E-mail

Protection des données

Sommaire

Informations

Avis publiés par le PPDT

2015.08.21_Sécurité de la circulation des e-mails (2015.1175)
2014.11.28_Gestion des boîtes e-mails des collaborateurs absents provisoirement ou définitivement (2014.0702)
20014.11.07_Accès à la boîte e-mail d'une personne décédée (2014.0845, 2014.0874)

Prises de position sommaires du PPDT

2024 - 2019 - 2018 - 2017 - 2016

Le transfert de la boîte e-mail d'une personne changeant de service est autorisé uniquement si son contenu a été préalablement nettoyé des données personnelles liées aux dossiers du premier service, qui ne peuvent pas être traitées par le second (dossier 2024.5344).
L’envoi de données protégées, soit par la CPDT-JUNE, soit par le secret de fonction ne peut transiter par e-mail que si la sécurité de la transmission, mais également de la réception est assurée.
Au niveau de la transmission, la sécurité est de mieux en mieux garantie. Par contre, au niveau de la réception, se pose la question de savoir si le consentement des destinataires suffit pour leur adresser un courrier potentiellement lisible par des tiers. L’art. 25 al. 1 let. b permet effectivement de communiquer des données personnelles à des tiers, si la personne concernée y a consenti. Cependant, il s’agit d’obtenir un consentement totalement libre et parfaitement éclairé.
En d’autres termes, les assurés doivent non seulement pouvoir librement choisir entre la conservation de la situation actuelle, sans être prétérités, et le nouveau canal proposé. Le cas échéant, ils doivent être rendus très, très attentifs au fait que selon leur fournisseur de boîte e-mail (@outlook.com, @hotmail.com, @gmail.com, …), la confidentialité ne sera pas garantie. Les boîtes assurant la confidentialité ne sont pas majoritaires (dossier 2024.5139).
Pour publier sur internet la photo ou/et le nom des employés, il est nécessaire d'obtenir préalablement leur consentement et que la publication soit nécessaire à l'accomplissement des tâches de l'entité (dossier 2019.2762).
Conformément à plusieurs règles de la protection des données, il n'est pas autorisé de transférer les e-mails professionnels contenant des données personnelles sur une messagerie privée, excepté si cette dernière offre le même degré de sécurité et de confidentialité que la professionnelle. Il est vivement conseillé aux responsables d'entités d'intégrer ce passage dans leurs directives informatique : « Il est interdit à l’utilisateur de procéder à la redirection automatique des messages émis ou reçus vers un compte de messagerie personnelle » (dossier 2018.2462).
Lors d'envois d'e-mail à des tiers, les entités doivent impérativement veiller à inscrire les adresses dans le champ Cci (copie carbone invisible) et non pas Cc (dossier 2017.2121).
Les entités soumises à la CPDT-JUNE ne peuvent adresser des e-mails sur la boîte privée de leurs collaborateurs que si le transfert est sécurisé et qu'elle offre les mêmes garanties de confidentialité et de sécurité que la boîte professionnelle. Elles ne doivent donc pas envoyer de courriel à des adresses, telles que @gmail.com, @outlook.com (dossier 2016.1507).
Pour les demandes par l’intermédiaire de Gmail ou autres services similaires, il faut être très prudent. L’article 18 CPDT-JUNE exige le respect de la finalité d’un traitement. Or, lorsque le législateur a permis l’accès aux nom, prénom, adresse et date de naissance, sur demande ponctuelle (art. 25 al. 2 CPDT-JUNE), il n’avait pas à l’esprit que ces informations pourraient également contribuer à alimenter des services de Big Data. Par conséquent, il faut éviter de répondre via Gmail ou de services similaires, même si on ne maîtrise pas l’utilisation qu’en fera par la suite le destinataire (dossier 2016.1355).