Non, les données à caractère personnel ne peuvent pas transitées par e-mail, car les e-mails ne sont pas un moyen de communication sécurisé.

Le RGPD1 impose aux éditeurs traitant des données à caractère personnel d’utiliser un système permettant de garantir la confidentialité de ces données :

« le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques […] afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; »

— Article 32 du RGPD, Sécurité du traitement.

Le contenu des e-mails n’étant pas chiffré, les e-mails peuvent être lus par le fournisseur et les autres intermédiaires qui acheminent les messages. Les e-mails n’offrent donc pas la garantie de confidentialité.

La CNIL2 a déjà condamné le société Spartoo3 pour avoir demandé à ses clients de lui envoyer un justificatif de domicile par e-mail et a rappelé à la société que les e-mails n’étaient pas un moyen de communication sécurisé.

Pour transmettre des données à caractère personnel, un site Internet sécurisé par HTTPS4 peut être utilisé, ou une application de messagerie utilisant un chiffrement de bout-en-bout.

Notes et références

  1. RGPD : Règlement Général de Protection des Données.
  2. CNIL : Commission Nationale de l’Informatique et des Libertés.
  3. La CNIL a sanctionné la soicété Spartoo pour avoir, notamment, demandé à ses clients de lui envoyer des informations personnelles par e-mail. Voir « Délibération de la CNIL contre la société Spartoo du 28 juillet 2020 (SAN-2020-003) ».
  4. Le protocole HTTPS permet de sécuriser la communication entre le visiteur et le serveur de l’éditeur. Voir « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».