La vérification d’identité est aujourd’hui au cœur de nombreux processus : accès aux services, exercice des droits, relations clients, démarches en ligne…
Mais cette étape, souvent considérée comme purement opérationnelle, constitue en réalité un point de risque majeur en matière de protection des données personnelles.
Car pour vérifier une identité, vous n’avez pas besoin de collecter “tout ce qui est possible”.
Le principe fondamental : la minimisation des données
Le RGPD repose sur un principe clair : ne collecter que les données strictement nécessaires à la finalité poursuivie.
Autrement dit, une organisation doit toujours se poser la question : de quoi ai-je réellement besoin pour atteindre mon objectif ?
Demander une copie complète de carte d’identité, un justificatif de domicile, une photo, voire des données biométriques, peut très vite conduire à une surcollecte, voire à une collecte illicite.
Vérification d’identité ≠ conservation d’identité
Un point souvent mal compris est la différence entre :
Vérifier une identité (contrôle ponctuel),
Conserver des documents d’identité dans ses systèmes.
Dans de nombreux cas, la vérification peut être réalisée sans stockage durable : lecture visuelle, comparaison, contrôle temporaire, puis suppression immédiate.
Conserver une copie de pièce d’identité sans nécessité légale constitue généralement :
un risque juridique,
un risque de sécurité,
et un risque réputationnel en cas de fuite.
Des pratiques encore largement excessives
Sur le terrain, on observe fréquemment :
demandes systématiques de pièces d’identité,
conservation sans durée définie,
absence d’information claire sur l’usage réel des documents,
transmission par email non sécurisé.
Exercice des droits
L’un des exemples les plus sensibles concerne l’exercice des droits des personnes (accès, rectification, effacement).
Le RGPD autorise la vérification d’identité en cas de doute raisonnable, mais interdit d’en faire une exigence systématique.
Exiger automatiquement une carte d’identité pour toute demande est donc, en pratique, disproportionné dans la majorité des cas.
Ce que la CNIL attend concrètement
L’autorité de contrôle rappelle régulièrement que les organisations doivent :
adapter le niveau de vérification au niveau de risque réel,
privilégier les solutions les moins intrusives possibles,
supprimer les données d’identité dès que la vérification est effectuée,
documenter leur raisonnement (logique d’accountability).
Vérifier l’identité sans surcollecter est un sujet de gouvernance des données :
Qui décide du niveau de vérification ?
Sur quelle base juridique ?
Pour quelle durée ?
Avec quels contrôles internes ?
Sans cadre clair, la dérive est quasi inévitable.
À retenir
Vérifier une identité est légitime, surcollecter des données d’identité ne l’est pas.
La bonne approche consiste à raisonner par finalité, limiter par nécessité, sécuriser par design, supprimer par défaut.
La question à se poser : “qu’est-ce que je peux éviter de collecter ?”.
Pixel de suivi : la CNIL publie sa recommandation définitive
Invisible à l’œil nu mais omniprésent dans les emails et sites web, le pixel de suivi fait aujourd’hui l’objet d’une attention toute particulière de la CNIL, qui a lancé une consultation publique pour mieux encadrer son usage. À quoi sert ce pixel ? Pourquoi suscite-t-il des inquiétudes ? Et surtout, comment se mettre en conformité avec le RGPD ? On vous explique tout.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
