« C'est un risque inutile » : l'AEPD affirme qu'il est interdit de demander une copie d'une carte d'identité pour séjourner dans un établissement d'hébergement.

L'Agence espagnole de protection des données (AEPD) a signalé que les hébergements ne sont pas autorisés à demander une copie de la carte d'identité ou du passeport d'un client, conformément au décret royal 933/2021 ou au nouveau registre des voyageurs, qui établit l'obligation pour le propriétaire de l'activité d'hébergement de collecter certaines données auprès des personnes qui utilisent ses services.

Dans un communiqué, l'agence a justifié cette pratique en arguant qu'elle violerait le principe de minimisation des données et constituerait un traitement « excessif », étant donné que la pièce d'identité complète contient plus de données que ce que requiert la réglementation applicable , comme la photographie, la date d'expiration du document, le document national d'identité (CAN) ou le nom des parents.

De même, l'AEPD a déclaré que la fourniture d'une copie de documents personnels comporte, entre autres, un risque « inutile » de vol d'identité , qui « doit être évité ou, au moins, efficacement atténué ».

En outre, il a souligné que le DNI ne contient pas toutes les informations demandées à l'annexe I du décret royal 933/2021, il ne constitue donc pas, à lui seul, un moyen valable de se conformer à la réglementation susmentionnée.

Concernant la collecte de données requise par le décret royal 933/2021, l'AEPD estime qu'il pourrait être suffisant que les personnes fournissent ou remplissent un formulaire contenant uniquement les données requises aux sections A.3 et B.3 de l'annexe I du décret royal. Cela comprend les données du voyageur telles que le nom, le prénom, le sexe, le numéro de carte d'identité, la date de naissance et le numéro de téléphone portable.

Concernant l'authentification des données collectées via un formulaire, dans le cas d'une collecte en personne, l'AEPD peut simplement avoir besoin de vérifier visuellement que les données fournies correspondent au document d'identification présenté.

En cas de collecte de données en ligne sans assistance physique, cette vérification peut être effectuée à l'aide de mécanismes tels que les certificats numériques , a indiqué l'agence dans le communiqué de presse. « Il est également possible de vérifier que les données et informations fournies correspondent aux données associées au mode de paiement utilisé », a précisé l'agence.

De même, parmi les mesures possibles, des codes de sécurité peuvent être envoyés aux numéros de téléphone ou aux adresses e-mail des invités qui sont tenus de s'identifier comme facteurs d'authentification.