Oui, le RGPD[1] autorise qu’un justificatif d’identité soit demandé pour s’assurer que la personne est bien celle qu’elle prétend être, mais seulement si l’entreprise a des doutes sur l’identité de la personne :

« Lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande visée aux articles 15 à 21, il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée. »

— RGPD, article 12-6, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Le justificatif d’identité doit cependant être utilisé par l’entreprise uniquement pour prouver l’identité de la personne, et doit être supprimé après l’identité de la personne confirmée :

« [La CNIL] considère que, dès qu’il a été fait droit à la demande, la société n’a plus besoin de conserver une copie de la pièce d’identité du requérant. La fourniture de ce document a en effet pour seul but de justifier de l’identité de la personne dont émane la demande et il n’est pas nécessaire de le conserver une fois l’identité confirmée. »

La CNIL[2], organisme de contrôle français, a déjà sanctionné la société Carrefour[3] pour avoir, notamment, conservé des copies des pièces d’identité de ses clients.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La CNIL a sanctionné la société Carrefour France pour avoir, notamment, conservé les pièces d’identité des personnes ayant fait des demandes d’exercice de droits (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour de nombreux manquements au RGPD ».