J’ai eu une très longue conversation avec un client sur les échanges e-mails d’informations en conformité avec le RGPD. Je souhaite cette semaine partager avec vous le contenu de cette discution. Voici la première partie de notre échange.
Nous allons passer en revue beaucoup des activités internet auxquelles toutes les entreprises PME/TPE, et même solo sont confrontée.
Lorsque je parle de poste, mobile, etc. Je pense à votre ordinateur fixe, votre ordinateur portable, votre téléphone portable, votre tablette, votre montre connectée, etc.
Le RGPD est valable pour tous, que vous soyez sur Windows, Mac ou Linux.
Email – Lecture
Il existe 2 cas distinct pour la lecture des emails.
- Client Web ou OWA
- Logiciel installé ou client lourd, installer sur le poste, mobile.
Client Web
Si vous utilisez les services de Gmail, Outlook.com, Yahoo, vous échange sont sécurisé via le protocole HTTPS, mais vous n’êtes pas du tout conforme RGPD. Mais ces solutions sont pour un usage personnel et non pas professionnel (c’est écrit dans les conditions générales). Ne pas confondre les adresses email @gmail.com personnel et le service professionnel G Suite (ex Google Apps) qui utilise aussi le client Gmail.
Et légitiment, je me pose la même question pour les boites email @orange.fr, @wanadoo.fr (oui, cela existe encore), @sfr.fr, @free.fr, etc. Pour l’instant, je n’ai pas eu la réponse à cette question.
Si vous utilisez un service web dans votre entreprise du type Outlook Web Acces, vous devez veiller à ce que la connexion soit réalisée en HTTPS, idem pour des solutions type Mdaemon.
Si vous utiliser des solutions Open Source de web mail, vous devez aussi vérifier que la connexion se réalise en HTTPS. Si vous utilisez G Suite, rien à faire, vous êtes conforme.
Client lourd ou installé sur le poste
Si vous utilisez un serveur Exchange, vous devez vérifier que la connexion depuis l’extérieur de l’entreprise passe par un chiffrement de type SSL/TLS.
Si vous utilisez les services d’un hébergeur, vous devez poser les questions suivantes à votre prestataire, dans cet ordre :
- Est ce que l’on utilise les protocols POP3 ou IMAP ?
- Est-il possible d’activer la solution SSL ou TLS pour passer en POP3S ou IMAPS ?
- Pouvez-vous réaliser rapidement la modification ?
Si la réponse est non sur la 2e ou 3e question, vous devez envisager de changer de prestataire très rapidement parce qu’il ne vous offre pas de solution d’échange sécurisé.
Email – Envoi
Une fois les paramètres de lecture validée, vous êtes prêt à gérer les problématiques liées à l’envoi. A la différence de la lecture, le problème de l’envoi est surtout un changement sur la manière de faire. Et comme tous les changements, c’est souvent plus compliqué.
Partie vérification technique
Comme précédemment, si vous utilisez un client lourd, vous devez poser les questions suivantes :
- est-il possible d’activer la solution SSL ou TLS pour passer en SMTPs ?
- Pouvez-vous réaliser rapidement la modification ?
Nouvel usage à développer
Malgré les systèmes mis en place, vous ne pouvez pas avoir l’assurance que lors de son transport votre email restera confidentiel. Aussi, vous ne devez pas inclure de données personnelles dans votre email (l’objet et le corps). De même pour la pièce jointe. Vous devez vous assurer avant d’envoyer un email que la pièce jointe ne comporte pas de données personnelles (liste de téléphoness directse en BtoB, un email collectif sans masquer les emails destinataire, etc).
Par exemple Gmail, vous avertit lors de l’envoi d’un message
Finalement, comment envoyer des données personnelles dans un document ?
Vous devez vous assurer que lors de l’envoi que les informations, et tout le long du transfert, le contenu soit protégé ou crypté. Par email, c’est impossible d’avoir la garantie.
La bonne solution est de partager un accès au fichier via un système de partage de fichier sécurisé, ainsi dans votre email un simple lien sera présent. Lorsque la personne souhaitera accéder aux données, elle utilisera le lien, ainsi la transmission de données sera cryptée. Vous pouvez aussi encore renforcer la sécurité en exigeant un mot de passe de connexion.
Si vous utilisez les services de G Suite (ex Google Apps), vous êtes parfaitement dans le règlement RGPD. De même que pour les services de OneDrive de Microsoft, mais pour l’instant, Dropbox est en train de finaliser sa conformité RGPD. Si vous utilisez des solutions Open Source comme OwnCloud, vous devez vous assurer d’avoir mis en place le service HTTPS sur votre service d’échange, entre autre.
Logiciel de facturation
Pour l’instant, il semble que le G29 (ensemble des CNIL européenne) ne se soit pas prononcé sur ce point précis. Mais dans le cadre de l’application strict du RGPD une facture en BtoC contient des données personnelles : adresse, adresse e-mail, etc.
Si votre boutique en ligne, e-commerce, envoie des factures directement aux clients, BtoC, vous ne pourriez plus utiliser cette méthode. La facture comporte des informations personnelles, et donc il faudra que la facture soit accessible via un portail ou un lien https dans votre email. J’ai moi aussi horreur de site (orange, sfr, edf, etc) ou il faut aller télécharger sa facture, quelle perte de temps.
Si vous avez un ERP en entreprise, vous devez aussi vous assurer que l’envoi d’information soit conforme au RGPD. Si votre logiciel envoi directement les emails, il doit obligatoirement passer en mode SMTPs ou SMTP over SSL/TLS, c’est le minimum.
Il vous faudra engager des discutions avec l’éditeur du logiciel pour que cette fonctionnalité soit disponible. Si vous utilisez votre logiciel de messagerie pour envoyer vos messages, retour à la première partie de ce billet.
Finalement
La sécurisation des échanges est simple à mettre en place, juste quelques réglages, mais c’est surtout l’usage, l’habitude qu’il faut changer.
À venir
- Mon site web et RGPD dans 20 jours le 29 mars, en conférence live.
- Sécurisation des échanges d’email
[…] Et de plus, cette méthode est obligatoire pour la conformité des e-mails avec le RGPD. […]