Chiffrement des courriels

Une entreprise envoie un décompte d’indemnités journalières de maladie à son fiduciaire sous forme de pièce jointe à un courriel. Inversement, le fiduciaire a une question rapide sur la facture d’un fournisseur de prestations médicales avant de finaliser la déclaration d’impôts. Un simple courriel suffit, mais cela pose un problème en matière de protection des données. Dans les deux cas, des « données particulièrement sensibles » sont transmises. Cette catégorie inclut non seulement des informations relatives à la santé – comme dans les exemples cités –, mais aussi des données sur les convictions religieuses, les antécédents judiciaires, l’appartenance syndicale, l’orientation sexuelle ou encore des données biométriques.

Si de telles données sont envoyées par courriel à des destinataires externes, elles doivent être spécialement protégées. Il existe ici différentes possibilités :
 

• On peut enregistrer le document sur un portail sécurisé et envoyer le lien au destinataire avec un mot de passe.
  Exemple : un médecin télécharge des résultats de laboratoire sur un portail crypté et envoie un lien par courriel au patient. Le patient doit s'authentifier avec un mot de passe distinct pour accéder aux données.
  
   
• On crypte le courriel concerné. Il existe différentes technologies :
  1. Le cryptage de bout en bout, par exemple avec PGP (Pretty Good Privacy) ou S/MIME (Secure/Multipurpose Internet Mail Extensions), exige que l'expéditeur et le destinataire aient tous deux installé le logiciel correspondant. C'est précisément là qu'interviennent des solutions comme le produit suisse SEPPMail : elles permettent d'envoyer des messages cryptés même à des destinataires ne disposant pas de technologie de décryptage. La solution devient ainsi universelle (vous trouvez le produit ici : https://rnitunit.ch/leistungsuebersicht/e-mail-loesungen/e-mail-verschluesselung/)
  2. Celui-ci protège le courriel pendant sa transmission, mais pas sur les serveurs des fournisseurs de messagerie.
   

Les documents peuvent certes être protégés par un mot de passe, par exemple un fichier PDF, mais cette protection n'est pas considérée comme très sûre. Le cryptage des courriels minimise le risque que des données personnelles et d'autres informations sensibles parviennent à des tiers non autorisés.

Les entreprises ont tout intérêt à vérifier quelles données elles envoient par courriel. S'il s'agit de données particulièrement sensibles, elles devraient envisager une solution de chiffrement.

Exemples pratiques :

• Secteur de la santé : Un cabinet médical pourrait utiliser un système de messagerie chiffrée comme HIN (Health Info Net) pour échanger en toute sécurité des données de patients avec des spécialistes.
   
• Secteur financier : Un fiduciaire pourrait recourir à une solution sécurisée de partage de données, telle que SecureSafe, pour transmettre des documents fiscaux à ses clients.
   
• Ressources humaines : Pour l’envoi de fiches de salaire ou de contrats de travail, une entreprise pourrait combiner des fichiers PDF chiffrés avec des liens protégés par mot de passe.

En effet, si une violation de la sécurité des données se produit et que les données tombent entre de mauvaises mains (par exemple à la suite d’un piratage), les conséquences peuvent être très importantes pour l'entreprise ou le responsable et les personnes concernées. Si le risque pour les personnes concernées doit être considéré comme « important », l'incident doit en outre être déclaré sans délai au Préposé fédéral à la protection des données et à la transparence.

Le cryptage des courriels contenant des données personnelles particulièrement sensibles n'est pas seulement une recommandation, mais peut être une nécessité légale selon la situation. Les entreprises devraient établir des directives claires pour le traitement des données sensibles et organiser des formations régulières pour les collaborateurs afin de les sensibiliser à la protection des données et de minimiser les risques juridiques.

Vous ne voulez pas manquer d'articles de blog ? Abonnez-vous à notre blog ici.