Non, des données à caractère personnel ne peuvent être envoyées par e-mail, sauf si ces données ont été préalablement chiffrées.

En l’absence de chiffrement, la confidentialité des e-mails n’est pas garantie, car le contenu des e-mails transitent sur Internet, en clair, jusqu’au destinataire. Les fournisseurs de messagerie et les intermédiaires techniques acheminant les messages peuvent donc intercepter les e-mails et lire leur contenu, tout comme des éventuels attaquants qui écouteraient les communications.

« Internet est un réseau sur lequel il est quasi impossible d’obtenir des garanties sur le trajet que vont emprunter les données que l’on y envoie. Il est donc tout à fait possible qu’un attaquant se trouve sur le trajet de données transitant entre deux correspondants. […]
[Toutes] les données envoyées par courriel […] sont par conséquent vulnérables. Il s’agit donc de procéder à leur chiffrement systématique avant de les adresser à un correspondant. »

En envoyant des données personnelles par e-mail, cela crée donc non seulement un préjudice à la personne dont les données se rapportent, mais cela enfreint également le RGPD, qui demande de garantir la confidentialité des données.

« Les données à caractère personnel doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite […], à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) »

— RGPD, article 5-1-f

Les e-mails ne doivent, par conséquent, pas contenir de données à caractère personnel, sauf si ces données ont été chiffrées.

La CNIL, autorité française sur la protection des données, a déjà rappelé à de nombreuses reprises que les e-mails ne devaient pas être utilisés pour transmettre des données à caractère personnel, notamment :

  • au vendeur SPARTOO, car la société demandait à ses clients d’envoyer une copie de leur carte bancaire par e-mail[1] ;
  • à l’hôtelier ACCOR, car la société demandait à ses clients d’envoyer une copie de leur carte d’identité par e-mail, lorsque leur compte était suspendu suite à une connexion frauduleuse[2] ;
  • au courtier en assurances ACTIVE ASSURANCE, car les mots de passe étaient envoyés aux clients « en clair » par e-mail[3] ;
  • au rectorat de l’académie de Normandie, car le rectorat avait envoyé des données personnelles sur les lycéens par e-mail[4] :

« la [CNIL] relève que les données personnelles ont été transmises […] dans des conditions non sécurisées, à savoir par l’envoi d’un fichier Excel en pièce jointe non chiffrée d’un courriel. Ces modalités de transmission de données personnelles ne permettent pas de se prémunir contre leur interception par un tiers et, dès lors, présentent un risque d’atteinte à leur intégrité. A cet égard, la [CNIL] recommande, comme précaution élémentaire de sécurité, le chiffrement des données personnelles avant leur enregistrement sur un support physique, ou leur transmission par messagerie électronique »

Pour transmettre des données à caractère personnel, un site Internet sécurisé par HTTPS[5] peut être utilisé ou une application de messagerie utilisant un chiffrement de bout-en-bout.

Notes et références

  1. La société Spartoo a été sanctionnée par la CNIL pour avoir notamment demandé à ses clients de lui envoyer des données personnelles par e-mail (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO sanctionné suite à une conservation trop importante de données personnelles, un manque d’informations et des faiblesses de sécurité ».
  2. Le groupe ACCOR a été sanctionné par la CNIL, notamment car une copie de la carte d’identité devait être envoyée par les clients lorque leur compte était suspendu suite à une connexion frauduleurse (source : CNIL, SAN-2022-017, 3 août 2022, ACCOR). Voir « Le groupe hôtelier ACCOR sanctionné pour l’envoi d’e-mails de prospection sans consentement, un manque d’information et des manquements de sécurité ».
  3. La société ACTIVE ASSURANCE a été sanctionnée par la CNIL pour avoir notamment envoyer les mots de passe des clients par e-mail (source : CNIL, SAN-2019-007, 18 juillet 2019, Active Assurance). Voir « Le courtier en assurances ACTIVE ASSURANCES sanctionné pour n’avoir pas sécurisé l’accès aux contrats de ses clients sur son site ACTIVEASSURANCES.FR ».
  4. La CNIL a rappelé à l’ordre le rectorat de l’académie de Normandie pour avoir notamment communiqué des données personnelles par e-mail (source : CNIL, SAN-2020-006, 3 septembre 2020, rectorat de l’académie de Normandie). Voir « Le rectorat de l’académie de Normandie rappelé à l’ordre pour avoir divulgué des données personnelles sur des lycéens ».
  5. Le protocole HTTPS permet de sécuriser la communication entre le visiteur et le serveur de l’éditeur. Voir « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».

Sigles et acronymes

  • CNIL : Commission Nationale de l'Informatique et des Libertés
  • RGPD : Règlement Général sur la Protection des Données
  • ANSSI : Agence Nationale de la Sécurité des Systèmes d'Information