L’autorité espagnole de protection des données (l’AEPD[1]) a sanctionné le groupe MICHAEL PAGE, le 25 février 2022, car la filiale du groupe en charge de la gestion des demandes de droits des utilisateurs ne respectait pas le RGPD[2].

En mars 2018, une personne de nationalité hollandaise a créé un compte sur le site Web de MICHAEL PAGE et soumis son CV en vue d’obtenir un emploi. En septembre de la même année, c’est-à-dire postérieur à l’entrée en application du RGPD, cette même personne a envoyé un e-mail à MICHAEL PAGE, à partir de l’adresse e-mail associée à son compte, pour demander à recevoir une copie de ses données à caractère personnel. La société a répondu qu’il était nécessaire de confirmer son identité avant de traiter sa demande, justifiant par la suite que ce processus n’est pas utilisé pour « entraver l’exercice des droits » mais pour « s’assurer que les données personnelles des candidats ne sont pas divulguées à des tiers, qui pourraient avoir obtenu les identifiants d’accès des personnes enregistrées dans ses systèmes afin de se faire passer pour elles et de faire la demande en leur nom, par le biais d’attaques de phishing ou d’ingénierie sociale ».

La Commission espagnole de protection des données a rappelé au groupe MICHAEL PAGE qu’il devait « faciliter l’exercice des droits »[3] et qu’il était possible de demander des « informations supplémentaires » aux personnes pour confirmer leur identité uniquement en cas de « doutes raisonnables »[4]. En l’espèce, la Commission a considéré que le groupe MICHAEL PAGE ne pouvait avoir de doutes sur l’identité de la personne, car la demande émanait de l’adresse e-mail utilisée lors de son inscription.

Par ailleurs, l’AEPD a précisé que si des doutes existaient, les éventuelles vérifications devraient être effectuées « en utilisant toujours les moyens les moins attentatoires à la vie privée » des personnes, par exemple en vérifiant des informations déjà disponibles ou en utilisant un facteur d’authentification utilisant un différent canal de communication.

Enfin, la Commission espagnole estime, tout comme la Commission portuguaise et la Commission berlinoise qui ont participé à l’élaboration de cette décision, que le fait de collecter un justificatif d’identité sans raison valable était contraire au principe de minimisation des données[5] du RGPD.

Une amende de 300 000 euros a été prononcée à l’encontre du groupe MICHAEL PAGE.

Lire :

Notes et références

  1. AEPD : Agencia Española de Protección de Datos (aepd.es).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. Le RGPD demande aux responsables de traitement de « facilite[r] l’exercice des droits » des personnes (source : RGPD, article 12-2).
  4. Le RGPD permet à un responsable de traitement de demander « des informations supplémentaires » s’il a des « doutes raisonnables » sur l’identité de la personne (source : RGPD, article 12-6). Voir « Peut-on demander un justificatif d’identité en réponse à une demande d’exercice de droits RGPD ? ».
  5. Le RGPD a un principe de « minimisation des données » qui indique que les données à caractère personnel doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » (source : RGPD, article 5-1-c). Voir « Quelles données à caractère personnel peut-on collecter ? ».