Partager:
Lors de la réception d'un colis recommandé, Bpost demande une copie de la carte d'identité. Une procédure mise en place afin de vérifier que le colis recommandé a bien été livré à la bonne personne. Mais est-ce légal? L'entreprise postale respecte-t-elle le Règlement général sur la protection des données (RGPD) en photographiant la carte d'identité? Nous avons demandé à une avocate d'analyser la procédure. Et d'après elle, Bpost ne respecterait que "partiellement" les principes du RGPD. Explications.
"Bpost se présente pour me remettre un envoi recommandé. Le facteur me demande ma carte d’identité et s’apprête à en prendre une photo dans son smartphone. Est-ce légal ?", s’interroge Rudy via le bouton orange Alertez-nous. "Je trouve ces méthodes de récolte de données curieuses et inacceptables", ajoute-t-il.
Rudy est lui-même livreur pour une société de transports. La semaine dernière, alors qu’il reçoit un colis recommandé livré par Bpost, le facteur lui demande sa carte d'identité pour la prendre en photo, disant que c'est la procédure mise en place par Bpost. Rudy refuse catégoriquement que sa carte soit prise en photo, et demande au facteur de noter les informations dont il a besoin. Le facteur accepte et lui remet finalement le colis.
Mais Rudy se demande pourquoi la procédure exige une prise de photo : "Quel est l’usage qui en sera fait ? Quel est l’intérêt d’avoir autant d’informations alors que mon numéro de carte d’identité suffit ? Que font-ils de mes données personnelles lisibles sur ma carte d’identité comme ma date de naissance, mes prénoms complets, etc.?", se demande-t-il.
Sur son site, Bpost propose de connaître les informations que l'entreprise possède sur vous en remplissant un formulaire. Rudy débute alors la procédure, mais se rend compte à la fin qu'on lui demande, là aussi, une photo de sa carte d'identité pour accéder à sa demande. "Conformément au RGPD, Bpost m’impose à nouveau d’envoyer une copie recto-verso de ma carte d'identité. Et, en tout petit, m’informe que toutes mes informations seront conservées 5 ans dans leur système à dater de ma dernière interaction, soit l’envoi de ma demande... Dans quel monde vit-on ?", s'agace-t-il.
La réponse de Bpost
Nous avons contacté Bpost afin de comprendre pourquoi une telle procédure est mise en place. Laura Cerrada Crespo, porte-parole de l'entreprise postale, nous éclaire: "Le facteur doit vérifier l'identité de la personne à qui il remet un colis recommandé. Il doit prendre en photo la carte d’identité ou bien noter le numéro de la carte afin de prouver qu'il a remis le bon recommandé à la bonne personne", explique-t-elle.
D’après la porte-parole, les données personnelles des clients Bpost sont gardées "pendant 13 mois et de manière cryptée". Ces données servent uniquement dans deux cas que Laura Cerrada Crespo détaille :
- S'il y a une demande d'un juge pour prouver que le recommandé a été donné à une personne en particulier ;
- Ou s'il y a contestation sur la distribution du dit recommandé.
La porte-parole assure que Bpost "est légalement autorisé à prendre les données de la carte d'identité, mais ne les revend pas à des tiers". De plus, Bpost ne conserverait que "temporairement" les photos des cartes d’identité de ses clients. "En aucun cas, les données ne sont utilisées à d’autres fins ou communiquées à des tiers", affirme l’entreprise postale.
Pour cette procédure, Bpost se base sur l’article 9 de l’Arrêté Royal du 14 mars 2022 qui porte sur la réglementation du service postal.
Mais cette procédure est-elle bien légale ?
Afin de vérifier si cela est légal, nous avons rencontré Me Isabelle Andoulsi, avocate à Bruxelles. Et d’après elle, Bpost ne respecte que "partiellement" la loi. L'avocate rappelle d’abord les principes de base du RGPD (ndlr, Règlement général sur la protection des données). Il en existe 7 mais Me Andoulsi détaille les 3 plus importants :
- D’abord le principe de licéité, c’est-à-dire que le traitement doit être licite selon une base légale. Dans le cas de Bpost, il s'agit de l'article 9 de l'Arrêté Royal du 14/03/2022 ;
- Ensuite, le principe de minimisation des données, c’est-à-dire qu’on ne va prendre que les données nécessaires pour l’objectif poursuivi. Ici, Bpost veut s’assurer qu’il délivre bien à la bonne personne ;
- Et enfin, le principe de responsabilité, c’est-à-dire que Bpost doit démontrer qu’il obéit à ces principes.
"Bpost respecte partiellement ces principes et demande plus que l’article 9 de l’arrêté royal", assure-t-elle.
Qu’est-ce qui pose problème avec la procédure mise en place par Bpost ?
Isabelle Andoulsi détaille 3 faits qui ne sont pas respectés par Bpost.
"D’abord, ce qui pose concrètement problème, c’est que l’arrêté royal dit qu’on peut prendre une copie d’un titre d’identité qui comprend le nom, le prénom et une photo. Et que ces données sont suffisantes pour vérifier l’identité de la personne. Or, Bpost demande la carte d’identité", explique-t-elle.
L’avocate est formelle : lorsqu’un facteur demande la carte d’identité, il est aussi censé demander une alternative. Car la carte d’identité "comporte trop de données pour l’objectif que Bpost se fixe, comme par exemple la date de naissance qui n’est pas nécessaire à la bonne distribution d’un colis", précise Isabelle Andoulsi. Par exemple, une carte de transport ou un permis de conduire seraient suffisants pour que Bpost vérifie à qui il livre le colis puisque ceux-ci comportent le nom, le prénom et une photographie.
Conformément aux principes de base du RGPD, les données personnelles demandées "doivent être strictement nécessaires pour atteindre l’objectif qu’on poursuit". Nous avons donc vérifié sur le terrain en suivant un facteur lors de sa tournée. Et effectivement, une alternative à la carte d'identité n'est pas demandée. Bpost ne respecte donc pas le principe de minimisation des données du RGPD, précise l'avocate.
"La deuxième chose, c’est qu’il n’y a pas d’information claire et précise de ce traitement de données pour les personnes concernées dans la politique de confidentialité de Bpost", pointe l'avocate. En clair, une personne qui se rend sur le site devrait pouvoir trouver cette information. Et notamment, Bpost devrait indiquer comment les données personnelles vont être traitées ainsi que la durée de conservation de ses données par l'entreprise. Le tout pour être transparent envers les clients.
"La dernière chose, c’est que cet arrêté royal, qui est la base légale sur laquelle Bpost agit, est un arrêté tout récent qui date du 14 mars 2022 et qui n’est entré en application que le 28 mars 2022. Et donc, on se demande aussi sur quelle base légale Bpost agissait auparavant", pointe l’avocate.
Le principe de licéité du RGPD n'est donc pas entièrement rempli puisque Bpost utilisait cette procédure bien avant l'entrée en application de l'arrêté royal de mars 2022.
Beaucoup d'entreprises ne respectent pas entièrement le RGPD
La Belgique est le 8e pays qui inflige le plus d'amendes pour non-respect du RGPD depuis son entrée en application en 2018. Au mois de novembre 2021, soit 3 ans après le début de la législation, la Belgique avait infligé plus d'un million d'euros d'amendes.
De mars 2021 à mars 2022, les autorités européennes de protection des données ont infligé 505 amendes pour infraction au Règlement général sur la protection des données (RGPD), comme le relève le cabinet d'avocats international CMS dans son étude annuelle sur le sujet.
