CCPD : pro­tec­tion mini­ma­le des don­nées per­son­nel­les lors de la récep­ti­on et de l’en­voi de courriels

FR 
FR  DE  EN 

de

sur le site

Bran­ches

Auto­ri­té

Lois

, ,

Thè­mes

Ven­te à emporter (AI)
  • Le cryp­ta­ge de trans­port (TLS selon TR-02102 – 2) est con­sidé­ré com­me la nor­me mini­ma­le et doit être ren­du pos­si­ble pour les e‑mails ciblés reçus.
  • Les respons­ables dev­rai­ent exami­ner les signa­tures DKIM pour véri­fier les domain­es de l’ex­pé­di­teur et l’au­then­ti­ci­té des e‑mails.
  • En cas de ris­ques par­ti­cu­liers ou éle­vés, des mesu­res plus stric­tes sont obli­ga­toires, notam­ment le cryp­ta­ge de bout en bout et le cryp­ta­ge de trans­port qualifié.
  • Les déten­teurs de secrets pro­fes­si­on­nels et les four­nis­seurs de ser­vices de mes­sa­ge­rie publics doi­vent garan­tir des rest­ric­tions d’ac­cès et des direc­ti­ves BSI (TR-03108 – 1).

La con­fé­rence alle­man­de sur la pro­tec­tion des don­nées (DSK) a publié une Ori­en­ta­ti­on sur les mesu­res de pro­tec­tion des don­nées à carac­tère per­son­nel lors de la trans­mis­si­on par e‑mail (datée du 13 mars 2020). Elle expli­que Mesu­res de pro­tec­tion au sens des artic­les 5(1)(f), 25 et 32 du RGPD, que les respons­ables du trai­te­ment, mais aus­si les sous-trai­tants et les “four­nis­seurs publics de ser­vices de cour­ri­er élec­tro­ni­que” doi­vent respec­ter lors de l’en­voi de leurs mes­sa­ges. Envoi d’e-mails par voie de trans­port à remplir.

Les con­seils sont don­nés sous réser­ve d’e­xi­gen­ces dif­fé­ren­tes en fonc­tion des ris­ques du cas d’e­spè­ce et ne con­cer­nent que le cryp­ta­ge du trans­port et non la pro­tec­tion des don­nées dor­man­tes. Dans cet­te mesu­re, elles s’en­ten­dent tou­te­fois com­me obli­ga­toire.

En résu­mé, la CCPD est d’a­vis que

  • Cryp­ta­ge du trans­port con­sti­tue une nor­me mini­ma­le. Tou­te per­son­ne qui reçoit (coll­ec­te, c’est-à-dire par exemp­le via une invi­ta­ti­on sur un site web ou dans le cad­re d’un accord) des e‑mails de maniè­re ciblée doit donc cré­er les con­di­ti­ons d’un cryp­ta­ge de trans­port (au mini­mum, la mise en place de Con­ne­xi­ons TLS con­for­mé­ment à la direc­ti­ve tech­ni­que TR-02102 – 2 “Pro­cé­dés cryp­to­gra­phi­ques : Uti­li­sa­ti­on de la sécu­ri­té de la couche de trans­port (TLS)”. de l’Of­fice fédé­ral alle­mand de la sécu­ri­té des tech­no­lo­gies de l’in­for­ma­ti­on (BSI)) :

    L’uti­li­sa­ti­on du cryp­ta­ge de trans­port off­re une pro­tec­tion de base et con­sti­tue une mesu­re mini­ma­le pour répond­re aux exi­gen­ces léga­les. Dans les situa­tions de trai­te­ment pré­sen­tant des ris­ques nor­maux, le cryp­ta­ge du trans­port per­met déjà de rédui­re suf­fi­sam­ment les risques.

  • Les respons­ables qui reçoi­vent des e‑mails ciblés “dev­rai­ent” en out­re Signa­tures DKIM véri­fierIl est pos­si­ble de véri­fier, à l’ai­de d’u­ne clé publi­que du domaine de l’ex­pé­di­teur, si l’e-mail pro­vi­ent effec­ti­ve­ment d’un cer­tain domaine.
  • Sur ris­ques par­ti­cu­liers cer­tai­nes exi­gen­ces plus stric­tes s’appliquent.
  • Bem Envoi d’e-mails les respons­ables dev­rai­ent se réfé­rer à la TR 03108 – 1 (“Trans­port sécu­ri­sé des e‑mails”) et doi­vent garan­tir un cryp­ta­ge de trans­port obli­ga­toire. En cas de ris­ques éle­vés, les respons­ables doi­vent pro­cé­der “régu­liè­re­ment” à un cryp­ta­ge de bout en bout et à un cryp­ta­ge de trans­port qualifié.
  • Celui qui a don­né à un Secret pro­fes­si­on­nel selon § 203 du code pénal alle­mand doit veil­ler à ce que seuls les ser­vices auto­ri­sés pui­s­sent décryp­ter les messages.
  • Les four­nis­seurs publics de ser­vices de cour­ri­er élec­tro­ni­que doi­vent respec­ter les exi­gen­ces de la direc­ti­ve tech­ni­que TR 03108 – 1 de l’Of­fice fédé­ral alle­mand de la sécu­ri­té dans la tech­no­lo­gie de l’in­for­ma­ti­on (BSI).

Le gui­de d’o­ri­en­ta­ti­on con­ti­ent des indi­ca­ti­ons plus détail­lées sur les dif­fér­ents points et procédures.