S’assurer de l’identité de la personne concernée n’est pas une sinécure.
Entre le principe de minimisation, qui restreint fortement la possibilité de demander un justificatif d’identité, et l’obligation d’assurer la sécurité des données, tout responsable de traitement peut s’estimer en zone dangereuse. Et l’article 12 du RGPD ne fait qu’accroître l’insécurité, en lui interdisant par exemple d’exiger un écrit (ANSPDCP, 13 mars 2023, Modaone), ou a fortiori un LRAR (IMY, 19 janvier 2023, Lensway, n° IMY-2022-1032), pour l’exercice des droits RGPD.
Le sujet est d’autant plus délicat lorsque la demande est formulée par téléphone. Rares seront les lecteurs de ce billet à ne pas avoir répondu à des questions « personnelles » de téléopérateurs pour établir leur identité. Mais est-ce suffisant?
Dans une décision Digi Spain Telecom, la « CNIL espagnole » a sanctionné le responsable de traitement pour manquement à l’obligation de sécurité. L’attaque par « social engineering » dont a été victime son employé aurait, selon l’APD, dû être déjouée par la mise en oeuvre de mesures adéquates.
Plus récemment, c’est l’autorité hollandaise qui reprochait à une banque de ne pas avoir mis en oeuvre pris en compte, dans son analyse de risques, un tel scénario (Autoriteit Persoonsgegevens, 19 janvier 2023, Boete Sociale Verzekeringsbank).
Comment réduire cette zone d’incertitude?
Une solution tient sans doute à la mise en oeuvre d’un « défi-réponse » ne reposant pas sur des informations communément publiées sur Internet. Date et lieu de naissance, adresse email, etc. sont à bannir ou doivent être complétés.
Une mesure de sécurité de « 2ème ligne » consiste à… mettre en oeuvre le principe de minimisation. L’idée est de réduire au maximum les données et prérogatives accessibles de la sorte.
Enfin, et surtout, le risque doit être clairement identifié dans l’organisation et le personnel doit y être spécifiquement sensibilisé. Les bonnes intentions, comme tout un chacun le sait, l’enfer en est pavé.