L'impact du RGPD sur la collecte de données DMARC

• 24 septembre 2018

Nouvelles de l'écosystème Perspectives en matière de sécurité

Lorsque l'UE a adopté le Règlement Général sur la Protection des Données (RGPD), cela a déclenché un examen mondial des différents types de données, y compris les données contenues dans les rapports agrégés (RUA) et d'échec (RUF) DMARC. Une analyse juridique d'ECO, le groupe de l'industrie Internet allemande, détaille tous les aspects des données DMARC et les préoccupations liées au RGPD, tant pour les générateurs que pour les consommateurs de rapports.

Évaluation des rapports agrégés

L'analyse établit une distinction entre les rapports agrégés et les rapports d'échec dans son examen. Les rapports agrégés sont envoyés quotidiennement par un service de messagerie au propriétaire d'un domaine, fournissant des informations sur les messages prétendant provenir de ce domaine, qu'ils aient passé les vérifications SPF et DKIM et comment ces messages ont été traités selon les règles DMARC. Afin de distinguer les expéditeurs, les adresses IP des serveurs de messagerie émetteurs sont incluses dans les rapports.

La préoccupation découle d'une décision de la Cour fédérale de justice allemande de 2017 qui a statué que les adresses IP dynamiques des visiteurs de sites web étaient des données personnelles légalement protégées. Les adresses IP statiques étaient déjà unanimement qualifiées de données personnelles et le RGPD réaffirme cette décision.

La distinction importante est que les adresses IP sont également qualifiées de données de trafic, selon la jurisprudence. Les données de trafic peuvent être utilisées pour « détecter, circonscrire ou éliminer les défauts ou erreurs dans le système de télécommunication ». De plus, les expéditeurs d'e-mails sont qualifiés de fournisseurs de services qui collaborent à la fourniture de services de télécommunication. Les tiers sont également autorisés à recevoir et à analyser les données dans la poursuite de ces objectifs.

Le phishing, le spam et les erreurs de configuration sont tous considérés comme des défauts ou des erreurs dans le système. Le rapport note également que les adresses IP ne peuvent identifier des utilisateurs individuels qu'en les fusionnant avec des informations supplémentaires. Le risque posé par le phishing l'emporte également sur les préoccupations que l'inclusion d'adresses IP dans les rapports pourrait créer.

Compte tenu de tous ces éléments, l'analyse indique que "les rapports sont fondamentalement autorisés et justifiés en vertu de la loi sur la protection des données. Toutefois, le principe de proportionnalité doit être respecté à tout moment".

Qu'en est-il des rapports d'échec ?

Le rapport contient des considérations supplémentaires concernant les rapports d'échec. Les rapports d'échec sont spécifiques aux messages, ce qui peut être utilisé pour identifier les problèmes plus en détail. Les rapports peuvent potentiellement inclure l'adresse IP, l'adresse e-mail de l'expéditeur, l'adresse e-mail du destinataire, l'objet et le corps de l'e-mail. Un certain nombre de fournisseurs n'enverront pas du tout ces rapports, tandis que d'autres réduiront considérablement les données incluses, par exemple en omettant entièrement l'objet et le corps de l'e-mail.

Le rapport ECO fait écho à ces pratiques pour les entités produisant des rapports d'échec afin de masquer les données inutiles :

« Basé sur le principe de l'économie des données, il est urgemment recommandé de recourir à l'occultation afin d'éviter la transmission de données personnelles du destinataire d'un courrier frauduleux. Ces données incluent obligatoirement l'objet et le corps de l'e-mail respectif ainsi que l'adresse e-mail du destinataire. »

Les entités produisant les rapports d'échec devraient prendre ces préoccupations en compte. En tant que propriétaire de domaine mettant en œuvre DMARC et consommant les rapports d'échec, la responsabilité de l'occultation des données n'est pas de votre ressort. Si vous avez des préoccupations supplémentaires concernant les rapports d'échec, vous pouvez cependant toujours les désactiver en ne fournissant pas d'adresse RUF dans votre enregistrement DMARC.

Autorisation des destinataires

Le rapport fournit également des recommandations supplémentaires, telles que s'assurer que le destinataire des rapports est autorisé et consentant à recevoir les données. Si possible, livrez d'abord les rapports au domaine de la politique DMARC, puis transférez-les à l'adresse de rapport externe.

Conclusion

L'analyse d'ECO conclut que « la mise en œuvre de DMARC est conforme au RGPD de l'UE », tant que les rapports agrégés sont utilisés « pour détecter et circonscrire le spam et le phishing et pour protéger les systèmes de télécommunication ». Les producteurs de rapports d'échec, cependant, devraient occulter les informations qui ne sont pas nécessaires à l'utilisation efficace de DMARC.

Le rapport complet est disponible auprès de la Certified Senders Alliance.

conformité DMARC EMEA GDPR

L'industrie des cartes de paiement recommande DMARC, DKIM et SPF

Adoption de DMARC parmi les 100 plus grandes brasseries

DMARC dans l'enseignement supérieur : leçons en matière de parrainage et de complexité