Skip to main content
L'impact du GDPR sur la collecte de données DMARC

L'impact du GDPR sur la collecte de données DMARC

- 24 septembre 2018
Nouvelles de l'écosystèmeAperçu de la sécurité des courriels

Lorsque l'UE a adopté le Règlement général sur la protection des données (RGPD), elle a déclenché un examen mondial de différents types de données, y compris les données trouvées dans les rapports DMARC Aggregate (RUA) et Failure (RUF). Une analyse juridique de l'ECO, le groupe allemand de l'industrie de l'Internet, décompose tous les aspects des données DMARC et les préoccupations liées au GDPR pour les générateurs de rapports et les consommateurs.

Évaluation des rapports globaux

L'analyse fait une distinction entre les rapports agrégés et les rapports d'échec dans son examen. Les rapports agrégés sont envoyés quotidiennement par un service de messagerie au propriétaire d'un domaine, fournissant un aperçu des messages prétendant provenir de ce domaine, indiquant s'ils ont passé les contrôles SPF et DKIM et comment ces messages ont été traités conformément aux règles DMARC. Afin de distinguer les expéditeurs, les adresses IP des serveurs de messagerie expéditeurs sont incluses dans les rapports.

Cette inquiétude découle d'un arrêt de la Cour fédérale de justice allemande de 2017 qui a déterminé que les adresses IP dynamiques des visiteurs de sites web étaient des données personnelles légalement protégées. Les adresses IP statiques étaient déjà unanimement qualifiées de données personnelles et le GDPR réaffirme cette décision.

La distinction importante est que les adresses IP sont également considérées comme des données relatives au trafic, selon la jurisprudence. Les données relatives au trafic peuvent être utilisées pour "détecter, réduire ou éliminer des défauts ou des erreurs dans le système de télécommunication". En outre, les expéditeurs d'e-mails sont considérés comme des prestataires de services qui collaborent à la fourniture de services de télécommunication. Les tiers sont également autorisés à recevoir et à analyser les données dans la poursuite de ces objectifs.

Le phishing, le spam et les mauvaises configurations sont tous considérés comme des failles ou des erreurs dans le système. Le rapport note également que les adresses IP ne peuvent identifier les utilisateurs individuels que par fusion avec des informations supplémentaires. Le risque posé par le phishing l'emporte également sur les préoccupations que peut susciter l'inclusion des adresses IP dans les rapports.

En tenant compte de tout, l'analyse indique que "les rapports sont fondamentalement autorisés et justifiés au regard du droit de la protection des données. Toutefois, le principe de proportionnalité doit être respecté à tout moment."

Qu'en est-il des rapports d'échec ?

Le rapport présente quelques considérations supplémentaires en ce qui concerne les rapports d'échec. Les rapports d'échec sont spécifiques aux messages, ce qui peut être utilisé pour identifier les problèmes de manière plus détaillée. Les rapports peuvent potentiellement inclure l'adresse IP, l'adresse électronique de l'expéditeur, l'adresse électronique du destinataire, l'objet et le corps du message. Un certain nombre de fournisseurs n'envoient pas du tout ces rapports, tandis que d'autres réduisent considérablement les données incluses, par exemple en omettant complètement l'objet et le corps du message.

Le rapport ECO se fait l'écho de ces pratiques pour les entités produisant des rapports de défaillance afin d'expurger les données inutiles :

"Sur la base du principe d'économie des données, il est recommandé d'urgence de recourir au caviardage afin d'éviter que les données personnelles du destinataire d'un courrier frauduleux ne soient transmises. Ces données comprennent obligatoirement l'objet et le corps du courrier électronique concerné ainsi que l'adresse électronique du destinataire."

Les entités qui produisent les rapports d'échec doivent tenir compte de ces préoccupations. En tant que propriétaire de domaine mettant en œuvre DMARC et consommant les rapports d'échec, vous n'êtes pas responsable de l'expurgation des données. Toutefois, si vous avez d'autres préoccupations concernant les rapports d'échec, vous pouvez toujours les désactiver en ne fournissant pas d'adresse RUF dans votre enregistrement DMARC.

Autoriser les récepteurs

Le rapport fournit également quelques recommandations supplémentaires, comme s'assurer que le destinataire des rapports est autorisé et désireux de recevoir les données. Si possible, livrez d'abord les rapports au domaine de la politique DMARC, puis transmettez-les à l'adresse de rapport externe.

Conclusion

L'analyse de l'ECO conclut que "la mise en œuvre de DMARC est compatible avec le GDPR de l'UE", tant que les rapports agrégés sont utilisés "pour détecter et réduire le spam et le phishing et pour protéger les systèmes de télécommunication". Les producteurs de rapports de défaillance devraient toutefois caviarder les informations qui ne sont pas nécessaires à l'utilisation efficace de DMARC.

Le rapport complet est disponible sur le site de Certified Senders Alliance.

conformitéDMARCGDPR

Postes connexes