Sécurité informatique Par le 25/12/2024 08:54

Chiffrez vos données. Qu’elles soient personnelles ou non, traitées à des fins professionnelles ou exclusivement personnelles, peu importe, chiffrez!

Cette règle de bon sens étant posée, retour sur deux solutions à l’extrême l’une de l’autre.

Dans une décision de début 2024, l’autorité de protection des données finlandaise a sanctionné un établissement de santé pour avoir transmis des données de santé par SMS à un patient. Elle y a notamment vu un manquement au RGPD, faute de chiffrement du message (Tietosuojavaltuutetun toimisto, 12 mars 2024, n° TSV/29/2020). La jurisprudence française n’avait pas craint de transposer à ces écrits des règles dégagées pour les emails (tel l’apposition du terme « Personnel » dans le champ objet du message privé envoyé par un salarié depuis un smartphone professionnel: Com., 10 février 2015). Mais si elle n’est pas impossible et surtout pas dénuée de fondement (le protocole SS7 est ainsi considéré comme insécurisé), admettons que la mesure est, en pratique, peu réaliste.

A l’opposé du spectre, une juridiction allemande s’est abstenue de toute critique à l’égard d’un avocat ayant transmis des données sensibles par mail, sans aucun chiffrement (BVwG, 30 septembre 2024, n° W256 2248861-1/8E). Et ce alors même qu’ici, la mesure était d’autant plus réaliste que les données étaient incluses dans un fichier ZIP! A cet égard, si vous avez un doute sur la façon de procéder, la CNIL a mis sur son site un tutoriel pour savoir comment procéder.

Comment interpréter deux décisions en si apparente contradiction sur la question du chiffrement?

La réponse tient vraisemblablement à l’autorité décisionnaire : dans un cas, une APD dont l’appréhension du sujet est sévère, voire rigoriste, dans l’autre une juridiction dont la compréhension des sujet cryptographiques est vraisemblablement inférieure.

Qu’en retenir?

Stratégiquement, qu’un même problème de droit sera appréhendé différemment selon l’autorité, voire la chambre juridictionnelle, devant laquelle il est porté.

Opérationnellement, qu’il vaut mieux oublier l’usage du SMS à des fins professionnels et, surtout…

Que l’e-mail est l’équivalent numérique de la carte postale : évitez donc de transmettre des informations sensibles par ce canal.

Qu’en pensez-vous? Partagez vos avis en commentaires.

Des interrogations quant à la confidentialité de vos échanges ? Besoin d’auditer vos politiques de sécurité ? N’hésitez pas à me contacter.