TLS est-il suffisant pour chiffrer les e-mails de manière sécurisée et conforme au RGPD ? Beaucoup disent oui, les avocats plutôt ça dépend. Mais pour quoi? Stephan Heimel de SEPPmail apporte un éclairage sur cette question.
Tant les clients finaux que les sociétés de conseil et de mise en œuvre entendent de plus en plus souvent l'affirmation suivante : « TLS (Transport Layer Security) suffit pour communiquer de manière conforme au RGPD. » Derrière cela se cache généralement le désir de communiquer le plus simplement possible via une communication cryptée. emails avec d’autres partenaires de communication. Malheureusement, c’est une conclusion fallacieuse.
C'est ce que dit le RGPD
Afin d’examiner cette évaluation sous un angle juridique, il est recommandé d’examiner de plus près l’article 32 du RGPD « Sécurité du traitement » et le considérant 83 du RGPD.
L'article 32 du RGPD précise que les responsables du traitement des données personnelles doivent veiller à ce que ces données soient protégées contre tout accès non autorisé. Les parties obligées doivent prendre les mesures techniques et organisationnelles appropriées. La pseudonymisation et le cryptage des données sont ici possibles. Le cryptage doit garantir que les données personnelles soient rendues inaccessibles à toutes les personnes qui ne sont pas autorisées à accéder aux données personnelles (voir art. 34, paragraphe 3, lit. a du RGPD). Ici, vous pouvez décider vous-même si TLS est la technologie appropriée dans tous les cas.
Méfiez-vous des réponses générales
D’un point de vue juridique, les déclarations générales constituent rarement une bonne approche. C’est pourquoi la première réponse d’un avocat est généralement : « Cela dépend… ».
En cas de litige, les faits en cause doivent être examinés au cas par cas. Le test peut montrer qu’aucun chiffrement n’était nécessaire, que le chiffrement TLS était suffisant ou que le chiffrement de bout en bout du contenu aurait dû être utilisé en plus du chiffrement de ligne pure.
Une déclaration générale telle que « TLS est suffisant pour une communication conforme au RGPD » doit être abordée avec prudence. Afin de respecter les règles de protection des données, la personne responsable (conformément à l'article 4 numéro 7 du RGPD) reste responsable. Car non seulement le risque lui incombe, mais les conséquences l'affectent également - si nécessaire personnellement. Les sanctions possibles comprennent, entre autres, des recours contre la direction ou des représentants spéciaux en matière de conformité, de protection des données et de sécurité des informations. L'indemnisation des dommages est généralement exigée par le droit civil. Cela inclut également les pertes financières sans limite de responsabilité. Les sanctions prévues par le droit public comprennent des amendes, des peines d'emprisonnement ou des sanctions administratives. Les mesures réglementaires peuvent même conduire à la fermeture de l’entreprise.
L'art de la communication sécurisée par courrier électronique
Compte tenu de ces dangers potentiels, il est crucial de prendre toutes les mesures pratiques possibles pour minimiser les risques et maximiser la sécurité du courrier électronique. En plus du cryptage TLS fréquemment utilisé, diverses autres méthodes de cryptage sont disponibles pour sécuriser les e-mails confidentiels. Cela inclut des technologies telles que S/MIME et PGP, qui assurent un cryptage de bout en bout et garantissent que seul le destinataire autorisé peut décrypter le contenu.
De même, l’utilisation du chiffrement spontané est une option viable pour chiffrer des e-mails ou des messages spécifiques selon les besoins, créant ainsi une couche de sécurité supplémentaire. Toutes ces technologies ont été développées de manière à ne pas nécessairement être construites sur l'infrastructure sous-jacente, mais plutôt à fonctionner indépendamment entre l'émetteur et le récepteur.
Idéalement, ces technologies sont combinées pour que la confidentialité et l’intégrité des communications par courrier électronique ne constituent en aucun cas un motif de violation du RGPD.
Plus sur SEPPmail.de
À propos de SEPPmail
L'entreprise SEPPmail, active au niveau international et dirigée par son propriétaire, basée en Suisse et en Allemagne, est un fabricant dans le domaine de la "messagerie sécurisée". Sa technologie brevetée et maintes fois primée pour le trafic de courrier électronique spontané et sécurisé crypte les messages électroniques et, si vous le souhaitez, leur attribue une signature numérique. Les solutions de messagerie sécurisée sont disponibles dans le monde entier et contribuent durablement à la sécurisation de la communication par courrier électronique.