Envoy­er de don­nées per­son­nelles par e‑mail

Les e‑mails font aujour­d’hui par­tie du quo­ti­di­en. Beau­coup con­ti­en­nent des don­nées per­son­nelles, sou­vent même des don­nées sen­si­bles. En règle générale, les e‑mails sont trans­mis non cryp­tés. L’en­voi non cryp­té d’un e‑mail est toute­fois moins sûr que l’en­voi d’une carte postale, parce que.. :

• les cour­riels peu­vent être inter­cep­tés, lus ou mod­i­fiés avec des con­nais­sances tech­niques limitées ;
• les e‑mails peu­vent être facile­ment recher­chés à l’aide de mots-clés
• les four­nisseurs d’ac­cès à Inter­net basés en Suisse sont tenus de con­serv­er les e‑mails pen­dant six mois et de les com­mu­ni­quer aux autorités si nécessaire.

dis­po­si­tions de la loi sur la pro­tec­tion des don­nées (nDSG).

Il est impor­tant de savoir s’il s’ag­it de don­nées per­son­nelles “ordi­naires”, de don­nées per­son­nelles sen­si­bles ou de pro­fils de la per­son­nal­ité. L’ex­pédi­teur est respon­s­able du traite­ment des don­nées per­son­nelles con­for­mé­ment à la pro­tec­tion des don­nées et du respect des dis­po­si­tions rel­a­tives à la pro­tec­tion des don­nées et doit en apporter la preuve. Il est tenu de pren­dre toutes les mesures néces­saires pour pro­téger les don­nées con­tre la perte, le vol et la prise de con­nais­sance ou le traite­ment non autorisé. Lors de l’en­voi de don­nées per­son­nelles dans des domaines sen­si­bles tels que la san­té, il s’ag­it dans tous les cas de don­nées per­son­nelles sen­si­bles, car le sim­ple fait qu’une per­son­ne soit client(e)/patient(e) auprès du ser­vice con­cerné est par­ti­c­ulière­ment digne de protection.

Les principes suiv­ants s’ap­pliquent à l’u­til­i­sa­tion du cour­ri­er électronique

• Utilis­er le moins de don­nées per­son­nelles pos­si­ble. (économie de données).
• Le respon­s­able du traite­ment des don­nées est respon­s­able du traite­ment con­forme à la loi, au but et à la pro­por­tion­nal­ité (p. ex. autori­sa­tion d’ac­cès, mise à jour ou effacement).

Étant don­né que les erreurs d’a­chem­ine­ment des e‑mails représen­tent un risque con­sid­érable, les adress­es doivent être choisies avec soin. Il con­vient d’éviter autant que pos­si­ble les automa­tismes ou les fonc­tions de “con­fort”.

• Aucune don­née ou pro­fil per­son­nel sen­si­ble ne doit être traité ou enreg­istré sur des appareils privés.
• Tout ce qui est tech­nique­ment pos­si­ble n’est pas for­cé­ment autorisé.
• Les e‑mails ne doivent pas con­tenir d’in­for­ma­tions sur les mots de passe, les comptes, les cartes de crédit ou d’autres don­nées d’ac­cès telles que les iden­ti­fi­ants d’utilisateur.
• Il ne faut pas dis­pers­er de grandes quan­tités de données.
• Ne sélec­tion­ner et n’u­tilis­er que des dis­trib­u­teurs connus

Les e‑mails des per­son­nes con­cernées sont générale­ment autorisés. Si vous recevez un e‑mail d’une per­son­ne, vous pou­vez compter sur son con­sen­te­ment tacite et répon­dre égale­ment par e‑mail. Les répons­es qui con­ti­en­nent des don­nées per­son­nelles sen­si­bles con­stituent une excep­tion. Dans ce cas, il est recom­mandé de procéder à un cryptage ou autre.

Alter­na­tives aux e‑mails non cryptés

• Stock­age sur un serveur de don­nées, par exem­ple Bro­ker­Web ou Brief­But­ler (par un lien dans le message).
• Cryptage au niveau des documents
• Util­i­sa­tion d’un ser­vice de mes­sagerie cryp­té, par exem­ple Seppmail

Veuillez not­er que l’u­til­i­sa­tion des médias soci­aux et des mes­sageries instan­ta­nées, par ex. What­sapp ou SMS pour la trans­mis­sion de don­nées per­son­nelles doit être évitée. Il est recom­mandé d’u­tilis­er la voie postale, en par­ti­c­uli­er pour les don­nées très sensibles.