Le commissaire à la protection des données de Hesse, Alexander Roßnagel, appelle à dire adieu au fax, qui est actuellement encore largement utilisé par les autorités, les tribunaux, les avocats et dans le secteur de la santé. En raison de divers changements techniques dans le monde de la communication, le contrôleur classe la transmission par fax « comme un moyen de communication non sécurisé ». Il conseille donc que « dans l’intérêt de la sécurité des données et dans le contexte de la numérisation croissante », d’autres méthodes soient examinées et mises en œuvre en temps utile.

« Fondamentalement, l’envoi de télécopies présente des risques comparables, comme ceux qui existent lors de l’envoi de messages électroniques non cryptés », écrit Roßnagel dans une note datée de mardi. La transmission de données personnelles par ce moyen est donc « lourde de risques de perte de confidentialité ». Les informations personnelles nécessitant une protection particulière ne devraient donc « en principe pas être transmises par télécopie si aucune mesure de protection supplémentaire n’a été mise en œuvre par les expéditeurs et les destinataires ».

Transmission de données

La communication entre les télécopieurs était à l’origine basée sur l’établissement d’une connexion par commutation de canal ou de ligne, explique le responsable de l’autorité. « L’expéditeur et le destinataire – identifiés par leurs numéros de fax respectifs – étaient les deux terminaux entre lesquels une connexion directe était établie. Toutefois, un défaut majeur a toujours été « que l’expéditeur ne dispose généralement d’aucune information sur le côté du destinataire ». Par exemple, on pouvait se demander qui avait accès à un appareil de réception.

Avec le triomphe de l’internet, les données à transmettre seraient réparties en paquets individuels via la norme TCP/IP et envoyées « via une multitude de connexions entre plusieurs points de médiation entre les points finaux », explique encore Roßnagel. Les connexions utilisées ne sont plus réservées aux deux points d’extrémité. Il est donc concevable « que les points intermédiaires concernés soient répartis dans le monde entier et soient exploités par une grande variété d’acteurs étatiques ou privés ». En principe, ceux-ci auraient la possibilité « d’accéder aux paquets qu’ils médiatisent ».

Moyens de communication sécurisés

De nouveaux problèmes surgissent, qui ne peuvent être résolus par un coup de téléphone et une demande de se mettre à côté du fax », souligne l’avocat. Selon le règlement général sur la protection des données (RGPD), les données personnelles doivent être traitées de manière à garantir une sécurité adéquate. Les responsables du traitement devront prendre les mesures techniques et organisationnelles appropriées pour garantir un niveau de protection adéquat, compte tenu de « l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que de la probabilité et de la gravité variables du risque pour les droits et libertés des personnes physiques ».

Comme moyens de communication alternatifs et plus sûrs, Roßnagel recommande notamment l’envoi de courriers électroniques à contenu crypté (PGP ou S/MIME), le peu utilisé DE-Mail et les solutions de portail « où les partenaires de communication peuvent récupérer et fournir des messages et des contenus sous forme cryptée ». Seraient également éligibles les « services de communication numérique spécifiques à un secteur » tels que la « communication dans le secteur médical » (KIM) ou l' »infrastructure des transactions juridiques électroniques ». Cependant, la boîte aux lettres électronique spéciale de l’avocat (beA) qu’il contient est controversée car elle ne comporte pas de cryptage de bout en bout.

Pour donner le bon exemple, l’autorité de protection des données de la Hesse a récemment cessé d’indiquer les numéros de fax sur sa page d’accueil, son papier à lettres, ses cartes de visite et dans ses courriels. Selon M. Roßnagel, il s’agit d' »attirer l’attention sur les problèmes techniques, mais pour l’instant sans prendre de mesures de surveillance ».

(bme)