Oui, un justificatif d’identité peut être exigé, mais uniquement dans certains cas.

D’une manière générale, le RGPD[1] demande de « faciliter l’exercice des droits »[2] des personnes. Des « informations supplémentaires » peut toutefois être demandées par le responsable du traitement de données personnelles, mais uniquement s’il y a des « doutes raisonnables » sur l’identité de la personne.

« Lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande […], il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée. »

— RGPD, article 12-6, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Cela veut dire qu’un justificatif d’identité, comme une copie de la carte d’identité, peut être demandé dans certains cas pour s’assurer que la personne est bien celle qu’est prétend être et pour éviter d’éventuelles conséquences néfastes, comme la suppression ou la divulgation de données d’une autre personne. Un tel document ne devrait cependant pas être demandé de façon systématique, car cela rend plus difficile l’exercice des droits et, par conséquent, décourage les personnes d’exercer leurs droits.

Il est difficile d’indiquer précisément les cas où il est pertinent de demander un justificatif d’identité, car chaque situation a ses propres problématiques. D’une manière, il est généralement toléré de réaliser des vérifications sur l’identité de la personne si ces mêmes vérifications sont réalisées au moment de l’inscription de la personne[3]. Lorsqu’un internaute souscrit librement à un service en utilisant son adresse e-mail et qu’aucune vérification n’est effectuée sur son identité, le simple fait d’utiliser cette adresse e-mail, ou d’utiliser un compte associé à cette adresse e-mail, devrait, par conséquent, suffire pour légitimer la demande.

Par ailleurs, si un justificatif d’identité est demandé, ce document doit être :

  • transmis à l’aide d’un moyen de communication sécurisé, c’est-à-dire pas par e-mail ;
  • utilisé uniquement pour prouver l’identité de la personne ; et
  • supprimé après l’identité de la personne confirmée.

« [La CNIL] considère que, dès qu’il a été fait droit à la demande, la société n’a plus besoin de conserver une copie de la pièce d’identité du requérant. La fourniture de ce document a en effet pour seul but de justifier de l’identité de la personne dont émane la demande et il n’est pas nécessaire de le conserver une fois l’identité confirmée. »

Enfin, le fait de demander un justificatif d’identité sans raison valable ou de conserver les copies des pièces d’identité des personnes peut être sanctionné. Des sociétés ont déjà été sanctionnées pour de tels manquements, notamment :

  • les magasins Carrefour[4], car une copie de la carte d’identité des clients était systématiquement demandée aux clients et conservée ;
  • le site d’e-learning espagnol GOKOAN, car la suppression des données personnelles des utilisateurs était conditionnée à l’obtention d’une copie de la carte d’identité, alors qu’aucune vérification n’était effectué au moment de l’inscription[5].

Notes et références

  1. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  2. Le RGPD demande aux responsables de traitement de « facilite[r] l’exercice des droits » des personnes (source : RGPD, article 12-2). Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  3. L’autorité espagnole, l’AEPD, a indiqué que le doute était permis uniquement si ce même doute existait au moment l’inscription de la personne (source : AEPD, R/00232/2021, 16 juin 2020, GOKOAN). Voir « Le site d’e-learning GOKOAN rappelé à l’ordre pour avoir exigé un justificatif d’identité sans raison valable ».
  4. La société Carrefour France a été sanctionnée par la CNIL, car une copie de la carte d’identité des clients était systématiquement demandée aux client et conservée (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  5. L’autorité espagnole, l’AEPD, a sanctionné le site d’e-learning GOKOAN pour avoir demandé une copie de la carte d’identité à l’un de ses clients qui demandait la suppression de ses données à caractère personnel (source : AEPD, R/00232/2021, 16 septembre 2020, GOKOAN EDUCATION). Voir « Le site d’e-learning GOKOAN rappelé à l’ordre pour avoir exigé un justificatif d’identité sans raison valable ».