposition par le responsable du traitement.
Quelle est la position de la CNIL en la matière ?
La Cnil a eu l’occasion de se prononcer sur les modalités d’exercice des droits, parmi lesquelles la fourniture d’un titre d’identité, à l’occasion des débats sur le projet de décret d’application de la loi n°78-17 modifiée.
En effet, dans l’avis qu’elle a rendu en juin 2018, la Cnil soulignait que « (…) la sollicitation systématique d’une pièce d’identité peut constituer un frein à l’exercice des droits des personnes, notamment dans le cadre des traitements liés aux activités en ligne, dès lors qu’elle aboutit à requérir des personnes concernées un niveau d’authentification plus forte en cas d’exercice de leurs droits que dans le cadre de leur utilisation du service. En outre, une telle exigence systématique pourrait conduire le responsable du traitement à traiter des données excessives au regard des finalités poursuivies, en méconnaissance du principe de minimisation des données. (…) ».
L’autorité de contrôle française s’est donc prononcée contre la fourniture systématique d’un justificatif d’identité, tant en application de l’exigence de facilitation de l’exercice de droit que du principe de minimisation.
Quelles sont les solutions envisageables ?
Dans la mesure où un titre d’identité ne peut être systématiquement demandé par un responsable du traitement, il convient d’engager une réflexion sur le niveau de vérification à effectuer pour s’assurer de l’identité des demandeurs.
Dans ce contexte, il conviendrait d’initier une réflexion sur les données à caractère personnel nécessaires à l’identification des demandeurs. L’exploitation des espaces en ligne – qui se développent avec la dématérialisation et le e-commerce – devrait également être envisagée.