Cette autorité de contrôle impose-t-elle des exigences irréalistes ?

Par Bruno RASLE • 24 février 2024 • LinkedIn

Les violations de données par perte de confidentialité à la suite d’un mauvais usage de la messagerie électronique sont nombreuses. Selon une étude de Ponemon research intitulée « Email Data Loss Prevention : The Rising Need for Behavioral Intelligence », 65 % des incidents ayant l’email comme support auraient pour origine une négligence ou une erreur humaine. Ces événements se partagent entre un envoi à de « mauvais » destinataires et à des diffusions de masse avec les adresses destinataires placées dans le champ CC[i] (Copie Carbone) au lieu du champ CCi (copie cachée ou Copie Carbone invisible – ce que les anglo-saxons appellent Bcc pour Blind carbon copy).

Le présent texte se focalise sur ce dernier scenario (Que celui à qui cela n'est jamais arrivé lève le doigt !). Nombreux sont les responsables de traitement tentés de détourner le regard et d’oublier de notifier une telle violation à la CNIL (les données violées sont ici les adresses électroniques qui sont affichées aux autres destinataires). C’est oublier qu’il suffit que l’un des nombreux destinataires se plaigne auprès de l'autorité de contrôle pour que cela finisse mal. On rappellera que la notification d'une violation de données (à moins qu’elle ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, Cf. article 33.1 RGPD) est une obligation de résultat (et non de moyen) pour un responsable de traitement. Et, comme cela est déjà arrivé à l’auteur, il se peut que l’un des destinataires en fasse part ouvertement dans les réseaux sociaux ou communique l’événement à la Presse. Celle-ci publie alors un article mettant en lumière le peu de soin apporté au traitement des données personnelles par votre organisme.

Déjà des sanctions

Rien qu’au niveau de l’ICO (la « CNIL » pour le Royaume-Uni), l’utilisation erronée du champ CC est à l’origine d’un millier de violations notifiées à l’autorité de contrôle entre 2019 et fin 2023. Il n’est donc pas étonnant que l’autorité pour le Royaume-Uni ait déjà sanctionné à plusieurs reprises des responsables de traitement à la suite de telles incidents. Ainsi, en 2017 déjà (donc avant l’entrée en application du RGPD), l’ICO avait imposé une sanction de 200.000 £ à l'enquête indépendante sur les abus sexuels d'enfants (IICSA, pour Independent Inquiry into Child Sexual Abuse) après qu'un membre du personnel a envoyé un courriel à quatre-vingt-dix victimes participant à l'enquête en révélant les adresses électroniques de tous les participants les uns aux autres. Cinquante-deux d’entre elles contenaient le nom complet du participant. Il a été constaté que l'IIICSA n'avait pas fourni à son personnel une formation et des directives appropriées pour éviter un tel incident.

En octobre 2018 (cette fois-ci, au titre du RGPD), l’ICO a infligé une sanction pécuniaire de 10.000 £ à HIV Scotland (une association caritative qui vient en aide aux malades du Sida). Dans ce cas, le message avait été diffusé à cent-cinq destinataires, et soixante-cinq adresses faisaient clairement apparaitre l’identité de la personne. L'ICO remarquait - bien que les adresses électroniques elles-mêmes puissent être considérées comme relativement inoffensives – que les données divulguées pouvaient donner lieu à des suppositions sur le statut sérologique des destinataires. Les contrôles ont révélé un certain nombre de lacunes dans les procédures de l'organisation caritative, notamment une formation inadéquate du personnel. L’autorité a même constaté que, bien que HIV Scotland s'était procuré un nouveau système en juillet 2019 pour permettre l'envoi sécurisé de courriels en nombre, sept mois plus tard (c’est-à-dire au moment de la violation), la migration vers le nouveau dispositif n'était toujours pas finalisée.

Plus récemment (en juin 2022), le Tavistock & Portman NHS Foundation Trust a été condamné à une amende de 78.400 £ après avoir envoyé un courriel à 1.718 patients suivis pour des problèmes de santé mentale en laissant apparaitre les adresses visibles, ce qui signifie que les destinataires pouvaient supposer que les autres personnes étaient des patients de la clinique. Il convient de noter que l'ICO avait l'intention d'infliger une amende pouvant aller jusqu'à 784.000 livres… mais qu'elle divisé par dix ce montant après avoir pris en compte les circonstances de l'infraction et le rôle public de l'établissement.

En Espagne, l'AEPD a sanctionné Vodafone en 2019 à hauteur de 60.000 € pour avoir réalisé une diffusion d'un email à de nombreux clients sans avoir pris soin d'utiliser le champ CCi. L’autorité espagnole avait déjà prononcé des décisions similaires par le passé pour le même motif.

Que devrait faire un DPO à ce sujet ?

Logiquement, un délégué à la protection des données devrait commencer par vérifier si les salariés ont reçu une formation au bon usage de la messagerie électronique et se sont vu préciser des bonnes et mauvaises pratiques – avec un focus particulier quand il s’agit de messages ayant trait à des sujets sensibles. Cet accompagnement ne doit pas être sporadique mais répété. Il doit aussi concerner les nouveaux arrivants. Lorsqu’elle reçoit une notification de violation de ce type, la CNIL pourrait être tentée de demander qu’on lui fournisse des éléments de preuve (support de cette formation, dates à laquelle elle a été dispensée, etc.). Pour rédiger le support de formation, on peut s’inspirer du guide publié en 2023 par l’ICO.

Le DPO peut également suggérer au responsable de traitement (si cela n’a pas déjà été fait) de s’équiper d’une solution de diffusion en masse d’email. Conçues pour assurer une délivrabilité maximale, elles sont souvent proposées sous forme de service (plusieurs acteurs français sont présents sur ce créneau, comme Sarbacane ou ActiveTrail). Le plus dur ensuite est d’amener les salariés à privilégier ce canal à chaque fois que c’est pertinent, au lieu d’utiliser leur messagerie professionnelle.

Pour tenter d’évaluer le risque, un DPO peut aussi demander à l’administrateur technique de lui fournir un extrait des logs du serveur de messagerie. Sur une période donnée (trois mois, par exemple), on cherche alors à dénombrer les emails sortants adressés à un grand nombre de destinataires (par exemple plus de cent), pour ensuite vérifier que les adresses ont bien été placées dans le champ Cci (nul n’est besoin à ce stade de prendre connaissance du contenu des messages, leur objet devant suffire). Reste alors à échanger avec les salariés qui auraient diffusé des emails en masse sans avoir pris cette précaution (Ont-ils bénéficié de la formation évoquée supra ? Pourquoi n’ont-ils pas utilisé un outil ad hoc de diffusion de messages en masse, plus approprié ?). Rappelons que cette démarche constitue un traitement de données à caractère personnel qui doit lui-même être conforme au RGPD.

J’en étais là de mes réflexions quand je suis tombé sur une délibération dans laquelle une autorité se montrait très (trop ?) exigeante envers un responsable de traitement.

Voici le cas en question

Un salarié d'une entreprise [située en Europe mais en dehors de France] diffuse un email à plusieurs centaines de destinataires externes dont les adresses ont été placées dans le champ CC au lieu de l'être dans le champ CCi.

Conformément au RGPD, le responsable de traitement notifie cette violation de données (par perte de confidentialité) à son autorité de contrôle. Comme mesure prise pour qu'un tel incident ne se reproduise pas, il indique avoir fait un rappel formel à la vigilance auprès de l'ensemble des salariés de l'entreprise. Mais l'autorité de contrôle ne s’en satisfait pas et exige en sus la mise en œuvre de quatre mesures techniques pour éviter le renouvellement de la violation :

  • Un message d'alerte doit être clairement affiché à l'émetteur chaque fois qu'un courriel est envoyé à des destinataires extérieurs à l'organisation ;

  • Chaque fois qu'un courriel doit être envoyé « en masse », un message d'information très visible doit apparaitre sur l'écran de l'émetteur et, idéalement, à empêcher l'utilisateur de procéder à l'envoi de la communication à moins qu'une action positive ne soit entreprise, par exemple en invitant l'utilisateur à acquitter le message ;

  • Le champ CC doit être désactivé ou il faut limiter le nombre d'adresses électroniques qu'il peut contenir ;

  • Un délai doit être ajouté avant toute émission d'un message électronique.

Outre le fait que d'autres autorités de contrôle européennes se satisfont pour le moment du rappel à la vigilance (en demandant, tout de même, un élément de preuve formel), j'avoue avoir été très surpris par de telles demandes car je n'avais pas connaissance de ces possibilités dans les systèmes de messagerie les plus répandus. L’autorité de contrôle a-t-elle connaissance de solutions permettant d’implémenter ses exigences… ou bien est-elle éloignée des réalités ? De plus, certaines demandes me semblent contre-productives et devraient générer de la contrainte pour les utilisateurs (notamment les deux dernières). J'ai donc procédé à quelques recherches et échangé avec des experts des systèmes de messagerie.

Commençons par le leader du marché des systèmes de messagerie

Commençons par écarter la fonction « anti-oups » d’Outlook intitulée « Rappel d'email ». Outre le fait que c'est une fonction locale du client de messagerie, elle ne fonctionne que pour les destinataires qui sont sur le même serveur de messagerie. Elle ne présente donc aucun intérêt dans le cas présent.

Concernant Exchange, seule la première exigence peut être respectée, grâce à la fonctionnalité MailTips. Pour cela, le paramètre « MailTipsExternalRecipientsTipsEnabled » doit être positionné à « $True » à l’aide de la commande Set-OrganizationConfig.  Les MailTips sont des informations que le client de messagerie Outlook affiche dans un bandeau au-dessus du message en cours de saisie, pour attirer l'attention ou alerter sur certaines conditions configurables (par exemple, afficher le message "Privilégiez le champ CCi (au lieu de Cc)" si le total des destinataires dépasse 100). Mais il n’y aura ni popup, ni d’obligation de confirmer ou de cliquer quelque part avant d’envoyer le message.  Si le rédacteur de l'email ne prête pas attention au bandeau d’information, il pourra envoyer son message sans avoir lu l'avertissement.

À noter que, de façon similaire, le client de messagerie Thunderbird (proposé par la fondation Mozilla) peut afficher à l'auteur d'un email l'alerte suivante, non contraignante : « The 15 recipients in To and Cc will see each other's adress. You can avoid disclosing recipients by using Bcc instead ». Concernant le champ CC, les experts Exchange contactés doutent qu'il puisse être totalement désactivé. On peut certes le cacher dans Outlook via une clé de registre, mais l’utilisateur peut le ré-afficher s’il le souhaite. On ne peut pas non plus limiter le nombre de destinataires dans le champ CC en particulier : les règles qui permettent cela se déclenchent sur le nombre total de destinataires, que leurs adresses soient dans le champ « To », « CC » ou « CCi » (grâce au paramètre « MaxRecipientEnvelopLimit »). Et Exchange ne permet pas non plus d'ajouter dix minutes (par exemple) avant que tout email soit réellement envoyé par le serveur de messagerie. Si celui-ci peut techniquement envoyer le message, il le fera immédiatement. Et on voit mal l’intérêt d’un tel délai puisque l’émetteur ne pourra pas empêcher l’envoi une fois que l'email sera en file d’attente sur le serveur. De plus, mettre la main sur un administrateur messagerie en quelques minutes pour exiger de lui qu'il supprime les courriels en fil d’attente semble pour le moins difficile.  Personnellement, c’est l’exigence qui me laisse le plus perplexe… Qu’avait en tête l’autorité concernée quand elle l’a formulée ?

Un espoir du côté des solutions alternatives ?

Je me suis alors rapproché de fournisseurs de systèmes de messagerie alternatifs. Selon Florent Manens, dirigeant de Beezim intégrateur de Zimbra, cette solution permet d’afficher sur le client de messagerie une alerte de type « Vous êtes sûr ? » à l'émetteur en fonction d’une règle de contrôle spécifique au seul champ CC. De plus, ce message attend obligatoirement une décision. En sus, si besoin, Zimbra est capable d'empêcher l'émission d'un email qui contiendrait plus de X adresses email dans le champ CC.

Mes recherches m’ont permis ensuite d’échanger avec la société française Secuserve (créée en 2003), qui propose une solution de filtrage avancé des flux de messagerie en mode SaaS (sur une infrastructure souveraine, en région parisienne), e-securemail. L'architecture gateway relais SMTP de ce service permet de ne pas changer de système de messagerie et de couvrir tous les cas d'usage. Moyennant quelques développements, cette solution peut proposer ce qui me semble être la meilleure approche.

Dans cette hypothèse, un salarié de l'organisme peut rédiger un courriel, inscrire dans le champ CC (au lieu de CCi) un grand nombre de destinataires et appuyer sur « Envoyer ». L’email sortant arrive alors au niveau de Secuserve où il est soumis à une batterie de règles d’analyse.

L'une d'entre elles pourrait être « Si le nombre de destinataires figurant dans le champ CC est égal ou supérieur à X, alors 1) retenir l'email ; 2) envoyer la notification suivante à l'auteur du message : « Vous souhaitez diffuser un email à de nombreux destinataires dont vous avez placé les adresses dans le champ CC. Est-ce volontaire ? Ne souhaitez-vous pas plutôt diffuser ce message via l'outil de diffusion en masse ou bien placer les adresses dans le champ CCi (copie cachée) pour éviter une violation de données ? Pour "libérer" tout de même votre message (l'envoyer), cliquez sur 1. Pour annuler votre message, cliquez sur 2." ; 3) envoyer une notification à un Administrateur de messagerie ». Tant que l'émetteur n'a pas pris action, le message ne part pas.

Il serait même possible d’aller plus loin, en demandant au service de déplacer automatiquement les adresses destinataires du champ CC au champ CCi, de libérer le message (c’est-à-dire le diffuser), d’envoyer une notification à l’auteur de l’email pour l’inciter à changer ses habitudes (« Vous venez d'envoyer un email comportant un grand nombre de destinataires dans le champ CC. Pour éviter une violation de données, ces adresses ont été déplacées dans le champ CCi (copie cachée). Lors de diffusion de masse, merci de privilégier l'outil de diffusion ad hoc au lieu de la messagerie électronique traditionnelle »).

À la suite de notre échange, Stéphane Bouché, Président-Fondateur de Secuserve, m’a annoncé avoir décidé d’implémenter ces fonctions sans attendre, avec une disponibilité prévue pour juin 2024 (Les bêta-testeurs sont les bienvenus à partir de mai). Heureux de voir une société française à l’écoute du marché et des besoins.

On voit donc qu’il est techniquement possible d’aller plus loin que le seul rappel à l’ordre auprès des utilisateurs. Si les approches envisagées ne sont pas parfaites (on imagine très bien un utilisateur se bornant à découper son envoi pour tomber en dessous de la limite imposée – sans compter les adresses de groupes qui comptent pour une adresse alors qu’elles « cachent » un grand nombre de personnes), elles permettraient de réduire fortement la survenance d’un type de violations de données trop commun. À titre personnel, une telle solution me parait plus pragmatique que les exigences de l’autorité de contrôle évoquées supra qui me semblent déconnectées de la réalité.

Il existe probablement d’autres acteurs qui, potentiellement, pourraient faire de même avec leur offre de messagerie ou de SEG (pour Secure Email Gateway ou passerelle de messagerie sécurisée). Qu’ils n’hésitent pas à réagir en commentaire de cet article.

Malheureusement, j’ai échoué …

J’aurai bien aimé connaître le fin mot de l’histoire. J'ai donc interrogé le responsable de traitement qui s’est fait tirer les oreilles par son autorité de contrôle locale pour savoir qu’elle est la solution de messagerie qu’il utilise et ce qu'il avait pu mettre en place finalement pour satisfaire sa « CNIL ». Il s'est frileusement borné à me répondre que tout cela était de l'histoire ancienne désormais. On peut le comprendre.

J'ai également interrogé l'autorité de contrôle concernée, lui faisant part de mes étonnements. Elle m'a répondu que « Ces mesures peuvent être mises en œuvre, par exemple, en configurant le service de courrier électronique de l'entreprise, si cela est techniquement possible, ou en intégrant un système DLP (Data Loss Prevention) sur les postes de travail. ». La première partie de la réponse est surprenante, car cela peut supposer un changement de système de messagerie. Et la seconde partie de la réponse m'interpelle également, car les solutions de DLP que je connais ne répondent pas à ces attentes.

Quels enseignements en retirer ?

En tant que DPO, il m’est déjà arrivé de conseiller mes responsables de traitement dans de telles circonstances. Nous nous étions alors « contenté » dans la notification auprès de la CNIL d'évoquer le rappel formel à la vigilance auprès du personnel comme mesure susceptible d'éviter la répétition de l'incident. Je sais désormais qu’il est possible d’aller plus loin (pardon : qu’il faut aller plus loin).

En tant que délégué à la protection des données, la prochaine fois que vous rencontrerez un tel cas, voici ce qui pourrait figurer en tant que mesures correctrices dans la note d’analyse que vous présenterez à votre responsable de traitement afin de l’inviter à notifier la violation à l’autorité de contrôle, comme l’y oblige l’article 33 du RGPD :

  • Dispenser au personnel une sensibilisation visant à une meilleure maîtrise de la messagerie électronique (que chacun se rende bien compte des impacts possibles pour les personnes concernées et pour le responsable de traitement), sans oublier les nouveaux salariés ;

  • Déconseiller (interdire ?) l’utilisation de la messagerie électronique pour réaliser des diffusions de masse, au profit de solutions ad hoc, utilisées dans un environnement encadré et mis en œuvre par du personnel dédié ;

  • Pour Exchange :

    • Mettre en œuvre la fonction MailTips pour qu’un message d’alerte s’affiche en fonction d’une règle prédéfinie - mais pas spécifique au champ CC [mais ça ressemble fort à une mesure cosmétique pour se donner bonne conscience] ;

    • Limiter le nombre total de destinataires externes.

    • Migrer vers une solution alternative ? [Je sais, il faut oser dire cela à votre DSI et à votre responsable de traitement… mais un DPO n’a peur de rien]

  • Pour Zimbra :

    • Afficher sur le client de messagerie une alerte de type « Vous êtes sûr ? » à l'émetteur en fonction d’une règle de contrôle spécifique au seul champ CC (ce message attend obligatoirement une décision) ;

    • Empêcher l'émission d'un email qui contiendrait plus de X adresses email dans le champ CC.

  • Pour Secuserve e-securemail : mettre en œuvre l’une des deux règles décrites supra.

On rappellera qu’il appartient au responsable de traitement de prendre la décision, éclairé par son délégué à la protection des données. Le pire qui puisse donc arriver au DPO, c’est de ne pas voir ses conseils suivis… mais il aura rempli sa mission.

La mesure technique peut aussi trouver sa place au sein d’une analyse d’impact, en face de l’événement redouté « Par inadvertance, l’un de nos salariés diffuse un email auprès d’un grand nombre de personnes concernées ». Un tel scenario devrait se voir affecter d’une note de vraisemblance maximale et d’une note de gravité qui dépend du contenu du message (voir par exemple les cas sanctionnés par l’ICO, qui touchaient le domaine de la santé). Si vous avez la chance de pouvoir intervenir en amont, n’hésitez pas non plus à intégrer cela dans les expressions de besoins et les appels d’offres, en application du principe de Privacy by Design.

Se pose aussi la question de l'harmonisation des décisions des autorités de contrôle. La nôtre pourrait-elle formuler demain les mêmes exigences qui semblent aujourd'hui irréalistes ? La question va être prochainement posée à la CNIL.

Après m’être livré à cette petite enquête, j'ai enrichi mes prochaines formations « L'informatique appliquée au RGPD », « Réaliser une Analyse d'Impact : de la théorie à la pratique » et « Violations de données : pour ne pas subir » de ces enseignements ;-)

Le métier de DPO est passionnant

Retour à la liste des articles
Anaxia Conseil

Contactez-nous

Pour toute demande, merci d'utiliser notre page de contact

© Anaxia Conseil 2024 - Mentions Légales - Données Personnelles

Adresse

400 Avenue Roumanille
Village Greenside • BP 309
06906 SOPHIA ANTIPOLIS Cedex

Merci !

Votre demande nous a bien été envoyée

Merci !

Votre demande nous a bien été envoyée

Je poursuis ma visite