Le courriel ne « reprend » jamais une copie
Quand vous envoyez la photo de votre passeport par courriel ou par messagerie, vous n'envoyez pas un accès : vous envoyez une copie. Et une copie, par définition, vous échappe.
Elle est dupliquée chez l'expéditeur et le destinataire, sauvegardée, parfois transférée à un tiers, et elle dort dans une boîte de réception ou un téléphone pendant des années. Vous ne savez pas qui la consulte ni combien d'exemplaires circulent — et le bouton « supprimer » de votre côté ne touche pas les copies de l'autre côté. Une fois partie, la copie ne vous appartient plus.
Le vrai risque : le vol d'identité
Réunis, un nom, une date de naissance, un numéro de passeport ou de permis et une photo constituent la matière première du vol d'identité : ouverture de comptes frauduleux, crédits à votre nom, usurpation.
Le danger n'est pas tant la personne qui vous demande la pièce — la demande est souvent légitime. C'est le canal : une copie brute, non protégée, que plus personne ne contrôle, et qu'une boîte courriel piratée ou un téléphone perdu suffit à exposer.
Ce qu'en disent les autorités
Ce constat est partagé par les régulateurs et les ordres professionnels.
- Chambre des notaires du Québec
- Le courriel ordinaire (Gmail, Hotmail, etc.) ne doit jamais servir à transmettre des données sensibles ou confidentielles, comme des images de pièces d'identité ; les documents confidentiels doivent passer par une solution de partage sécurisée.
- Commission d'accès à l'information (Loi 25)
- Conserver une copie d'une pièce d'identité va, dans la majorité des cas, à l'encontre du principe de nécessité : le plus souvent, une vérification suffit, et garder une copie expose la personne au vol d'identité.
- FiligraneFacile (État français)
- L'État offre un service public pour apposer un filigrane sur un document sensible avant de l'envoyer, en y inscrivant le motif, la date et le destinataire, afin d'éviter sa réutilisation frauduleuse.
- Airbnb
- La plateforme indique ne pas partager la pièce d'identité gouvernementale du voyageur avec l'hôte ; quand l'hôte doit l'identifier, c'est au voyageur de la transmettre — souvent par le canal le moins sûr.
Les situations où cela arrive le plus
Le même réflexe risqué revient dans des contextes très différents. Dans chacun, le destinataire qui reçoit la copie en devient responsable et doit, sous la Loi 25 comme sous le RGPD, en limiter la conservation au strict nécessaire.
- Location courte durée
- Un hôte Airbnb, VRBO ou Booking réclame le passeport avant le séjour.
- Avocat, notaire
- Ouverture de dossier, vérification d'identité.
- Employeur, RH
- Embauche, vérification à l'arrivée.
- Propriétaire, agence
- Dossier de location : preuve d'identité et de revenus.
- Banque, services financiers
- Ouverture de compte, conformité (KYC).
Le filigrane aide, mais ne suffit pas
Apposer un filigrane sur sa pièce avant de l'envoyer est un excellent réflexe, recommandé par les autorités : il décourage la réutilisation.
Mais un filigrane reste statique — c'est toujours une copie qui quitte vos mains. Il ne redonne pas ce que le courriel fait perdre : la visibilité (qui l'a ouverte ?), le contrôle (l'effacer partout) et le droit de changer d'avis (révoquer l'accès une fois la démarche terminée).
L'alternative : prêter l'accès, pas donner une copie
La règle change si l'on cesse d'envoyer une copie pour prêter un accès : le document reste chez vous, chiffré, et le destinataire le consulte à l'écran sans jamais en recevoir de fichier. C'est l'approche d'une voûte de partage contrôlé comme Spartadoc, hébergée au Canada et pensée pour la Loi 25.
- Niveau d'accès
- Vous décidez de ce que le destinataire peut voir et faire.
- Filigrane
- Chaque vue porte le nom du destinataire et l'heure, ce qui décourage la rediffusion.
- Traçabilité
- Vous savez qui a ouvert le document, quand, combien de fois.
- Révocation
- Vous coupez l'accès d'un clic : la pièce devient inaccessible partout, immédiatement.