Recommandations pour la sécurité des envois de documents par E

Recommandations pour la sécurité des
envois de documents par E-mail
Octobre 2005
Éditeur:
AvenirSocial
Professionnels travail social Suisse
Schwarztorstrasse 22, PF/CP 8163
3001 Bern
T. +41 (0) 31 382 28 22
F. +41 (0) 31 382 11 25
[email protected]
www.avenirsocial.ch
Auteur:
Urs Vogel
Sources:
www.edsb.ch; www.datenschutz-zug.ch; www.datenschutz.ch
Janvier 2006
Généralités
Notre travail quotidien inclut aujourd’hui forcément la communication par voie électronique.
Dans le domaine social, les données à transférer sont dans la plupart des cas des données personnelles sensibles, bénéficiant d’une protection particulière (art. 3 let. c LPD:
données sur la santé, la sphère intime, des mesures d’aide sociale). Le choix du transfert
de données par E-mail ou non dépend du degré de confidentialité des informations. Pour
des documents strictement confidentiels (p.ex. rapports d’expertise), il faut préférer l’envoi
par poste ou la remise personnelle à l’envoi par E-mail.
Les informations personnelles dignes de protection ne doivent en aucun cas être
1
envoyées par E-mail sans être cryptées , car le transfert d’E-mails non cryptés est
moins confidentiel que l’envoi d’une simple carte postale! Les messages électroniques et
leurs annexes peuvent être lus par des tiers à de nombreux endroits sur le chemin qu’ils
empruntent; ils peuvent également être copiés ou modifiés. En outre, du fait de
l’automatisation des logiciels de courrier électronique, il existe un risque que certains Emails soient envoyés à des adresses erronées, par inadvertance.
Des précautions sont donc nécessaires pour que la communication par E-mail respecte
les exigences fixées par la loi en matière de protection des données.
1
C’est-à-dire protégées par un mot de passe
AvenirSocial _ Recommandations pour la sécurité des envois de documents par E-mail _ 01.02.2006
3
Mesures générales de précaution
Il faut distinguer deux éléments: le message et les documents annexés. Le texte du
message, la ligne d’objet et le nom du document ne peuvent contenir aucune information
ou nom qui permettrait de se faire une idée de la personne concernée (p.ex. nom
d’institution, initiales, date de naissance, etc.) Les documents annexés, qui contiennent les
informations concrètes (en format Word, Excel, Access, PowerPoint ou autres) doivent
être cryptés.
Envoi d’E-mails via l’intranet
De nombreuses grandes organisations, institutions officielles, communes ou autres
administrations disposent d’un intranet (système d’échange de données utilisant un
serveur interne). Face à des tiers extérieurs, l’intranet peut être considéré comme sûr du
point de vue de la protection légale des données, si les mesures nécessaires sont prises.
Cela signifie que le trafic postal électronique est protégé. Néanmoins, dans le domaine
social, les données et les personnes doivent être particulièrement bien protégées; il faut
donc tout de même crypter les documents contenant des données sensibles. En effet, il
est possible que, au sein même de l’organisation, un courrier soit mal adressé, ou soit lu
par une personne non-autorisée.
Envoi d’E-mails via internet
Lorsqu’on utilise internet (système d’échange de données utilisant un serveur externe), les
documents contenant des informations personnelles dignes de protection doivent être
cryptés dans tous les cas avant l’envoi. Même des dates de rendez-vous, de brefs
messages qui contiennent des noms propres ou des noms de lieux doivent être cryptés, à
moins qu’il ne s’agisse d’informations générales accessibles à tout le monde (heures
d’ouverture, absences pour cause de vacances, etc.).
AvenirSocial _ Recommandations pour la sécurité des envois de documents par E-mail _ 01.02.2006
4
Cryptage sûr: possibilités
1
Outre les logiciels de cryptage complet (tels que PGP ), des solutions simples existent
pour crypter des documents de manière sûre, et répondre ainsi aux exigences légales. Les
divers documents envoyés en tant qu’annexes à un E-mail peuvent être protégés par un
mot de passe. Lors du choix d’un mot de passe, il faut tenir compte des éléments suivants:
•
•
•
le mot de passe doit être composé d’au moins 8 caractères
il faut utiliser des lettres minuscules et majuscules, mélangées à des chiffres
le mot de passe ne doit pas être un simple mot, même dans une langue étrangère
Voici ce qu’on peut conseiller: utilisez les premières lettres de mots d’une phrase, avec
des noms propres. Ainsi, vous pouvez y placer facilement des majuscules, des minuscules
et des chiffres. Et la phrase pourra vous servir d’aide-mémoire. Exemple: Sab3te2c (Sylvie
2
a bu 3 thés et 2 cafés) .
Bien entendu, le mot de passe devra être communiqué de manière sûre au destinataire.
Cela peut être fait de vive voix, par téléphone ou par lettre, mais en aucun cas par E-mail.
De suite, nous présentons deux possibilités de cryptage. Dans le premier cas, le cryptage
s’applique à des documents Office (Word, Excel, Access, PowerPoint, etc.). Dans le
deuxième cas, il sera nécessaire d’installer le logiciel supplémentaire WinZip (une version
3
de test gratuite est disponible ).
1
2
3
http://www.pgpi.org
https://passwortcheck.datenschutz.ch/check.php?lang=de
http://www.winzip.com/downwz.htm
AvenirSocial _ Recommandations pour la sécurité des envois de documents par E-mail _ 01.02.2006
5
Cryptage d’un document Office
Créez un document ou ouvrez un document existant. Effectuez le cryptage de la manière
suivante:
1. Sélectionnez Fichier > Enregistrer sous…> Outils > Options de sécurité…>
2. > Sécurité/ Mot de passe pour la lecture: saisissez un mot de passe sûr >
AvenirSocial _ Recommandations pour la sécurité des envois de documents par E-mail _ 01.02.2006
6
3. > Options avancées… > sélectionnez RC4, Microsoft Strong Cryptographic Provider,
Choisir une longueur de clé: 128 > ok >
4. > cliquez sur ok > ok > enregistrer.
Le document est maintenant crypté et peut être annexé au message E-mail. N’oubliez pas
que ni le nom du fichier ni la référence à l’objet du message ne doivent contenir de
données relatives à la personne concernée.
AvenirSocial _ Recommandations pour la sécurité des envois de documents par E-mail _ 01.02.2006
7
Cryptage d’autres types de documents ou de plusieurs documents
simultanément
1
Le logiciel WinZip offre la possibilité de crypter de manière sûre des documents de divers
formats ou plusieurs documents simultanément. Avec la version gratuite de WinZip, procédez de la manière suivante:
1. Explorateur: sélectionnez le fichier (ou les fichiers) > cliquez avec la touche droite de la
souris > WinZip > Zip and E-Mail Plus… >
2. > saisissez un nom de document neutre > cochez la case d’encryptage > OK >
1
Une version gratuite peut être obtenue à l’adresse suivante: http://www.winzip.de/downautowz.htm
AvenirSocial _ Recommandations pour la sécurité des envois de documents par E-mail _ 01.02.2006
8
3. > saisissez un mot de passe sûr (2x) > cochez la case de cryptage : 256-bits >
4. > Le logiciel de messagerie s’ouvre > rédigez l’E-mail > envoyez le message.
Ces recommandations ont été adoptées par le comité suisse d’AvenirSocial le 3 septembre 2005.
AvenirSocial _ Recommandations pour la sécurité des envois de documents par E-mail _ 01.02.2006
9