Oui, un justificatif d’identité peut être exigé, mais uniquement dans certains cas précis.

D’une manière générale, le RGPD demande aux responsables de traitement de données personnelles de « faciliter l’exercice des droits »[1] des personnes. Le Règlement précise toutefois que des « informations supplémentaires » peuvent être demandées aux personnes en cas « doutes raisonnables » sur leur identité.

« Lorsque le responsable du traitement a des doutes raisonnables quant à l’identité de la personne physique présentant la demande […], il peut demander que lui soient fournies des informations supplémentaires nécessaires pour confirmer l’identité de la personne concernée. »

— RGPD, article 12-6, transparence des informations et des communications et modalités de l’exercice des droits de la personne concernée

Cela veut dire qu’un justificatif d’identité, comme une copie de la carte d’identité, peut être demandé pour s’assurer que la personne est bien celle qu’elle prétend être ou pour éviter d’éventuelles conséquences néfastes, comme la suppression ou la divulgation de données d’une autre personne. Un tel document ne devrait cependant pas être demandé de façon systématique, car cela rend plus difficile l’exercice des droits et, par conséquent, décourage les personnes d’exercer leurs droits.

Il est difficile d’indiquer précisément les cas où il est juste de demander un justificatif d’identité, car chaque situation a ses propres problématiques. D’une manière générale, il est toléré de réaliser des vérifications sur l’identité de la personne si ces mêmes vérifications sont réalisées au moment de l’inscription[2]. Lorsqu’un internaute souscrit librement à un service en utilisant son adresse e-mail et qu’aucune vérification n’est effectuée sur son identité, le simple fait d’utiliser cette adresse e-mail, ou d’utiliser un compte associé à cette adresse e-mail, devrait, par conséquent, suffire pour légitimer la demande.

Il est également important de préciser que le RGPD instaure un principe de minimisation des données, qui demande aux responsables de traitement de ne pas traiter de données personnelles s’ils n’en ont pas le besoin. Il est donc préférable de ne pas collecter un justificatif d’identité, si cela est possible, et de privilégier des moyens moins intrusifs[3].

Par ailleurs, si un justificatif d’identité est demandé, ce document doit être :

  • transmis à l’aide d’un moyen de communication garantissant la confidentialité et l’intégrité des données, c’est-à-dire pas par e-mail ;
  • utilisé uniquement pour prouver l’identité de la personne ; et
  • supprimé après l’identité de la personne confirmée.

« [La CNIL] considère que, dès qu’il a été fait droit à la demande, la société n’a plus besoin de conserver une copie de la pièce d’identité du requérant. La fourniture de ce document a en effet pour seul but de justifier de l’identité de la personne dont émane la demande et il n’est pas nécessaire de le conserver une fois l’identité confirmée. »

Enfin, le fait de demander un justificatif d’identité sans raison valable ou de conserver les copies des pièces d’identité des personnes peut être sanctionné. Des sociétés ont déjà été sanctionnées pour de tels manquements, notamment :

  • les magasins Carrefour[4], car une copie de la carte d’identité des clients était systématiquement demandée aux clients et conservée ;
  • le site d’e-learning espagnol GOKOAN, car la suppression des données personnelles des utilisateurs était conditionnée à l’obtention d’une copie de la carte d’identité, alors qu’aucune vérification n’était effectué au moment de l’inscription[5] ;
  • l’agence de recrutement de cadres MICHAEL PAGE, car les demandes d’accès aux données étaient conditionnées à un justificatif d’identité[6] ;

Notes et références

  1. Le RGPD demande aux responsables de traitement de « facilite[r] l’exercice des droits » des personnes (source : RGPD, article 12-2). Voir « Quels droits le RGPD donne-t-il aux personnes ? ».
  2. L’autorité espagnole, l’AEPD, a indiqué que le doute était permis uniquement si ce même doute existait au moment l’inscription de la personne (source : AEPD, R/00232/2021, 16 juin 2020, GOKOAN). Voir « Le site d’e-learning GOKOAN rappelé à l’ordre pour avoir exigé un justificatif d’identité sans raison valable ».
  3. La autorité espagnole de protection des données estime que les éventuelles vérifications devraient effectuées « en utilisant toujours les moyens les moins attentoire de la vie privée » des personnes (source: AEPD, PS/00003/2021, 22 février 2022, Michael Page).
  4. La société Carrefour France a été sanctionnée par la CNIL, car une copie de la carte d’identité des clients était systématiquement demandée aux client et conservée (source : CNIL, SAN-2020-008, 18 novembre 2020, Carrefour). Voir « CARREFOUR sanctionné pour avoir conservé les données de ses clients trop longtemps, mais aussi pour l’inaccessibilité et l’imprécision de ses informations et pour de nombreux autres manquements ».
  5. L’autorité espagnole, l’AEPD, a sanctionné le site d’e-learning GOKOAN pour avoir demandé une copie de la carte d’identité à l’un de ses clients qui demandait la suppression de ses données à caractère personnel (source : AEPD, R/00232/2021, 16 septembre 2020, GOKOAN EDUCATION). Voir « Le site d’e-learning GOKOAN rappelé à l’ordre pour avoir exigé un justificatif d’identité sans raison valable ».
  6. L’autorité espagnole, l’AEPD, a sanctionné le groupe MICHAEL PAGE pour avoir demandé un justificatif d’identité suite à une demande d’accès aux données (source : AEPD, PS/00003/2021, 22 février 2022, Michael Page). Voir « Le cabinet de recrutement MICHAEL PAGE sanctionné pour avoir conditionné l’accès aux données à un justificatif d’identité ».

Sigles et acronymes

  • RGPD : Règlement Général sur la Protection des Données