La personne concernée peut-elle délier le responsable de traitement de son obligation de sécurité?
Une comparaison avec un sujet proche, celui du secret professionnel, devrait conduire à une réponse négative (Crim., 8 avril 1998, n° 97-83656).
La CADA, dans un avis un chouïa plus récent, avait rappelé que le choix du patient de recevoir par email son dossier médical n’exonérait pas l’hôpital de ses obligations légales en matière de confidentialité (CADA, 27 juillet 2013, CHU Bordeaux, avis n° 20131540). Elle soulignait alors que le CHU pouvait chiffrer le contenu du message et envoyer séparément le mot de passe.
Il y a quelque semaine, l’autorité de protection des données fédérale allemande a contesté la mise en oeuvre d’un tel dispositif (SG Hamburg, 30 juin 2023 , n° S 39 AS 517/23). La personne concernée n’aurait pas été en mesure, avec son équipement informatique adapté à son handicap visuel. Elle a alors conclu que la personne pouvait délier le responsable de traitement de son obligation de sécurité. Trois conditions étaient posées:
- la demande de la personne doit être spécialement motivée ;
- la sécurité ne doit pas être totalement écartée : elle peut être abaissée, en considération des motifs de la demande ;
- la mesure doit être exceptionnelle : elle ne peut pas être généralisée.
Face à une telle situation, le responsable de traitement devrait également – et surtout – documenter la recherche d’une solution alternative, permettant de garantir un niveau adéquat de sécurité.