DPC (autorité irlandaise)
Le 31 janvier 2024, à la suite d’une enquête concernant une plainte reçue contre Airbnb Ireland UC (Airbnb), la Commission de la protection des données irlandaise (la CPD ou DPC en anglais) a adopté une décision qu’elle vient de publier sur son site.
La DPC avait ouvert cette enquête le 8 décembre 2022, à la suite d’une plainte selon laquelle Airbnb avait illégalement demandé une copie de la pièce d’identité du plaignant afin de vérifier son identité et d’effectuer une demande d’effacement lorsqu’il avait décidé de mettre fin à la procédure de création de compte. A la suite de cette enquête, qui a notamment pris du temps au regard du caractère transfrontalier du traitement (ce qui entraine l’activation de mécanismes de coopération entre autorités), la DPC a estimé qu’Airbnb n’avait pas valablement fondé le traitement des données d’identification du plaignant. En outre, la DPC a estimé que dans la situation particulière qui s’est présentée dans le cas de ce plaignant, l’exigence d’Airbnb que le plaignant vérifie son identité en soumettant une copie de sa pièce d’identité afin de faire une demande d’effacement constituait une violation du principe de minimisation des données, conformément à l’article 5, paragraphe 1, point c), du GDPR.
[Ajout contextuel Portail RGPD: La DPC a, dans cette affaire, été clémente, puisqu’Airbnb n’a écopé que d’une simple réprimande, justifiée par le fait qu’il a rapidement été mis fin à cette pratique. Il est notable qu’il s’agit de la 7è décision en la matière à l’encontre d’Airbnb publiée sur le site de la DPC, montrant que cette pratique a été mise en œuvre (au moins) entre Mars 2021 et Décembre 2022, dates entre lesquelles les plaintes ont été transmises à la DPC – alors mêmes que la V1 des lignes directrices sur le droit d’accès du CEPD écartaient la pratique dès janvier 2022 dans une version certes non définitive ouverte à consultation publique, notamment en ce qu’elle ne permettait pas un niveau d’authentification satisfaisant dans un contexte numérique (cf. points 73 et suivants).]
Disponible (en anglais) sur: dataprotection.ie
Cette courte introduction est susceptible d’avoir été traduite de manière automatisée.