Irish Data Protection Commision (DPC) v. AirBnB Ireland
Carte d'identité, condition de l'exercice du droit à l'effacement de ses données?
No Way! pour la DPC irlandaise.
L’autorité de contrôle Irlandaise, en sa qualité de chef de file, a rendu une décision AirBnB (IN-21-3-1 -14 septembre 2022) sanctionnant AirBnB pour avoir manqué au principe de minimisation des données en conditionnant l’exercice du droit à l’effacement d’un requérant, à la communication obligatoire et préalable de sa carte d’identité.
Cette décision OSS (One Stop Shop) n’a rencontré aucune objection dirimante de la part des autres autorités de contrôle concernées de l’Union.
GUICHET UNIQUE CEPD – ONE STOP SHOP (OSS) EDPB
IRLANDE – DATA PROTECTION COMMISSION (DPC)
Un résident berlinois a déposé plainte à l’encontre d’AirBnB devant le BBDI (autorité de contrôle allemande compétente dans le ressort de Berlin) pour violation de son droit à l’effacement (art. 17 RGPD) et violation de son droit d’accès aux DCP qu’AirBnB était censé traiter (ou avoir traité dans un passé récent) (art. 13 RGPD).
En l’espèce, pour donner suite à sa demande d’effacement formulée par e-mail, AirBnB a exigé de sa part qu’il lui communique copie de sa Carte d’Identité Nationale (avec photographie), en s’appuyant sur les termes de sa « procédure de vérification d’identité » visée à sa page « Help Center », mais aussi, compte tenu des « doutes raisonnables » qu’il estimait avoir sur l’identité du requérant (art. 12 (6) RGPD).
Face au refus du requérant de satisfaire à cette demande de production de carte d’identité, AirBnB a alors proposé à celui-ci, mais dans un second temps, une méthode d’identification alternative, à savoir, tout simplement, de se connecter à son compte AirBnB.
Dans le prolongement de la connexion à son compte, AirBnB a informé par e-mail le requérant, qu’en suite du déclenchement de la procédure, il serait procédé à l’effacement de son compte et des DCP y rattachées …. du moins… à la « majeure partie » de ses DCP ; AirBnB se gardant le droit d’en conserver une partie, compte tenu des obligations légales auxquelles il se disait soumis, notamment à des fins d’exercice de son droit à l’information et à des fins de preuve et d’exercice des droits de la défense au cas de contentieux auquel le requérant pourrait être partie.
AirBnB ajoutait singulièrement … que cet e-mail serait le dernier courrier électronique qu’AirBnB lui adresserait dans l’avenir… formule que le requérant a comprise en ce sens qu’AirBnB ne l’informerait pas de la parfaite exécution de sa demande d’effacement lorsqu’elle sera parvenue à son terme. Ce qui a contraint inévitablement le requérant à renvoyer un e-mail à AirBnB pour avoir confirmation de l’effacement de ses données et un second courriel pour exercer à nouveau son droit d’accès, mais cette fois, à l’égard de ses DCP conservées malgré sa demande d’effacement.
Et ce que l’on pouvait pressentir arriva, à savoir, qu’AirBnB informait le requérant qu’il ne pouvait traiter sa nouvelle demande d’accès aux « DCP conservées après effacement » au prétexte que « cette demande ne pouvait être rattachée à aucun compte existant… puisqu’il avait été déjà supprimé ! (sic) En suite de sa plainte, l’autorité de contrôle était intervenue auprès d’AirBnB qui l’informait qu’il allait traiter cette demande d’accès après effacement des DCP, présentant ses excuses et proposant un règlement à l’amiable du différend qui se voyait, in fine, refusé par le plaignant.
L’autorité de contrôle Berlinoise transmettait la procédure à la DPC Irlandaise qui instruisait sur trois points :
1 – AirBnB pouvait-il faire valoir une base légale à même de fonder sa demande de carte d’identité avec photographie ? AirBnB arguait que ses procédures de vérification d’identité avaient justement été mises en place à des fins de protection des utilisateurs AirBnB, conformément au RGPD.
2 – Le traitement par AirBnB de la demande d’effacement était-il conforme aux prescriptions légales et réglementaires ?
AirBnB considérait :
– qu’il lui était difficile de fournir un nombre suffisant d’éléments sur ce point dans la mesure où les informations requises de la DPC faisaient partie des données figurant au compte du requérant … supprimé à sa demande !
– que ses conditions d’utilisation et sa politique de confidentialité prévoyaient expressément un tel modus operandi « pragmatique » et « raisonnable » pour la vérification d’identité des utilisateurs de ses services
– qu’il avait un intérêt légitime à procéder ainsi pour satisfaire aux obligations de sécurité imposées dans le traitement des données par l’article 5 (1)(f) – afin de contrer toute demande d’effacement frauduleuse pouvant gravement préjudicier à l’utilisateur, dans un environnement numérique à risques, où les tentatives de hacking sont croissantes et de plus en plus sophistiquées – et par ailleurs, pour simplifier autant que faire se peut, de manière secure, l’exercice de son droit à l’effacement.
– que même si sa procédure d’identification n’était pas la panacée, elle ne pouvait être jugée disproportionnée eu égard aux risques potentiels d’usurpation d’identité
AirBnB faisait valoir :
– qu’il agissait de manière proportionnée suivant le principe de la « best evidence»
– que ce process était équivalent à ceux utilisés par la plupart des fournisseurs de services en ligne, en ce, notamment, les centrales de réservation d’hôtels et de vols aériens- que la production d’une carte d’identité avec photographie devait être privilégiée dès lors que ce titre était comparativement moins susceptible d’être l’objet de contrefaçon et qu’il était une sorte de « relais » entre le monde virtuel et le monde réel.
– que dans l’hypothèse où, comme bien souvent, le compte de l’utilisateur était un compte familial partagé avec d’autres membres de la famille, il s’agissait d’éviter que l’un de ces derniers puisse déclencher une procédure d’effacement préjudiciable et irréversible pour le titulaire du compte AirBnB
– que la finalité de la demande de carte d’identité était strictement et exclusivement limitée aux besoins de l’authentification du requérant et que ces données étaient automatiquement supprimées, en même temps que les autres DCP de l’utilisateur
A la demande de la DPC l’invitant à s’expliquer sur la nature et l’étendue des « doutes raisonnables » excipés, concernant l’identité du requérant, AirBnB a répondu qu’il n’était plus, matériellement, en mesure de les justifier autrement dans la mesure où le compte du requérant (et ses DCP associées) avaient définitivement été supprimées après que ce dernier ait pu faire authentifier son identité par le process alternatif proposé par AirBnB consistant en une simple connexion à son compte utilisateur.
A la demande de la DPC lui demandant alors d’expliquer les motifs qui l’avaient conduit à ne pas d’abord proposer, « en première intention », une méthode alternative à la communication de carte d’identité vérifiant le principe de minimisation du traitement de DCP – comme une méthode d’authentification par connexion au compte à double-facteur – AirBnB a répondu qu’il privilégiait par principe cette méthode « en première intention » et ce, pour des raisons principalement de sécurité – tant à l’égard des utilisateurs qu’à l’égard de la plateforme Internet, ajoutant qu’il avait néanmoins modifié ses process depuis lors et privilégiait des méthodes alternatives moins intrusives comme un outil en ligne de « gestion de données » accessible via un process de double clé.
3 – Le traitement – ou du moins l’absence ou le retard dans le traitement – par AirBnB de la demande de droit d’accès aux données conservées après effacement pouvait-il être déclaré conforme à la réglementation applicable?
AirBnB reconnaissait des lacunes à ce propos, mais plaidait la clémence dans la mesure où il avait immédiatement agi avec diligence… après l’intervention de la DPC (sic)
AirBnB précisait néanmoins que la procédure d’effacement d’un compte et de ses données associées était un process très complexe techniquement, qu’il était fonction du volume des données à supprimer et des process de vérification légale imposant d’en conserver une partie à titre probatoire (notamment les conversations téléphoniques), et qu’au regard de la nature distincte et individualisée des process de suppression des données à supprimer selon leur catégorie (enregistrements téléphoniques, photographies, documents texte … ), il lui était dès lors impossible de confirmer au requérant la date exacte (sic) correspondant à la suppression définitive de toutes ses données.
Sur la base légale du traitement et la preuve des « doutes raisonnables » (art. 12(6) du RGPD), l’autorité de contrôle irlandaise a considéré:
– Que le fait de conditionner une demande d’exercice de droits d’accès aux fins d’effacement des DCP (article 17 RGPD) à la communication obligatoire et préalable de la copie d’une carte d’identité avec photographie du titulaire, constitue bien une « collecte de données » entrant dans le processus de vérification d’identité et par suite, un « traitement » au sens de l’article 4 (2) du RGPD, quand bien même aucune pièce d’identité n’aurait été communiquée par le requérant à AirBnB.
– qu’alors même qu’en effet, AirBnB disposait « d’un intérêt légitime » à se prémunir contre toute tentative de suppression frauduleuse de compte, conformément aux articles 5(1)(f) et 6 (1)(f) du RGPD, AirBnB n’a pas été en mesure de démontrer que sa demande de CNI avec photographie était formellement « nécessaire » ou « proportionnée », sachant qu’il disposait, en outre, d’autres méthodes de vérification alternatives moins attentatoires dont il a d’ailleurs fait usage par la suite.
– que l’intérêt légitime soulevé par AirBnB pour justifier de sa demande de carte d’identité avec photographie du plaignant aux fins d’effacement de ses DCP, ne saurait constituer au cas particulier une base légale valable au sens de l’article 6 RGPD.
– que par ailleurs – alors même que du fait de la suppression du compte précédant l’instruction de la DPC, AirBnB se trouvait inévitablement dans l’incapacité matérielle de fournir des éléments justifiant des doutes particuliers qu’il avait eus sur l’identité du requérant – AirBnB n’avait pas suffisamment établi les « doutes raisonnables » visés à l’article 12(6) du RGPD qui auraient éventuellement pu justifier, dans un second temps, sa demande de production de CNI.
L’autorité de contrôle irlandaise a conclu qu’AirBnB avait, par suite, manqué au principe de minimisation des données tel que visé aux dispositions de l’article 5 (1)(c) du RGPD.
Sur la forme et la notion de demande de droit d’accès (article 15 RGPD), la DPC a considéré que même si le RGPD n’impose aucune forme particulière à la validité d’une demande de droit d’accès, il demeure que cette demande doit être formulée d’une manière suffisamment claire et explicite pour valoir « demande de droit d’accès » et permettre au RT d’y donner une suite dans les délais.
En l’espèce, la DPC a constaté, à la lecture de la traduction anglaise de l’e-mail originellement rédigé en allemand, que contrairement à ce qu’il indiquait, le requérant n’avait pas formulé une demande de droit d’accès mais avait simplement demandé la confirmation du parfait achèvement de sa précédente demande d’effacement de ses DCP.
“Hello, I have logged in – I have already told you this on Fri/Sat. Everything I have posted in it is no longer visible TO ME. I now expect a written confirmation from you that you have deleted my data, photos and voice irrevocably and not passed on, only then is the issue of data protection closed for me. Because it is completely implausible to me that everything has now been deleted without my intervention, for which you would previously have needed my identification data”