La question de la conservation des copies de passeports des collaborateurs « au cas où » se poserait un besoin d’organiser des voyages d’affaires soulève des enjeux majeurs en matière de protection des données personnelles. Si certaines pratiques semblent ancrées dans les habitudes professionnelles, elles doivent être évaluées à l’aune du Règlement général sur la protection des données (RGPD) et des lignes directrices émises par la Commission nationale de l’informatique et des libertés (CNIL).
Le cadre juridique : entre principes fondamentaux et exceptions encadrées
Le principe de minimisation des données
L’article 5 du RGPD énonce clairement le principe de minimisation, selon lequel les données collectées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». La CNIL rappelle que la conservation de copies de documents d’identité, tels que les passeports, ne peut être justifiée par une simple éventualité. En effet, stocker ces informations « au cas où » contrevient à l’exigence de nécessité spécifique et proportionnalité.
Dans le contexte professionnel, la CNIL a sanctionné des entreprises pour collecte excessive de données lors de recrutements, exigeant une suppression immédiate des informations non essentielles.
Les exceptions légales et contractuelles
Certains secteurs, comme le secteur bancaire, bénéficient de dérogations précises. Par exemple, les établissements financiers doivent conserver une copie des pièces d’identité pendant cinq ans dans le cadre de la lutte contre le blanchiment d’argent. De même, les employeurs ont l’obligation de vérifier et conserver les titres de séjour des salariés étrangers, conformément à l’article R.620-3 du Code du travail. Ces exceptions restent toutefois circonscrites à des finalités précises et encadrées par des textes spécifiques.
Les risques liés à une conservation injustifiée
Sanctions administratives et responsabilité pénale
La CNIL peut infliger des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial d’une entreprise en cas de violation du RGPD. En mai 2025, une société a ainsi reçu une mise en demeure pour avoir collecté des données personnelles excessives lors de candidatures, incluant des informations sur la situation familiale ou la nationalité. Par ailleurs, en cas de fuite de données due à une sécurité insuffisante, l’entreprise s’expose à des recours en responsabilité civile pour préjudice moral ou matériel.
Usurpation d’identité et fraude documentaire
Les passeports contiennent des informations sensibles : numéro unique, signature, photographie et parfois empreintes biométriques. Une copie non sécurisée peut être exploitée pour des falsifications ou des usurpations d’identité. La CNIL met en garde contre le stockage de données biométriques sans justification impérieuse, rappelant que ces informations font partie des catégories spéciales de données soumises à des protections renforcées.
Alternatives pratiques pour concilier besoins opérationnels et conformité
La vérification ponctuelle sans conservation
Plutôt que de conserver une copie systématique, il est recommandé de demander aux collaborateurs de présenter leur passeport au moment de la réservation des voyages. Cette pratique respecte le principe de minimisation dynamique, où les données ne sont utilisées que lors du besoin immédiat. Les informations critiques (numéro, date d’expiration) peuvent être notées temporairement, sous réserve d’une suppression après utilisation.
L’anonymisation partielle des données
Si une trace administrative est nécessaire (par exemple pour justifier d’une vérification auprès d’une autorité), seules les informations essentielles doivent être conservées. La CNIL préconise de limiter l’enregistrement au numéro du passeport, à sa date d’expiration et à l’autorité émettrice, en excluant les éléments biométriques ou la photographie. Cette approche réduit les risques tout en répondant aux obligations de transparence.
L’utilisation de coffres-forts électroniques sécurisés
Pour les situations où la conservation s’avère indispensable (par exemple pour des collaborateurs voyageant fréquemment), des solutions technologiques conformes au RGPD existent. Le chiffrement des données, l’authentification à double facteur et l’audit régulier des accès sont des mesures incontournables. La CNIL recommande notamment des outils comme VeraCrypt ou des plateformes certifiées HDS (Hébergeur de données de santé) pour les données sensibles.
Études de cas : entre bonnes pratiques et erreurs fréquentes
Le secteur du voyage d’affaires
Une entreprise française a été sanctionnée en 2024 pour avoir stocké les copies des passeports de 500 collaborateurs dans un dossier cloud non protégé. La CNIL a relevé l’absence de finalité claire et de politique de suppression automatique, exigeant la destruction des données sous 30 jours. À l’inverse, une autre structure a mis en place un système de demande ponctuelle via une interface sécurisée, générant un token unique pour chaque réservation. Cette méthode a été saluée comme conforme lors d’un audit.
La gestion des salariés étrangers
Dans le cas des travailleurs étrangers, la conservation du titre de séjour est obligatoire, mais celle du passeport ne l’est pas. La préfecture de Seine-Maritime précise que seules les références du titre de séjour (type, numéro, durée de validité) doivent être annexées au registre du personnel, sans copie complète. Cette distinction est cruciale pour éviter les confusions entre documents justificatifs et pièces d’identité.
Recommandations pour une politique de conformité robuste
Élaborer un registre des traitements
Conformément à l’article 30 du RGPD, chaque entreprise doit tenir un registre détaillant les finalités, catégories de données et durées de conservation. Pour les passeports, une entrée spécifique devrait préciser :
- La finalité exacte (ex. : réservation de billets d’avion) ;
- La base légale (consentement explicite ou obligation contractuelle) ;
- La durée maximale de conservation (alignée sur les besoins opérationnels).
Sensibiliser les équipes et auditer les processus
Des formations régulières sur la protection des données et les bonnes pratiques documentaires sont essentielles. La CNIL propose des guides thématiques, notamment sur la gestion des tiers autorisés et la sécurisation des transmissions. Par ailleurs, des audits biannuels permettent de vérifier l’effacement effectif des données obsolètes.
Mettre en œuvre des mesures techniques adaptées
L’utilisation de logiciels de gestion des voyages intégrant des fonctionnalités RGPD (comme la pseudonymisation automatique) limite les risques. Par exemple, certains outils remplacent le numéro de passeport par une référence interne après la confirmation du vol, supprimant les données originales.
Alors ? Peut-on conserver une copie des passeports ?
La réponse à la question initiale est sans équivoque : non, il n’est pas licite de conserver des copies de passeports « au cas où ». Cette pratique, contraire au principe de minimisation, expose les entreprises à des sanctions et compromet la confiance des collaborateurs. Les alternatives existantes telles que les vérifications ponctuelles, l'anonymisation partielle, des outils sécurisés permettent de concilier impératifs opérationnels et conformité juridique. Dans un paysage réglementaire de plus en plus strict, l’adoption d’une politique proactive de gestion des données personnelles s’impose comme un impératif stratégique.
« La sécurité des données n’est pas une option, mais une responsabilité partagée », rappelle la CNIL dans son guide sur la protection des tiers autorisés. En intégrant cette philosophie, les organisations transforment une contrainte réglementaire en levier de performance et d’éthique professionnelle.
Une question sur la conservation des passeports ?
Notre équipe chez Inkivari est à votre disposition pour toute interrogation concernant la gestion des données personnelles.
Par mail
En soumettant ce formulaire, j’accepte que les informations saisies soient exploitées par Inkivari SARL aux fins de gestion de réponse à votre demande. Pour en savoir plus sur la gestion de vos données à caractère personnel et sur vos droits, consultez notre politique de confidentialité