Un juge allemand a sanctionné un responsable du traitement qui invoquait des mesures de sécurité pour faire échec à une demande d’accessibilité.
Une personne aveugle, bénéficiaire d’une allocation auprès de l’organisme de « pôle emploi » allemand, a demandé à ce dernier de ne plus lui transmettre les différentes communications et formulaires par courrier postal, mais par courrier électronique ou, à défaut, sur un support de données numérique.
Effectivement, en raison de sa déficience visuelle, la personne concernée était difficilement capable de lire des documents papiers, mais disposait d’un logiciel de lecture lui permettant de lire les documents numériques au format word ou pdf.
Accusant réception de la demande de la personne concernée, l’organisme n’y a pas fait droit en considérant que la communication de tels documents sous forme électronique est contraire à l’obligation de sécurité qui pèse sur le responsable du traitement, conformément à l’article 32 du RGPD.
Plus précisément, selon l’organisme :
- l’utilisation de supports de données (clé usb ou CD) n’est pas autorisée au sein de l’organisme, et ;
- « la communication par courriel n’est possible, pour des raisons de sécurité, que si les courriels peuvent être envoyés cryptés ». Or, l’envoi de tels courriels (i) nécessitait que l’individu (i) possède un très haut niveau de savoir faire technique, ce qu’il n’avait pas et (ii) supposait qu’il paye un certificat permettant le déchiffrement.
La personne concernée a donc saisi les tribunaux allemands qui ont considéré que, si l’article 32 du RGPD oblige le responsable du traitement à mettre en œuvre toutes les mesures appropriées afin de garantir un niveau de sécurité adapté, cet article « n’exige pas à tout prix la sécurité des données », mais, au contraire, suppose de « trouver un équilibre ».
Plus encore, le tribunal a considéré que les raisons invoquées par l’organisme pour refuser ladite transmission n’étaient pas valables puisque :
- elles ne prennent pas en compte la situation particulière de la personne concernée ;
- la personne concernée a consenti au traitement, et ;
- l’article 32 n’oblige pas la transmission de courriels cryptés, ou plus spécifiquement, l’organisme ne démontrait pas avoir procédé à « l’évaluation du niveau de sécurité approprié » et justifié en quoi une telle mesure de sécurité était indispensable.
Compte tenu de ce qui précède, le tribunal a considéré le refus du responsable du traitement comme illégal et a indiqué qu’un prestataire de services est tenu de transmettre à une personne handicapée, qui en fait la demande, les documents par voie électronique.
Source : ici