Non, les données à caractère personnel ne peuvent être envoyées par e-mail, sauf si ces données ont été préalablement chiffrées.

En l’absence de chiffrement, la confidentialité des e-mails n’est pas garantie, car le contenu des e-mails transitent sur Internet, en clair, jusqu’au destinataire. Les fournisseurs de messagerie et les intermédiaires techniques acheminant les messages peuvent donc intercepter les e-mails et lire leur contenu, tout comme des éventuels attaquants qui écouteraient les communications.

« Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. […]
[Toutes] les données envoyées par courriel […] sont par conséquent vulnérables. Il s’agit donc de procéder à leur chiffrement systématique avant de les adresser à un correspondant. »

En envoyant des données personnelles par e-mail, cela crée donc non seulement un préjudice à la personne dont les données se rapportent, mais cela enfreint également le RGPD[2], qui demande de garantir la confidentialité des données.

« Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite […], à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) »

— RGPD, article 5-1-f, principes relatifs au traitement des données à caractère personnel

Les e-mails ne doivent, par conséquent, pas contenir de données à caractère personnel, sauf si ces données ont été chiffrées.

La CNIL[3], autorité française sur la protection des données, a déjà rappelé à de nombreuses reprises que les e-mails ne devaient pas être utilisés pour transmettre des données à caractère personnel, notamment :

  • au vendeur Spartoo, car la société demandait à ses clients de lui envoyer une copie de leur carte bancaire par e-mail[4] ;
  • au rectorat de l’académie de Normandie, car le rectorat avait envoyé des données personnelles sur les lycéens par e-mail[5].

« la [CNIL] relève que les données personnelles ont été transmises […] dans des conditions non sécurisées, à savoir par l’envoi d’un fichier Excel en pièce jointe non chiffrée d’un courriel. Ces modalités de transmission de données personnelles ne permettent pas de se prémunir contre leur interception par un tiers et, dès lors, présentent un risque d’atteinte à leur intégrité. A cet égard, la [CNIL] recommande, comme précaution élémentaire de sécurité, le chiffrement des données personnelles avant leur enregistrement sur un support physique, ou leur transmission par messagerie électronique »

Pour transmettre des données à caractère personnel, un site Internet sécurisé par HTTPS[6] peut être utilisé ou une application de messagerie utilisant un chiffrement de bout-en-bout.

Notes et références

  1. ANSSI : Agence Nationale de la Sécurité des Systèmes d’Information (ssi.gouv.fr).
  2. RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
  3. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  4. La société Spartoo a été sanctionnée par la CNIL pour avoir notamment demandé à ses clients de lui envoyer des données personnelles par e-mail (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO.COM sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité ».
  5. La CNIL a rappelé à l’ordre le rectorat de l’académie de Normandie pour avoir notamment communiqué des données personnelles par e-mail (source : CNIL, SAN-2020-006, 3 septembre 2020, rectorat de l’académie de Normandie). Voir « Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens ».
  6. Le protocole HTTPS permet de sécuriser la communication entre le visiteur et le serveur de l’éditeur. Voir « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».