Non, les informations personnelles des clients ne peuvent pas être transmises par e-mail, car les e-mails ne sont pas un moyen de communication sécurisé.

Le RGPD1 impose aux éditeurs d'utiliser un système permettant de garantir la confidentialité des données :

le responsable du traitement et le sous-traitant mettent en oeuvre les mesures techniques [...] afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

— Article 32 du RGPD, Sécurité du traitement.

Le contenu des e-mails n'étant pas chiffré, les e-mails peuvent être lus par le fournisseur et les autres intermédiaires qui acheminent les messages. Les e-mails n'offrent donc pas la garantie de confidentialité.

La CNIL2 a d'ailleurs condamné le site Spartoo3 pour avoir demandé à ses clients de lui envoyer un justificatif de domicile par e-mail et a rappelé à la société que les e-mails n'étaient pas un moyen de communication sécurisé.

Si vous souhaitez demander à vos clients de vous transmettre des données personnelles, vous pouvez mettre à leur disposition un site Internet sécurisé par HTTPS4, ou utiliser une application de messagerie sécurisée.

Notes et références

  1. RGPD : Règlement Général de Protection des Données.
  2. CNIL : Commission Nationale de l'Informatique et des Libertés.
  3. La société Spartoo a été sanctionnée par la CNIL pour avoir demandé à ses clients de lui envoyer des informations personnelles par e-mail (source).
  4. Le fonctionnement du protocole HTTPS est expliqué dans l'article « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et dans la vidéo « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».