Le décret du 1er août dernier pris en application de la loi « Informatique et libertés » récemment réformée (souvent désignée sous l’intitulé “LIL3”) vient préciser certaines modalités pratiques concernant l’exercice de leurs droits par les personnes concernées (droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité,…).
Adoption d’un nouveau décret d’application de la loi “Informatique et libertés”
Le règlement européen (UE)2016/679 du 27 avril 2016 dit « règlement général sur la protection des données » (« RGPD ») étant applicable depuis le 25 mai 2018, le législateur français a modifié la loi n°78-17 dite « Informatique et libertés », puis son décret d’application n°2005-1309 pour harmoniser ces textes avec les nouvelles dispositions européennes.
Suite à l’adoption du nouveau décret d’application n°2018-687 du 1er août 2018, modifiant le décret d’application n°2005-1309 précité, il en résulte notamment que :
« Lorsque la personne concernée forme une demande, y compris par voie électronique, tendant à la mise en œuvre des droits prévus aux articles 38 à 40 de la loi [Informatique et libertés] et aux articles 12 à 21 du [RGPD] précité [i.e. les droits des personnes concernées], elle justifie de son identité par tout moyen. Elle peut exercer ses droits en utilisant des données d’identité numériques lorsque ces données sont nécessaires et estimées suffisantes par le responsable du traitement pour authentifier ses utilisateurs.
Lorsque le responsable du traitement ou le sous-traitant a des doutes raisonnables quant à l’identité de cette personne, il peut demander les informations supplémentaires apparaissant nécessaires, y compris, lorsque la situation l’exige, la photocopie d’un titre d’identité portant la signature du titulaire.
Les délais prévus au 3 de l’article 12 du [RGPD] précité sont suspendus lorsque le responsable du traitement ou le sous-traitant a sollicité des informations supplémentaires nécessaires pour identifier la personne concernée
Lorsqu’il existe un doute raisonnable sur l’identité du demandeur ou sur l’adresse postale à laquelle la personne concernée a demandé la transmission par écrit d’informations la concernant, la réponse peut être expédiée sous pli recommandé sans avis de réception, la vérification de l’adresse et de l’identité s’effectuant lors de la délivrance du pli » (cf. rédaction du nouvel article 92 du décret).
Excessivité de la collecte systématique du titre d’identité du demandeur
En premier lieu, il apparaît que le législateur a ainsi consacré la doctrine de la Cnil qui avait rendu un avis sur le projet du décret précité en considérant qu’une copie d’un titre d’identité ne devait être sollicitée que si elle était nécessaire au traitement de la demande (Cnil, Délibération n° 2018-284 du 21 juin 2018). En effet, dans cet avis, la Cnil avait estimé que « la sollicitation systématique d’une pièce d’identité peut constituer un frein à l’exercice des droits des personnes, notamment dans le cadre des traitements liés aux activités en ligne, dès lors qu’elle aboutit à requérir des personnes concernées un niveau d’authentification plus forte en cas d’exercice de leurs droits que dans le cadre de leur utilisation du service. En outre, une telle exigence systématique pourrait conduire le responsable du traitement à traiter des données excessives au regard des finalités poursuivies, en méconnaissance du principe de minimisation des données ».
La Cnil a d’ailleurs confirmé sa position dans sa fiche pratique « Professionnel : comment répondre à une demande de droit d’accès ? », publiée le 8 août dernier, en indiquant qu’« il n’est pas nécessaire de joindre une photocopie d’un titre d’identité en cas d’exercice d’un droit dès lors que l’identité de la personne est suffisamment établie ».
Par conséquent, compte-tenu de cette nouvelle rédaction en droit français, il semble qu’il ne soit pas nécessaire pour un responsable de traitement, lors de la réception d’une demande d’exercice de ses droits adressée par une personne concerné, de demander systématiquement une copie de son titre d’identité signé pour y répondre. Il conviendra d’apprécier au cas par cas si seule la copie du titre d’identité du demandeur permet de s’assurer de son identité ou si d’autres éléments pourraient être suffisants (par exemple, lorsque la demande émane d’une personne concernée via son espace personnel en ligne et dont les données d’identité numériques suffisent à l’authentifier). Si d’autres moyens permettent de vérifier l’identité du demandeur, le traitement d’une copie de son titre d’identité pourraient être considéré comme excessif.
En termes d’application pratique, il résulte de ce qui précède que la référence, dans les mentions d’information, à la communication systématique d’une copie d’un titre d’identité signé à l’appui d’une demande émanant d’une personne concernée visant à l’exercice de ses droits ne semble plus opportune.
Suspension du délai de réponse en cas de demande d’informations supplémentaires
En second lieu, ce nouveau texte vient apporter une précision importante sur les conséquences liées à la demande d’informations supplémentaires pouvant être adressée par le responsable de traitement au demandeur en cas de doute raisonnable sur l’identité de ce dernier. Il était initialement prévu par le droit français qu’une telle demande avait pour effet de suspendre le délai octroyé au responsable de traitement pour répondre à la personne concernée. Toutefois, les effets d’une telle demande sur les délais de réponse étaient devenus incertains compte tenu de la rédaction et de la terminologie employées dans le RGPD, lequel ne se prononce pas expressément sur cette question.
Désormais, le doute est levé puisque le décret précité confirme le principe selon lequel la demande d’informations supplémentaires suspend le délai de réponse, étant précisé qu’une telle demande doit effectivement être justifiée et non réalisée par le responsable de traitement à des fins dilatoires pour profiter des effets d’une telle suspension. Pour mémoire, le délai de réponse à la personne concernée à l’initiative d’une demande d’exercice de ses droits est en principe d’un mois à compter de la réception de sa demande, ce délai pouvant éventuellement être exceptionnellement prolongé de deux mois en raison de la complexité et du nombre de demandes le cas échéant.
Par AGIL’IT – Pôle IT & Data protection
Laure LANDES-GRONOWSKI, Avocate associée
Marie MILIOTIS, Avocate