RGPD et documents d'identité : guide complet pour les entreprises
RGPD et documents d'identité : règles de collecte, durées de conservation, recommandations CNIL. Guide pratique de conformité pour les entreprises.
Collecter une copie de carte d'identité est un acte banal pour la plupart des entreprises. C'est aussi l'un des traitements les plus risqués au regard du RGPD. Un document d'identité contient des données personnelles sensibles -- numéro unique, photo, signature, parfois des données biométriques -- dont le traitement non conforme expose l'entreprise à des sanctions pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Ce guide détaille les règles applicables, les recommandations de la CNIL et les mesures concrètes à mettre en oeuvre pour traiter les documents d'identité en conformité.
Le cadre juridique : ce que dit le RGPD sur les documents d'identité
Le RGPD (Règlement UE 2016/679) ne contient pas de disposition spécifique aux documents d'identité. Leur traitement relève des principes généraux du règlement, complétés par les recommandations de la CNIL et la jurisprudence française.
Les principes fondamentaux applicables
Cinq principes du RGPD s'appliquent directement à la collecte et au traitement des documents d'identité :
Licéité du traitement (article 6). La collecte d'un document d'identité doit reposer sur une base légale valide. Selon le contexte, il peut s'agir d'une obligation légale (KYC bancaire, contrat de travail), de l'exécution d'un contrat (bail locatif) ou de l'intérêt légitime du responsable de traitement (vérification de l'identité d'un prestataire). Le consentement est rarement la base appropriée en raison du déséquilibre de pouvoir entre l'entreprise et la personne concernée.
Minimisation des données (article 5.1.c). L'entreprise ne doit collecter que les informations strictement nécessaires à la finalité poursuivie. Ce principe a des conséquences pratiques majeures sur le traitement des documents d'identité, que nous détaillons plus bas.
Limitation de la conservation (article 5.1.e). Les documents d'identité ne peuvent pas être conservés indéfiniment. La durée de conservation doit être définie en amont et justifiée par la finalité du traitement.
Intégrité et confidentialité (article 5.1.f). Les documents d'identité doivent être protégés contre l'accès non autorisé, la perte, la destruction ou l'altération par des mesures techniques et organisationnelles appropriées.
Transparence (article 13). La personne dont l'identité est vérifiée doit être informée de manière claire et complète : qui traite ses données, pourquoi, pendant combien de temps, et quels sont ses droits.
Ce que dit la loi française
La loi Informatique et Libertés, modifiée pour intégrer le RGPD, ajoute des précisions importantes. L'article 87 de la loi encadre spécifiquement l'utilisation du numéro d'inscription au répertoire national (NIR / numéro de sécurité sociale), dont la collecte est strictement limitée à des finalités précises (paie, protection sociale, recherche).
Le code pénal (article 226-4-1 sur l'usurpation d'identité et articles 226-1 et suivants sur la vie privée) sanctionne par ailleurs l'usurpation d'identité et la collecte frauduleuse de données d'identité, ce qui renforce l'obligation de sécurisation des documents collectés.
Les recommandations de la CNIL : règles pratiques
La CNIL a publié plusieurs recommandations et fiches pratiques encadrant le traitement des documents d'identité. Ces recommandations, bien que non contraignantes juridiquement, sont systématiquement utilisées comme référence par les autorités de contrôle.
Quand peut-on collecter un document d'identité ?
La CNIL distingue trois niveaux de vérification d'identité selon la finalité poursuivie :
| Niveau | Description | Exemples | Document requis |
|---|---|---|---|
| 1 - Déclaratif | Simple collecte du nom et prénom | Inscription à une newsletter, création de compte basique | Aucun document d'identité |
| 2 - Vérification simple | Vérification que la personne est bien qui elle prétend être | Location immobilière, souscription d'un abonnement | Présentation du document (sans copie) ou copie partielle |
| 3 - Vérification renforcée | Obligation légale de vérification d'identité | Ouverture de compte bancaire (KYC), embauche, acte notarié | Copie intégrale du document d'identité |
Point critique. De nombreuses entreprises collectent systématiquement des copies intégrales de documents d'identité alors qu'une vérification de niveau 2 suffirait. C'est le cas notamment des agences immobilières qui exigent des copies de carte d'identité recto-verso pour de simples visites de biens, ou des entreprises qui photocopient les cartes d'identité de visiteurs à l'accueil.
Le principe de minimisation appliqué aux documents d'identité
La minimisation des données est le principe le plus fréquemment méconnu dans le traitement des documents d'identité. La CNIL formule des recommandations précises.
Masquage des données non nécessaires. Lorsqu'une copie du document est nécessaire, les données non pertinentes pour la finalité poursuivie doivent être masquées. Par exemple, pour vérifier l'identité d'un locataire, le numéro de carte d'identité n'est pas nécessaire et devrait être occulté.
Interdiction de collecter certaines données. La CNIL rappelle que la collecte de la photographie sur le document d'identité n'est justifiée que lorsque la vérification physique de l'identité est nécessaire (contrôle d'accès physique, comparaison biométrique). Pour une vérification purement administrative, la photo doit être masquée.
Données à masquer selon la finalité :
| Finalité | Données nécessaires | Données à masquer |
|---|---|---|
| Location immobilière | Nom, prénom, date de naissance, validité | Photo, numéro de document, signature |
| Ouverture de compte bancaire (KYC) | Toutes les données du document | Aucune (obligation légale) |
| Contrat de travail | Nom, prénom, nationalité, autorisation de travail | Photo (sauf badge), signature |
| Vérification d'âge | Date de naissance | Tout le reste |
| Livraison de colis recommandé | Nom, prénom | Tout le reste |
Les durées de conservation
La CNIL impose des durées de conservation strictes qui varient selon la finalité du traitement et la base légale applicable.
| Contexte | Durée de conservation | Fondement |
|---|---|---|
| KYC bancaire / assurance | 5 ans après la fin de la relation d'affaires | Code monétaire et financier, art. L.561-12 |
| Contrat de travail | 5 ans après le départ du salarié | Code du travail |
| Location immobilière (dossier retenu) | Durée du bail + 3 ans (prescription) | Code civil |
| Location immobilière (dossier non retenu) | Destruction immédiate ou sous 1 mois maximum | Recommandation CNIL |
| Vérification d'identité ponctuelle | Le temps de la vérification, sans conservation | Recommandation CNIL |
| Acte notarié | 75 ans | Obligation légale |
| Conformité LCB-FT | 5 ans après l'exécution de l'opération | Code monétaire et financier |
Erreur fréquente. Conserver les documents d'identité des candidats locataires dont le dossier n'a pas été retenu est une infraction au RGPD. La CNIL a sanctionné plusieurs agences immobilières sur ce point précis.
Mesures techniques de protection des documents d'identité
Le RGPD exige des mesures techniques et organisationnelles "appropriées" pour protéger les données personnelles. Pour les documents d'identité, qui présentent un risque élevé en cas de fuite (usurpation d'identité), les mesures doivent être particulièrement robustes.
Mesures obligatoires selon la CNIL
Chiffrement des données au repos et en transit. Conformément au guide de la sécurité des données personnelles (édition 2024) de la CNIL, les copies de documents d'identité stockées numériquement doivent être chiffrées avec un algorithme reconnu (AES-256 minimum). Les transmissions doivent utiliser le protocole TLS 1.2 ou supérieur.
Contrôle d'accès strict. L'accès aux documents d'identité doit être limité aux seules personnes ayant un besoin opérationnel justifié. Les droits d'accès doivent être revus trimestriellement. Chaque accès doit être tracé dans un journal d'audit.
Hébergement sécurisé. Les documents d'identité doivent être hébergés sur des serveurs situés dans l'Union européenne, auprès d'un hébergeur présentant des garanties suffisantes. La qualification SecNumCloud de l'ANSSI est recommandée pour les volumes importants.
Suppression sécurisée. A l'expiration de la durée de conservation, les documents doivent être supprimés de manière irréversible (effacement cryptographique ou destruction physique du support). Un simple déplacement vers la corbeille ne constitue pas une suppression conforme.
Mesures recommandées pour les volumes importants
Pour les entreprises traitant plus de 1 000 documents d'identité par mois, la CNIL recommande des mesures complémentaires :
- Analyse d'impact sur la protection des données (AIPD/DPIA). Obligatoire lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Le traitement à grande échelle de documents d'identité entre dans cette catégorie.
- Pseudonymisation des données extraites. Les données extraites des documents (nom, prénom, numéro) doivent être pseudonymisées dans les bases de données de production. Le lien avec le document source ne doit être accessible que dans un environnement sécurisé dédié.
- Cloisonnement des environnements. Les environnements de production, de test et de développement doivent être strictement séparés. Aucun document d'identité réel ne doit être présent dans les environnements de test.
Les droits des personnes concernées
Les personnes dont les documents d'identité sont collectés disposent de droits spécifiques que l'entreprise doit être en mesure d'exercer dans les délais légaux.
Tableau récapitulatif des droits
| Droit | Délai de réponse | Applicable aux documents d'identité ? | Particularités |
|---|---|---|---|
| Accès (art. 15) | 1 mois | Oui | L'entreprise doit fournir une copie des données détenues, y compris la copie du document |
| Rectification (art. 16) | 1 mois | Oui | En cas de changement d'identité (mariage, etc.) |
| Effacement (art. 17) | 1 mois | Partiellement | Impossible si la conservation est une obligation légale (KYC) |
| Limitation (art. 18) | 1 mois | Oui | Le document est conservé mais plus utilisé |
| Portabilité (art. 20) | 1 mois | Non en général | Ne s'applique qu'aux données fournies sur la base du consentement ou du contrat |
| Opposition (art. 21) | 1 mois | Partiellement | Impossible si le traitement repose sur une obligation légale |
Les demandes d'effacement : cas pratiques
Le droit à l'effacement est la demande la plus fréquente et la plus délicate à traiter pour les documents d'identité. Trois situations types :
Situation 1 : Le client demande la suppression de sa carte d'identité après résiliation de son contrat d'assurance. L'assureur peut refuser si la durée de conservation légale (5 ans) n'est pas écoulée. Il doit néanmoins informer le client de la base légale justifiant le maintien de la conservation et de la date prévue de suppression.
Situation 2 : Un candidat locataire dont le dossier n'a pas été retenu demande la suppression de ses documents. L'agence doit supprimer immédiatement l'ensemble des documents. Le refus constitue une infraction au RGPD.
Situation 3 : Un ancien salarié demande la suppression de la copie de sa pièce d'identité 6 ans après son départ. L'entreprise doit procéder à la suppression, la durée de conservation de 5 ans étant dépassée.
RGPD et vérification documentaire automatisée
L'utilisation de solutions de validation documentaire automatisée soulève des questions spécifiques au regard du RGPD, notamment en matière de décision automatisée et de sous-traitance.
La question de la décision automatisée (article 22)
L'article 22 du RGPD encadre les décisions entièrement automatisées produisant des effets juridiques ou significatifs. Un refus automatique de dossier fondé sur la non-conformité d'un document d'identité entre potentiellement dans ce champ.
Pour rester conforme, l'entreprise doit :
- Informer la personne qu'une décision automatisée est susceptible d'être prise.
- Garantir le droit à une intervention humaine (un opérateur doit pouvoir réexaminer le dossier).
- Expliquer la logique de la décision (motif du rejet, critère non satisfait).
Les solutions d'IA bien conçues intègrent ces exigences nativement en fournissant un motif structuré pour chaque rejet et en routant les cas limites vers un opérateur humain.
Le contrat de sous-traitance (article 28)
Lorsqu'une entreprise utilise un prestataire externe pour la vérification documentaire, elle doit formaliser la relation par un contrat de sous-traitance conforme à l'article 28 du RGPD. Ce contrat doit préciser :
- La nature et la finalité du traitement.
- Les types de données personnelles traitées.
- Les mesures de sécurité mises en oeuvre par le sous-traitant.
- Les conditions de sous-traitance ultérieure.
- Les modalités de restitution et de suppression des données en fin de contrat.
- Les conditions d'audit par le responsable de traitement.
Le transfert de données hors UE
Le choix du prestataire de vérification documentaire doit intégrer la question du transfert de données. Depuis l'invalidation du Privacy Shield par la CJUE et les exigences renforcées post-Schrems II, le transfert de documents d'identité vers des serveurs situés hors de l'Union européenne présente des risques juridiques majeurs. La CNIL recommande explicitement de privilégier des solutions hébergées dans l'UE.
Checklist de conformité RGPD pour les documents d'identité
Voici les actions à vérifier pour assurer la conformité de votre traitement de documents d'identité.
Avant la collecte
- Vérifier que la collecte du document d'identité est justifiée par une base légale identifiée.
- S'assurer que le niveau de vérification requis (déclaratif, simple, renforcé) correspond bien à la finalité.
- Rédiger ou mettre à jour la mention d'information RGPD (article 13) incluant : identité du responsable de traitement, finalité, durée de conservation, droits de la personne.
- Réaliser une analyse d'impact (DPIA) si le traitement est à grande échelle.
Pendant le traitement
- Appliquer le principe de minimisation : masquer les données non nécessaires à la finalité.
- Chiffrer les documents collectés (au repos et en transit).
- Limiter l'accès aux seules personnes habilitées, avec traçabilité des accès.
- En cas de recours à un prestataire de conformité KYC, vérifier l'existence d'un contrat de sous-traitance article 28 et l'hébergement des données dans l'UE.
- En cas de décision automatisée, garantir le droit à l'intervention humaine et l'explication de la décision.
Après le traitement
- Programmer la suppression automatique des documents à l'expiration de la durée de conservation.
- Mettre en place un processus de réponse aux demandes d'exercice des droits (accès, effacement, rectification) dans le délai d'un mois.
- Documenter le traitement dans le registre des activités de traitement (article 30).
- Auditer annuellement la conformité du processus.
Les sanctions CNIL liées aux documents d'identité
La CNIL sanctionne régulièrement des manquements liés au traitement des documents d'identité. En 2024, la CNIL a prononcé 87 sanctions pour un total de 55 millions d'euros d'amendes, soit le double de 2023 en nombre de décisions. Les montants des amendes ont significativement augmenté depuis 2023. La liste complète des sanctions est consultable sur le site de la CNIL.
| Année | Organisme sanctionné | Manquement | Amende |
|---|---|---|---|
| 2023 | Groupe immobilier | Conservation illimitée de copies de pièces d'identité | 600 000 euros |
| 2024 | Fintech | Absence de chiffrement des documents d'identité stockés | 1 200 000 euros |
| 2024 | Plateforme de location | Collecte disproportionnée (documents non nécessaires) | 400 000 euros |
| 2025 | Etablissement bancaire | Défaut d'information des personnes sur la durée de conservation | 2 500 000 euros |
| 2025 | Agence d'intérim | Absence de suppression des documents des candidats non retenus | 300 000 euros |
Ces sanctions illustrent la vigilance croissante de la CNIL sur ce sujet et l'importance d'un traitement rigoureux des documents d'identité.
Concilier conformité RGPD et efficacité opérationnelle
La conformité RGPD et l'efficacité opérationnelle ne sont pas contradictoires. Les solutions de vérification documentaire automatisée les plus avancées intègrent nativement les exigences du RGPD : minimisation automatique des données collectées, chiffrement de bout en bout, suppression programmée, traçabilité complète et droit à l'intervention humaine.
CheckFile a conçu sa plateforme de validation documentaire en conformité native avec le RGPD et les recommandations de la CNIL. Les documents sont traités et hébergés exclusivement dans l'Union européenne, chiffrés de bout en bout, et supprimés automatiquement à l'expiration de la durée de conservation que vous définissez. Chaque traitement est tracé et auditable. Contactez notre équipe pour une démonstration et un audit de conformité de vos processus documentaires actuels.