Non, les données à caractère personnel ne peuvent pas transiter par e-mail, car les e-mails ne sont pas un moyen de communication sécurisé.

Le RGPD[1] demande aux éditeurs traitant des données à caractère personnel d’utiliser un système permettant de garantir la confidentialité de ces données :

« le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques […] afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; »

— RGPD, article 32, sécurité du traitement

Le contenu des e-mails n’étant pas chiffré, les e-mails n’offrent donc pas la garantie de confidentialité.

La CNIL[2] a déjà rappelé à de nombreuses reprises que les e-mails ne devaient pas être utilisés pour transmettre des données à caractère personnel, notamment dans sa décision contre Spartoo[3], car la société demandait à ses clients de lui envoyer des informations personnelles par e-mail ; et dans sa décision contre le rectorat de l’académie de Normandie[4], car le rectorat envoyait des données à caractère personnel par e-mail.

« la [CNIL] relève que les données personnelles ont été transmises […] dans des conditions non sécurisées, à savoir par l’envoi d’un fichier Excel en pièce jointe non chiffrée d’un courriel. Ces modalités de transmission de données personnelles ne permettent pas de se prémunir contre leur interception par un tiers et, dès lors, présentent un risque d’atteinte à leur intégrité. A cet égard, la [CNIL] recommande, comme précaution élémentaire de sécurité, le chiffrement des données personnelles avant leur enregistrement sur un support physique, ou leur transmission par messagerie électronique »

Pour transmettre des données à caractère personnel, un site Internet sécurisé par HTTPS[5] peut être utilisé ou une application de messagerie utilisant un chiffrement de bout-en-bout.

Notes et références

  1. RGPD : Règlement Général de Protection des Données (Règlement (UE) 2016/679).
  2. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  3. La société Spartoo a été sanctionnée par la CNIL pour avoir notamment demandé à ses clients de lui avoir envoyer des données personnelles par e-mail (source : CNIL, SAN-2020-003, 28 juillet 2020, Spartoo). Voir « SPARTOO.COM sanctionné pour des manquements au RGPD ».
  4. La CNIL a rappelé rectorat de l’académie de Normandie à l’ordre pour avoir notamment communiqué des données personnelles par e-mail. Voir « Le rectorat de l’académie de Normandie rappelée à l’ordre pour avoir divulgué des données personnelles sur des lycéens ».
  5. Le protocole HTTPS permet de sécuriser la communication entre le visiteur et le serveur de l’éditeur. Voir « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS » et « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».