Le RGPD n'est qu'allusif sur les formes et le traitement de la demande d'une personne concernée. Ces détails de procédure ont été fournis ultérieurement par le décret français.
La demande de la personne concernée
La demande de la personne concernée
– Toute forme de demande. – Le décret envisage toutes les formes de demande : par voie électronique, postale, sur place, ou par mandat spécial (habilitant à la présentation de la demande et/ou l'obtention de la réponse), etc.
Au titre des oppositions par mandat, la Cnil publie une liste de différents services auxquels s'inscrire pour s'opposer au traitement de données personnelles à des fins de prospection commerciale
www.cnil.fr/fr/les-listes-dopposition">Lien
.
En cas de demande sur place, et si le demandeur ne peut obtenir satisfaction immédiatement, un récépissé daté et signé doit lui être délivré. Il conditionnera l'engagement éventuel d'un recours.
La demande est adressée au responsable de traitement, son délégué à la protection des données, ou à défaut au siège ou à l'adresse électronique de l'organisme dont le traitement relève.
À cet effet, les sites internet sur lesquels les données ont été collectées proposent le plus souvent des formulaires accessibles par des onglets ou liens dénommés de manière variable (« informatique et libertés », « protection des données », etc.).
À défaut, ou en cas de difficultés, le site internet de la Cnil indique les moyens de retrouver les coordonnées d'un responsable de traitement auquel s'adresser
www.cnil.fr/fr/retrouver-les-coordonnees-dun-organisme-pour-exercer-vos-droits">Lien
.
– Une identité justifiée par tout moyen… – Le demandeur justifie de son identité par tout moyen
D. no 2019-536, 29 mai 2019, art. 77. On retrouve ici la justification d'identité par tout moyen, expression notamment utilisée par le Code de procédure pénale dans ses articles 78-2 et 78-3 relatifs aux contrôles d'identité par les forces de police…
. Encore faut-il que le moyen proposé soit admis par le responsable de traitement, qui a la responsabilité de la vérification de l'identité du demandeur, dont il va accepter les instructions ou à qui il va communiquer des informations. Car le défaut d'identification du demandeur ouvre au responsable de traitement la possibilité de refuser la demande
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 12, 1, 2 et 6.
, ce qui ne revient pas pour autant à préconiser une vérification d'identité.
L'usage de données d'identité numériques est possible, si elles sont nécessaires et si le responsable du traitement les estime suffisantes
D. no 2019-536, 29 mai 2019, art. 77, al. 1.
. Dans une forme de dérogation au principe de la justification par « tout moyen », le législateur français ouvre ainsi le recours à des données d'identité numériques à la double condition de nécessité et de suffisance, à l'appréciation du responsable de traitement. Celui-ci devra justifier de l'une et de l'autre. Il faut notamment comprendre que si le responsable de traitement ne s'en contentait pas, il ne pourrait utiliser des données d'identité numériques en complément d'autres justificatifs.
Lorsque le responsable de traitement a des doutes raisonnables sur l'identité d'un demandeur, il peut alors demander des informations supplémentaires nécessaires, jusqu'à la copie d'une pièce d'identité portant signature, lorsque la situation l'exige
D. no 2019-536, 29 mai 2019, art. 77, al. 2.
. Dans l'évocation des moyens croissants de vérification, il faut ici comprendre que, pour motiver une demande dépassant une justification par « tout moyen », le responsable de traitement devra justifier à la fois de ses « doutes raisonnables » et d'exigences particulières au regard de la nature des instructions données ou informations demandées (données sensibles, de santé, etc.). Il faut voir ici une nouvelle illustration de la proportionnalité ou de la mise en balance d'intérêts contradictoires qui irrigue tout le droit de la protection des données personnelles, et fait ainsi la part belle à la jurisprudence, lorsque l'enjeu justifie que les juridictions soient saisies de l'application d'une règle – ce qui semble ici douteux pour la simple identification d'un demandeur.
Une demande de justification d'identité suspend le délai de réponse du responsable de traitement, le temps de sa satisfaction par la personne concernée
D. no 2019-536, 29 mai 2019, art. 77, al. 3.
.
Toujours en cas de doute sur l'identité du demandeur, le décret français prévoit aussi que la réponse du responsable de traitement peut être adressée par courrier recommandé, transférant à La Poste la vérification de l'identité du destinataire des informations transmises
D. no 2019-536, 29 mai 2019, art. 77, al. 4.
.
– … et avec modération. – Il faut observer cette description progressive comme une invitation à la modération : tout moyen, éventuellement des données d'identité numérique, en cas de doute seulement, une justification complémentaire, s'il le faut vraiment, une pièce d'identité, et enfin l'usage de la lettre recommandée qui laisse le soin à La Poste de vérifier l'identité du demandeur
Sur les missions du groupe La Poste dans la reconnaissance de l'identité numérique : V. supra, no
.
.
Il est surprenant d'observer que, dans le cas d'une telle vérification, une nouvelle collecte de données personnelles est opérée, avec un nouvel intérêt légitime, une nouvelle durée de conservation, etc. Alors que l'intention de la personne concernée était de contrôler l'usage de ses données personnelles, elle peut devoir préalablement en communiquer de supplémentaires
Viennent des images de sparadrap du capitaine Haddock…
.
Elle se consolera en considérant que cette nouvelle collecte est elle-même soumise aux conditions de toute collecte de données personnelles, conformément au principe de minimisation, données qui doivent être adéquates, pertinentes et, comme il vient d'être énoncé, limitées à ce qui est nécessaire
PE et Cons. UE, règl. (UE) no 2016/679, 27 avr. 2016, art. 5, 1, c).
. En application de ces principes, la Cnil veille régulièrement à une adaptation du niveau de vérification à celui de sensibilité des données qu'une personne concernée demande à contrôler ou auxquelles elle souhaite accéder
www.cnil.fr/fr/professionnels-comment-repondre-une-demande-de-droit-dacces">Lien
.