La vérification d’identité est aujourd’hui au cœur de nombreux processus : accès aux services, exercice des droits, relations clients, démarches en ligne…
Mais cette étape, souvent considérée comme purement opérationnelle, constitue en réalité un point de risque majeur en matière de protection des données personnelles.
Car pour vérifier une identité, vous n’avez pas besoin de collecter “tout ce qui est possible”.
Le principe fondamental : la minimisation des données
Le RGPD repose sur un principe clair : ne collecter que les données strictement nécessaires à la finalité poursuivie.
Autrement dit, une organisation doit toujours se poser la question : de quoi ai-je réellement besoin pour atteindre mon objectif ?
Demander une copie complète de carte d’identité, un justificatif de domicile, une photo, voire des données biométriques, peut très vite conduire à une surcollecte, voire à une collecte illicite.
Vérification d’identité ≠ conservation d’identité
Un point souvent mal compris est la différence entre :
Vérifier une identité (contrôle ponctuel),
Conserver des documents d’identité dans ses systèmes.
Dans de nombreux cas, la vérification peut être réalisée sans stockage durable : lecture visuelle, comparaison, contrôle temporaire, puis suppression immédiate.
Conserver une copie de pièce d’identité sans nécessité légale constitue généralement :
un risque juridique,
un risque de sécurité,
et un risque réputationnel en cas de fuite.
Des pratiques encore largement excessives
Sur le terrain, on observe fréquemment :
demandes systématiques de pièces d’identité,
conservation sans durée définie,
absence d’information claire sur l’usage réel des documents,
transmission par email non sécurisé.
Exercice des droits
L’un des exemples les plus sensibles concerne l’exercice des droits des personnes (accès, rectification, effacement).
Le RGPD autorise la vérification d’identité en cas de doute raisonnable, mais interdit d’en faire une exigence systématique.
Exiger automatiquement une carte d’identité pour toute demande est donc, en pratique, disproportionné dans la majorité des cas.
Ce que la CNIL attend concrètement
L’autorité de contrôle rappelle régulièrement que les organisations doivent :
adapter le niveau de vérification au niveau de risque réel,
privilégier les solutions les moins intrusives possibles,
supprimer les données d’identité dès que la vérification est effectuée,
documenter leur raisonnement (logique d’accountability).
Vérifier l’identité sans surcollecter est un sujet de gouvernance des données :
Qui décide du niveau de vérification ?
Sur quelle base juridique ?
Pour quelle durée ?
Avec quels contrôles internes ?
Sans cadre clair, la dérive est quasi inévitable.
À retenir
Vérifier une identité est légitime, surcollecter des données d’identité ne l’est pas.
La bonne approche consiste à raisonner par finalité, limiter par nécessité, sécuriser par design, supprimer par défaut.
La question à se poser : “qu’est-ce que je peux éviter de collecter ?”.
IA générative et données personnelles : les risques que vos équipes ignorent
Chaque jour, des milliers de salariés saisissent des données personnelles dans des outils d’IA générative sans en mesurer les conséquences juridiques. Tour d’horizon des risques majeurs et des réflexes à adopter.
Une demande d’exercice de droits peut sembler simple.
Jusqu’au moment où vous réalisez que les données personnelles sont… partout.
CRM, outils de ticketing, messagerie, drive, archives, solutions SaaS parfois souscrites sans réelle visibilité centrale.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
