La télécopie n'est pas conforme à la protection des données
De nombreuses entreprises et institutions utilisent encore la télécopie pour transmettre des informations. Dans ce contexte, des données à caractère personnel sont presque toujours en jeu : factures, bons de livraison, fiches de paie, documents contractuels, résultats (médicaux), dossiers de patients, ...
Mais le fax garantit-il vraiment les garanties exigées par la législation sur la protection des données ?
Si ce n'est pas le cas, les responsables peuvent se voir infliger de lourdes amendes et des actions en dommages et intérêts.
Développement technique
Pendant longtemps, la télécopie a été considérée comme une méthode de transmission très sûre. On utilisait une ligne téléphonique exclusive, ce qui garantissait une grande sécurité. Mais ce n'est plus le cas aujourd'hui : au lieu de passer par une ligne exclusive avec un cryptage de bout en bout, une télécopie est aujourd'hui envoyée par paquets individuels sur Internet. De plus, il n'est plus possible de supposer que le destinataire utilise également un télécopieur réel qui garantirait la sécurité correspondante. Au lieu de cela, il est aujourd'hui courant de convertir automatiquement une télécopie entrante en un e-mail qui est ensuite transféré vers la boîte aux lettres électronique correspondante.
Alternatives
Il faut donc trouver une alternative au fax. Dans ce cas, il y a les e-mails cryptés, les solutions de cloud ou le courrier classique. Mais dans le premier cas, il faut faire attention à certains points.
E-mail crypté
Les e-mails doivent impérativement être cryptés. Sinon, ils peuvent être consultés de la même manière que les cartes postales. La BDSG recommande certes un cryptage (et le RGPD n'apporte pas de grandes nouveautés à cet égard), mais on sait qu'il existe ici deux possibilités : Le cryptage du contenu et le cryptage du transport.
Cryptage du contenu et du transport
Le cryptage du contenu (également connu sous le nom de cryptage de bout en bout) crypte, comme son nom l'indique, le contenu de l'e-mail. Seules les métadonnées restent lisibles.
En revanche, dans le cas du cryptage de transport, seul le transport est crypté, tandis que l'e-mail n'est pas crypté, ni chez l'expéditeur ni chez le destinataire. Le cryptage du transport est dans tous les cas nécessaire pour protéger les données, mais il ne remplace en aucun cas le cryptage du contenu.
Mise en œuvre correcte
Il est important que le cryptage soit toujours effectué correctement. Enfin, l'obligation de rendre des comptes visée à l'article 5 II du RGPD concerne également le cryptage. Si une "violation de données" se produit, toutes les personnes concernées doivent être informées le plus rapidement possible. Cela nuit considérablement à la réputation du responsable.
Il existe différentes possibilités pour un cryptage efficace. Il est recommandé de recourir à des solutions standard telles que PGP, RMS ou le cryptage TLS.
Il est important de veiller à une configuration correcte. En raison de la configuration complexe en amont, cette solution n'est généralement pas réalisable pour le trafic B2C, car il s'agit ici de partenaires de communication spontanés et changeants. Dans ce cas, il faut plutôt se fier à une procédure basée sur un mot de passe.
Si une entreprise met en place un cryptage, il faut veiller à ce que la procédure soit compatible avec tous les clients courants. Il doit par exemple être possible pour les employés d'envoyer des e-mails cryptés depuis leur téléphone portable. Il faut également veiller à ce que les e-mails automatisés soient également cryptés.
Solutions en nuage
On peut également imaginer un échange de données via des solutions en nuage. Mais celui-ci doit également être sécurisé par un cryptage approprié.
Ce qui pose problème dans une solution en nuage, c'est que le fournisseur de services pourrait en principe avoir accès aux données, car celles-ci y sont généralement disponibles sous forme non cryptée. Dans ce cas, un cryptage de bout en bout s'impose tant que le processus commercial sous-jacent le permet.
La condition préalable à cette solution est donc toujours, outre le cryptage, un fournisseur d'accès digne de confiance.
Catégories particulières de données à caractère personnel
Le RGPD classe certaines données à caractère personnel dans une "catégorie particulière". Celles-ci sont énumérées à l'article 9 I du RGPD. Outre les convictions philosophiques, l'orientation sexuelle et l'appartenance syndicale, il s'agit principalement de données génétiques et biométriques, ainsi que de données relatives à la santé des personnes physiques. Dans la pratique, dans le secteur médical, celles-ci sont justement très souvent transmises par télécopie d'un cabinet médical à un autre ou à un hôpital.
Lors du traitement de ces données, dont la transmission fait partie, il convient avant tout de respecter l'article 22 de la BDSG (qui tient compte des dispositions de l'article 9 II, points b, g et i du RGPD), qui prescrit à cet effet des "mesures appropriées et spécifiques pour sauvegarder les intérêts de la personne concernée". Cela constitue une obligation légale.
La transmission de telles données par télécopie n'est toutefois pas autorisée en raison des modifications techniques expliquées. C'est ce qu'a également précisé Imke Sommer, commissaire à la protection des données et à la liberté d'information du Land de Brême.
Ici aussi, il faut recourir aux alternatives mentionnées ci-dessus. Mais il faudra encore attendre quelques années avant qu'un changement (technique) ne se produise dans ce domaine.
Conclusion
Chaque solution comporte de nombreux pièges techniques et juridiques en matière de protection des données. Plus les données traitées ou transmises sont nombreuses et de catégorie particulière, plus les risques encourus sont importants en raison de la complexité. Un conseil spécialisé et adapté au cas par cas devient alors indispensable.