Le RGPD et la Loi Informatique et Libertés prévoient de nombreux droits pour les personnes dont les données sont collectées et traitées (droits d’accès, limitation, portabilité, etc.).

En tant que responsable des traitements, il vous appartient de mettre en place un parcours interne afin de répondre efficacement aux demandes d’exercice de droits émanant de personnes dont les données sont traitées (par exemple, un client, un prospect, un salarié, un prestataire, etc.).

De nombreuses entités, lors de la réception d’une demande vont systématiquement solliciter la communication d’une copie d’un justificatif d’identité de la personne afin de répondre à sa demande d’exercice de droits.

⚠️ La vérification de l’identité de la personne formulant une demande d’exercice de droit par la production d’un justificatif d’identité (comme une pièce d’identité ou un permis de conduire) ne doit pas jamais être une demande systématique ni automatique.

➡️ Il convient de limiter les demandes de justificatifs d’identité aux cas où il existe un doute raisonnable sur l’identité de la personne dont émane la demande, et lorsque l’identification ne peut être faite par un autre moyen (exemple : numéro client ou de dossier, référence de contrats, émission d’une demande par le biais d’une plateforme nécessitant une authentification etc.).

Dans l’éventualité où un doute légitime subsisterait et en cas de demande de copie de la carte d’identité, les copies de ces justificatifs requis pour vérifier l’identité de la personne ne peuvent être conservées que le temps nécessaire à cette vérification. La CNIL est particulièrement vigilante sur ce point.

➡️ En tout état de cause, cette demande doit être favorisée en cas de doutes raisonnables et pour les demandes d’exercice de droits ayant le plus d’implications, comme l’accès, la rectification, l’effacement ou la portabilité et éventuellement portant sur des données sensibles.

💡 Dans le cadre de la conformité à la règlementation, une bonne pratique consiste à mettre en place une procédure en interne pour le traitement des demandes d’exercice des droits des personnes concernées par les traitements rappelant notamment ces principes afin d’éviter tout communication injustifiée.