À proprement parler, le Règlement général sur la protection des données (RGPD) ne stipule pas des exigences spécifiques en matière de sécurisation de la messagerie électronique.
Le respect de cette réglementation s’applique à toutes les méthodes utilisées pour collecter, traiter, partager ou stocker les données personnelles des citoyens de l’Union Européenne (UE), et pas seulement au courrier électronique.
Cependant, comme une quantité considérable de données personnelles est communiquée via les emails, il vaut la peine d’examiner les exigences comme si elles s’appliquaient exclusivement à la messagerie électronique.
Il convient également d’examiner les mécanismes disponibles pour aider les entités à se conformer à ces exigences.
Par conséquent, cette introduction aux exigences de l’UE en matière de sécurisation de la messagerie électronique traite certains domaines du RGPD et non du règlement dans son intégralité.
Le texte complet de cette réglementation (UE 2016/679) est disponible sur le site web de la Commission européenne, mais vous pouvez découvrir certaines parties de ce document dans notre dossier.
Guide succinct du Règlement général sur la protection des données (RGPD)
Le 27 avril 2016, le RGDP a été adopté par l’Union européenne. Il a pris effet le 25 mai 2018 et, contrairement à une directive européenne, il n’est pas nécessaire que les États membres adoptent une législation nationale avant qu’il ne devienne une loi.
Dans l’un des plus grands changements du paysage réglementaire de la législation sur la protection des données, le RGPD s’applique à toutes les entités qui ont accès aux données personnelles des citoyens de l’UE, indépendamment de leur localisation physique dans le monde.
L’objectif du RGPD est de donner aux citoyens de l’UE un plus grand contrôle sur leurs données personnelles et d’accroître la sécurité de leurs données personnelles lorsqu’elles sont en possession d’autres personnes.
Pour atteindre cet objectif, le règlement précise comment les données personnelles des citoyens de l’UE peuvent être collectées, traitées, partagées ou stockées.
En ce qui concerne les exigences du RGPD en matière de sécurisation des emails, les principaux domaines à prendre en compte sont la « base légale du traitement », les « droits individuels », la « sécurité des données » et la « preuve de conformité ».
Bien qu’aucun domaine des exigences de conformité du courrier électronique ne soit plus important qu’un autre, vous devriez être capable de prouver que des tentatives ont été faites pour se conformer aux exigences en matière de sécurisation des emails.
Cela pourrait constituer un facteur atténuant si une violation du RGPD se produit ou si une entité échoue à un audit du RGPD.
Avec des pénalités pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel (selon le montant le plus élevé), plus votre entité dispose de preuves de conformité, plus la pénalité qui en résulte sera faible.
Exigences du RGPD en matière de sécurité des emails : la base légale de traitement
Ce domaine des exigences du RGPD en matière de courrier électronique a reçu la plus grande attention en raison de l’impact qu’il aura sur le marketing par email.
Depuis l’introduction de cette réglementation, les entreprises et les organisations qui envoient des communications marketing par courrier électronique (promotions, bulletins d’information, demandes de dons, etc.) doivent obtenir le consentement clair et sans équivoque de la personne à qui elles envoient le message.
Les personnes doivent également recevoir des instructions claires sur la signification de leur consentement et sur la manière dont il peut être retiré.
Une fois le consentement obtenu, il doit y avoir une base légale pour le traitement des données de l’individu. Seule la quantité minimale de données nécessaires pour mener à bien le processus doit être conservée, et les données doivent être supprimées dès qu’elles ne sont plus nécessaires pour leur objectif initial.
Ces informations doivent être mises à la disposition de chaque personne au moment où le consentement est demandé, ainsi que les détails des tiers avec lesquels les données peuvent être partagées.
Cette disposition s’applique non seulement aux activités marketing, mais aussi à toute activité qui implique la collecte, le traitement, le partage ou le stockage de données personnelles, y compris les bases de données des employés.
En effet, les employeurs doivent justifier les informations qu’ils collectent sur leurs employés et expliquer comment elles seront utilisées.
Les employés ont exactement les mêmes droits individuels que les consommateurs pour examiner les données personnelles collectées par leurs employeurs ; pour rectifier les informations incorrectes ou pour demander que les données soient effacées en partie ou en totalité.
Exigences de conformité du RGPD en matière de sécurité des emails : les droits individuels
La section « droits individuels » des exigences de conformité du RGPD en matière de courrier électronique a été dominée par le droit d’oublier ou, officiellement, le droit d’effacement.
En ce qui concerne la messagerie électronique, en particulier le stockage et la conservation des messages, les entités doivent avoir la possibilité d’extraire et d’effacer toutes les données conservées dans leurs bases de données de leur messagerie électronique concernant un individu afin d’être en conformité avec les exigences du RGPD.
Le droit d’être informé : ce droit ne concerne pas seulement la base légale, le minimum requis et la durée de conservation des informations mentionnés ci-dessus. Il donne également aux personnes le droit d’être informées du lieu où leurs données ont été obtenues si cela n’a pas été fait avec leur consentement.
Le droit d’accès : ce droit donne aux individus le droit de demander l’accès à leurs données personnelles et à toute information supplémentaire conservée à leur sujet afin de s’assurer qu’elles sont exactes et utilisées dans le but légal indiqué.
Les données doivent être présentées à l’individu dans un format clair et compréhensible.
Le droit de rectification : les personnes ont le droit de faire rectifier les données à caractère personnel inexactes ou de faire compléter les données incomplètes.
Ce droit doit être accueilli favorablement par les entités, qui ont l’obligation – en vertu du principe d’exactitude du RGPD – de veiller à ce que toute donnée personnelle traitée ou conservée soit à jour.
Le droit d’effacement : Le droit d’être oublié permet aux individus de demander l’effacement de leurs données personnelles des bases de données des entités, mais seulement dans certaines circonstances.
Il est important que les entités soient conscientes de ces circonstances et qu’elles disposent de mécanismes leur permettant de répondre aux demandes.
Le droit de s’opposer ou de limiter le traitement des données : les personnes ont le droit de s’opposer ou de limiter le traitement des données en demandant que leurs données personnelles soient effacées.
Un tel scénario peut exister par exemple si le client d’une banque ne souhaite pas que la banque utilise ses données à des fins de profilage, mais souhaite rester un client de la banque.
Le droit à la portabilité des données : il s’agit du droit d’un individu de demander ses données personnelles dans un format communément utilisé et lisible par une machine afin de les fournir à une autre entité.
Les données originales ne doivent pas nécessairement être effacées, sauf dans le cas d’une demande expresse.
En plus de comprendre les circonstances dans lesquelles les droits individuels s’appliquent et de mettre en œuvre des mécanismes pour faciliter les demandes des individus, les entités doivent élaborer des politiques et des procédures qui traitent de la manière dont les demandes seront transmises et des contrôles qui seront effectués pour s’assurer que les demandes sont authentiques.
Ces tâches – ainsi que celles relatives à la sécurité des données et à la preuve de conformité – doivent être confiées à un délégué à la protection des données, qui peut être un employé ou un service externalisé.
Exigences de conformité du RGPD en matière de sécurité des emails : la sécurité des données
La section 2 du RGPD stipule que les entités doivent protéger les données personnelles contre la destruction accidentelle ou illicite ou la perte accidentelle, et empêcher toute forme de traitement illicite, en particulier toute divulgation, diffusion ou accès non autorisés ou toute modification des données personnelles.
En ce qui concerne les exigences de conformité du RGPD en matière de courrier électronique, cette section est très similaire aux mesures de sécurité des données requises par l’HIPAA, la loi Sarbanes-Oxley et les règles fédérales de procédure civile.
Pour les entités non familières avec ces lois réglementaires, toutes les données personnelles et les informations supplémentaires – qu’elles soient conservées sous forme de courrier électronique ou non – doivent être protégées contre la perte, le vol, la divulgation non autorisée ou l’altération non autorisée.
Afin de se conformer aux exigences du RGPD, les entités devront stocker la correspondance électronique dans un endroit sûr et mettre en œuvre un système de chiffrement – non seulement lorsque les données sont au repos, mais aussi lorsqu’elles sont en transit entre les serveurs, les utilisateurs et les archives.
Pour se conformer aux exigences du RGPD relatives à la modification non autorisée, tout système mis en œuvre pour archiver les emails doit copier exactement chaque message lorsqu’il entre ou quitte le serveur de messagerie de votre organisation.
Pour se conformer au RGPD, les systèmes utilisés pour l’archivage des emails doivent également créer une piste d’audit de l’accès aux données archivées qui enregistre quand l’accès a eu lieu, qui a accédé aux données et quelles activités ont été effectuées.
La piste d’audit doit être indexée et consultable afin d’identifier tout accès non autorisé.
Exigences du RGPD en matière de sécurité des emails : la preuve de conformité
Comme les lois réglementaires mentionnées ci-dessus, les règlements du RGPD exigent non seulement que des mécanismes, des politiques et des procédures appropriés soient mis en place pour protéger l’intégrité des données personnelles des individus.
Il précise également que votre organisation doit prouver qu’elle est conforme aux règlements de cette réglementation.
Pour se conformer au RGPD, le délégué à la protection des données doit consigner chaque évaluation et analyse, ainsi que les conclusions tirées des analyses.
Cette exigence peut prendre beaucoup de temps, mais elle contribuera à réduire la sanction financière imposée par l’autorité nationale de régulation en cas de violation des données personnelles, de plainte d’un individu concernant l’utilisation abusive de ses données personnelles, ou si l’entité échoue à un audit sur d’autres domaines de conformité avec les exigences du RGPD en matière de courrier électronique.
D’autres facteurs peuvent influencer la valeur d’une sanction financière :
- La nature, la gravité et la durée de la violation/plainte/non-conformité
- Le(s) type(s) de données à caractère personnel concerné(s) et les mesures prises pour atténuer les dommages
- Si la cause de l’événement était imprévisible, intentionnelle ou négligente
- Les mesures techniques et organisationnelles mises en œuvre pour prévenir l’événement
- Les violations antérieures, les plaintes et les cas de non-respect et les amendes pour de tels événements
- La notification en temps utile d’une infraction et la coopération ultérieure avec l’autorité de régulation.
Protéger plus que des données avec une solution de filtrage des emails
Le courrier électronique est le point d’entrée numéro un des malwares, des ransomwares et des attaques de phishing qui finissent par entraîner une violation et/ou la divulgation non autorisée de données personnelles.
Ce point d’entrée peut être fermé aux cybercriminels grâce à la mise en place d’une solution de filtrage du courrier électronique qui comprend des mécanismes efficaces pour identifier les spams.
La mise en œuvre d’une solution de filtrage des emails efficace permet non seulement de protéger les données, mais aussi de protéger le réseau de votre organisation contre les menaces véhiculées par le courrier électronique.
Pour être efficace, un filtre de courrier électronique doit :
- Atteindre un taux de détection du spam supérieur à 99,9 %
- Inclure un logiciel antivirus
- Permettre d’effectuer des tests HELO sur le courrier électronique entrant afin d’empêcher l’usurpation d’adresse électronique.
L’usurpation d’adresse électronique consiste à falsifier un en-tête d’un email pour qu’il semble provenir de quelqu’un ou d’un endroit légitime.
C’est une tactique de plus en plus utilisée par les cybercriminels, car les utilisateurs finaux sont plus susceptibles d’ouvrir un courrier électronique s’ils pensent qu’il provient d’une source légitime.
Les tests HELO sont souvent appelés déploiements DMARC (Domain-based Messaging, Authentication, Reporting and Conformance), et sont historiquement utilisés par les grandes entreprises et les organisations du secteur public en raison de la pression qu’ils peuvent exercer sur les serveurs de messagerie.
Toutefois, avec l’apparition de solutions de filtrage du courrier électronique basées dans le cloud, les petites entités peuvent également profiter de cette mesure de sécurité pour mieux protéger leurs données personnelles et pour se conformer aux exigences du RGPD en matière de courrier électronique.
Archivage sécurisé des emails pour la conformité aux exigences du RGPD
L’archivage sécurisé des emails pour la conformité au RGPD présente les multiples avantages.
Il permet de :
- Protéger les messages contre la destruction accidentelle ou illégale ou la perte accidentelle
- Aider les organisations à prévenir la divulgation non autorisée ou l’altération non autorisée des données
- Fournir un moyen qui leur permettent d’extraire rapidement des données personnelles lorsqu’elles en font la demande.
Dans la plupart des cas, les entités disposent d’un mois pour se conformer aux demandes d’accès et d’effacement des données à caractère personnel.
Ce délai peut s’avérer insuffisant pour répondre à une demande si une entité doit effectuer de nombreuses sauvegardes de sa base de données afin de récupérer les informations importantes.
Toutes les méthodes d’archivage sécurisé des courriers électroniques ne conviennent pas à toutes les entités.
Les grandes entreprises ayant un volume important de trafic d’emails peuvent trouver difficile ou coûteux d’allouer un espace de stockage suffisant pour archiver chaque courrier électronique sur site.
En pratique, chaque email devrait être archivé, car il peut contenir des métadonnées qui peuvent révéler des données personnelles sur l’expéditeur, comme son adresse IP.
Les meilleures solutions pour l’archivage sécurisé des emails en vue de la conformité avec le RGPD sont les solutions basées dans le cloud. Celles-ci présentent l’avantage d’être rapides à mettre en place, faciles à gérer et infiniment évolutives.
Il faut toutefois que le fournisseur de services d’archivage dans le cloud soit en mesure de démontrer un niveau de sécurité et d’accessibilité conforme aux exigences du RGPD.
L’archivage sécurisé du courrier électronique dans le cloud peut faire gagner du temps et de l’argent à votre organisation, réduire la charge sur le serveur de messagerie (en particulier lorsqu’une solution de filtrage du courrier électronique dans le cloud est utilisée) et minimiser les demandes liées au courrier électronique sur les ressources informatiques.
Pour en savoir plus, contactez TitanHQ
Il est important de noter que cette introduction aux exigences de l’UE en matière de courrier électronique et de RGPD n’est qu’une introduction. Il serait impossible d’incorporer les quatre-vingt-dix-neuf articles du RGPD ainsi que leurs implications dans un seul dossier.
En outre, chaque entité concernée par cette réglementation aura probablement des exigences et des niveaux de préparation différents. Malheureusement, il n’existe pas de solution unique pour se conformer au RGPD.
Bien que nous ayons pris des précautions raisonnables pour nous assurer que le contenu de cet article soit exact au moment de sa publication, il ne constitue pas un avis juridique.
Les entités concernées par les exigences du RGPD en matière de courrier électronique doivent s’adresser à leur régulateur national (par exemple le bureau du commissaire à l’information du Royaume-Uni), ou – si elles sont situées en dehors de l’Europe – à un avocat spécialisé dans le domaine.
En ce qui concerne les mécanismes qui peuvent aider les entités à se conformer aux exigences du RGPD en matière de courrier électronique, n’hésitez pas à nous contacter.
Si vous souhaitez obtenir de plus amples informations sur les filtres des emails basés dans le cloud ou sur l’archivage sécurisé de la messagerie électronique basé dans le cloud pour se conformer au RGPD, nos techniciens de vente seront heureux de répondre à vos questions et vous offriront la possibilité de faire un essai gratuit de nos solutions afin que vous puissiez les évaluer dans votre propre environnement.