L’autorité de contrôle chypriote a considéré qu’un courtier pouvait exiger d’une personne qui exerce son droit à l’effacement qu’elle suive une procédure définie. En revanche, le courtier aurait dû préciser que si la procédure n’était pas suivie, il ne ferait pas suite à la demande d’effacement.
Une personne a ouvert, auprès d’un courtier en ligne, un compte d’investissement.
Quelques mois plus tard, souhaitant finalement supprimer son compte et effacer ses données, elle a effectué, par courriel, une demande d’effacement sur le fondement de l’article 17 du RGPD.
Le jour même, un conseiller du service clientèle a répondu à la personne concernée en lui demandant (i) de se connecter sur son compte en ligne afin de s’authentifier et (ii) d’y suivre une procédure spécifique.
La personne a répondu au courtier qu’elle exigeait la suppression de ses données sans avoir à s’authentifier ni à suivre la procédure.
Constatant que le courtier n’avait pas répondu à ce deuxième courriel et n’avait pas supprimé ses données, la personne a déposé une plainte auprès de l’autorité de contrôle.
La possibilité d’obliger la personne à s’authentifier
L’autorité de contrôle a considéré que le fait de demander à la personne de s’authentifier sur son compte en ligne était un moyen de vérification conforme au RGPD. Selon elle, ce prérequis avait pour but « d’empêcher toute tentative malveillante » et n’était « pas excessif ».
Pour parvenir à cette conclusion, elle s’est fondée sur les lignes directrices 01/2022 du CEPD qui indiquent que : « Le responsable du traitement devrait mettre en œuvre une procédure d’authentification afin de déterminer avec certitude l’identité des personnes [qui exercent leurs droits] ».
Cette interprétation favorable au responsable du traitement se focalise uniquement sur l’authentification et peut, en outre, sembler en contradiction avec la formule du CEPD selon laquelle : « Il n’y a pas d’exigences spécifiques concernant le format d’une demande. Le responsable du traitement devrait fournir des canaux de communication appropriés et conviviaux qui puissent être facilement utilisés par la personne concernée. Toutefois, la personne concernée n’est pas tenue d’utiliser ces canaux spécifiques et peut envoyer la demande à un point de contact officiel du responsable du traitement ».
La sanction pour ne pas avoir informé la personne qu’il ne serait pas donné suite à sa demande
L’autorité a, cependant, considéré que le courtier, sachant que le plaignant ne suivrait pas la procédure, aurait dû lui indiquer clairement que sa demande ne serait pas satisfaite conformément à l’article 12§4 du RGPD.
Compte tenu de ce qui précède, l’autorité de contrôle chypriote a prononcé un avertissement à l’encontre du courtier.
Source : Commissioner (Chypre), 22 janvier 2025, 11.17.001.012.009