Que peut exiger le Responsable de traitement pour identifier la personne qui fait valoir son droit d’accès ?
X a assisté à la Journée mondiale de la protection des données et a appris à cette occasion que toute personne peut faire valoir son droit d’accès.
Sans être de nature procédurière, X attache de l’importance à la façon dont ses données personnelles sont traitées, et doute de la conformité des entreprises en la matière. X choisit alors d’exercer son droit auprès de son fournisseur d’électricité, de son assurance-maladie, et de l’Office cantonal de l’emploi où il-elle est inscrit-e.
X est surpris-e de voir la diversité des éléments de preuve d’identité qui lui sont demandés avant de traiter sa demande. Le fournisseur d’électricité lui demande de s’identifier au moyen de son numéro d’abonné-e, de sa date de naissance, de son adresse et du montant de la dernière facture, l’assurance-maladie lui demande son numéro d’assuré-e et copie de sa carte d’identité, et l’Office de l’emploi lui demande copie de sa carte d’identité.
Il en discute avec une connaissance juriste, qui lui confirme que ni la loi suisse ni le règlement européen ne mentionne ce qu’est le moyen adéquat pour l’identification, à juste titre puisque celle-ci peutdépendre du contexte. En l’occurrence, les moyens requis ne sont pas critiquables.
Les loi et règlement en matière de protection des données prévoient que le responsable de traitement prend les mesures adéquates pour identifier de manière sûre la personne concernée, et le principe de proportionnalité (minimisation des données) conduit à ne requérir comme preuve d’identité que celle qui est nécessaire et apte à identifier la personne. C’est ainsi qu’il est généralement admis qu’une copie de la carte d’identité – possiblement caviardée en partie – est un moyen adéquat, mais ce n’est pas le seul, et dans le cadre de contrat de prestation d’autres éléments peuvent être pertinents, souvent combinés entre eux, comme le numéro de client ou d’abonné et le montant des dernières factures.
Recommandations
Le droit d’accès est un droit absolu, qui peut être restreint dans certains cas prévus par la loi. Le responsable de traitement doit définir une procédure pour garantir le droit d’accès, et y répondre dans les meilleurs délais, mais au plus tard dans les 30 jours (LPD et RGPD). Pour identifier la personne concernée, il tiendra compte du caractère sensible ou non des données personnelles qu’il détient, et des éléments d’identification pertinents dans son domaine d’activité.Une demande par courrier ou au guichet se fera usuellement sur la base de la carte d’identité.
Principes de base
art. 4 Proportionnalité, art. 8 LPD Droit d’accès, RGPD
Ressources
Voir pour la LPD le PFPDT : https://www.edoeb.admin.ch/edoeb/fr/home/protection-des-donnees/generalites/le-droit-d_acces.html
Voir pour le RGPD la CNIL : https://www.cnil.fr/fr/respecter-les-droits-des-personnes
Voir aussi l'article du journal Le Temps https://www.letemps.ch/societe/reprenez-controle-vos-donnees-temps-propose-une-experience-participative?utm_source=twitter&utm_medium=share&utm_campaign=article