Email Marketing - Protection des données : DMARC et le RGPD - 1 octobre 2018

Protection des données : DMARC et le RGPD

Invité Auteur

DMARC (Domain-based Message Authentication, Reporting and Conformance) offre une protection contre les attaques de phishing (hameçonnage) – mais qu’en est-il de la protection des données ? 

Cela arrive souvent : on reçoit tout à coup dans la boîte de réception des courriels de banques, de grands détaillants de vente par correspondance ou de sociétés de logistique qui semblent réels et qui veulent avoir des détails sur vos données personnelles sous n’importe quel prétexte. Vous êtes victime d’une attaque de phishing, et vous n’êtes pas le seul : en 2017, les ordinateurs des utilisateurs de Kaspersky Lab ont été alertés par le système anti-hameçonnage 246 231 645 fois, soit une augmentation de près de 60% par rapport à l’année précédente. Et une telle attaque de phishing endommage non seulement le destinataire qui donne trop négligemment ses données personnelles, mais aussi, et surtout, la réputation et donc aussi la délivrabilité de la marque copiée. Avec DMARC, vous pouvez efficacement vous protéger contre les abus faits à votre propre marque. Mais êtes-vous autorisés à le faire ?

Training&Co'm

DMARC est une spécification qui permet aux entreprises d´éviter l´usurpation de leur adresse d´expéditeur. La spécification complète deux technologies établies depuis longtemps,Sender Policy Framework (SPF) et Domain Keys Identified Mail (DKIM), comblant ainsi une lacune sur le chemin de l’expéditeur au destinataire. La norme SPF vise à s’assurer qu’un e-mail en provenance d’un domaine a bien le droit de partir du serveur qui l´envoie; DKIM permet de vérifier que le courriel n´a pas été falsifié sur le chemin vers le destinataire et qu´il provient de la source réclamée.C´est donc un service d´authentification de courriels. DMARC établit maintenant ce qui se passe pour le destinataire avec des e-mails qui ne sont pas conformes aux spécifications de SPF ou DKIM.

DMARC est destiné à tous ceux qui envoient et reçoivent des e-mails. En ce qui concerne l´expéditeur, c’est le propriétaire du domaine qui doit publier le protocole DMARC dans DNS tandis que l’expéditeur technique, par exemple le fournisseur de services de courrier électronique, aurait dû mettre en œuvre la norme technique Domain Keys Identified Mail (DKIM). Du côté du destinataire, c’est le fournisseur d´accès Internet (FAI), qui doit évaluer la politique DMARC et donc, selon les spécifications, empêcher simplement la livraison. C´est donc l’expéditeur qui détermine quelles adresses IP et quelles signatures envoient ou affichent des e-mails légitimes.

DMARC n’est pas une nouvelle technologie. Depuis 2012, les entreprises ont pu travailler avec les spécifications DMARC. Cependant, leur diffusion est encore loin d’être exhaustive. Il y a une raison à cela. Même avec le développement de la nouvelle spécification, il n’était pas clair dans quelle mesure, avec DMARC, on touche aux données personnelles qui rentrent dans la législation actuelle de protection des données. Et même avec l’entrée en vigueur du nouveau règlement général sur la protection des données (RGPD) en mai de cette année, cette incertitude est toujours là. Court-on donc le risque de traiter illégalement des données personnelles lorsqu’on utilise DMARC ?

En principe, DMARC fonctionne comme suit: l’expéditeur ou le propriétaire de domaine définit d’abord les enregistrements SPF et la clé publique pour DKIM pour tous les domaines d’expédition à considérer. Le fournisseur d´accès Internet (FAI) vérifie pour les messages entrants si l´adresse IP de l´expéditeur correspond à une adresse IP indiquée dans l’enregistrement SPF pour ce domaine. DKIM vérifie si la signature cryptographique du courriel reçu correspond à la clé publique.  Avec DMARC, le propriétaire de domaine peut décider comment procéder avec les mails qui n’ont pas ou seulement partiellement « passé » la vérification des protocoles SPF et DKIM. De plus, le propriétaire du domaine dépose sur le DNS (Domain Name System) l’adresse e-mail de feedback où les destinataires qui participent à DMARC peuvent envoyer des informations sur les domaines de stratégie DMARC et les résultats d´authentification des e-mails.  Cela se fait par le biais de  rapports. On fait une distinction entre les Aggregated Reports (rapports complets) et les Failure Reports (rapports de défaillance).Ils transmettent, selon le type de rapport, entre autres :

  • Les adresses IP qui ont envoyé des mails pour le domaine de stratégie DMARC ;
  • L’adresse e-mail sortante ;
  • L’adresse e-mail du destinataire ;
  • L´objet du courriel ;
  • Le texte du courriel.

Cela pourrait poser des problèmes d´un point de vue de la protection des données. Selon l’article 4 n°1 du RGPD, on considère comme des données personnelles, « toutes les informations relatives à une personne identifiée ou identifiable ». Cela est vrai, tant pour les adresses IP statiques et dynamiques,que pour les domaines. En outre, le RGPD déclare que le traitement des données personnelles n’est permis que s’il est autorisé par la loi ou par d’autres législations et/ou que la personne concernée accepte.

Si l´on admet d´autres aspects juridiques, tels que la loi sur les télécommunications, le RGPD prévoit l´article 6 – paragraphe 1 – page 1 qui justifie la collecte et l’utilisation de données personnelles. Il est donc permis de les transmettre ou de les utiliser dans la mesure où il est nécessaire de protéger les intérêts légitimes de l’organisme responsable et à condition que les intérêts ou les droits et libertés fondamentaux de la personne concernée, qui exigent la protection des données personnelles,ne prédominent pas.

Dans un rapport sur la compatibilité de DMARC avec le RGPD, le groupe de compétences sur l´e-mail de l’Association de l’économie Internet allemande Eco e.v. conclut également que les rapports DMARC sont généralement autorisés et justifiés, mais seulement sous le respect du principe de proportionnalité.Les experts du mail sont donc de l´avis que l´utilisation de DMARC est compatible avec le RGPD avec des limitations. Toutefois, les données personnelles doivent être rendues anonymes ou supprimées dans la mesure du possible dans les Aggregated Reports et Failure Reports.

Conclusion: DMARC peut protéger les expéditeurs de manière fiable contre les attaques de phishing et la perte de leur réputation. Toutefois, en particulier en ce qui concerne le nouveau règlement européen sur la protection des données, il est important d’examiner certains aspects de sa mise en œuvre. La Certified Senders Alliance (CSA), projet conjoint de l´association du commerce électronique ecoe.V. avec l´association allemande du dialogue de marketing DDV pour améliorer la qualité des mails, sera votre partenaire compétent et expert dans cette matière complexe. CSA vous aide en matière de DMARC et RGPD à travers des débats avec des experts et des utilisateurs internationaux et des workshops techniques.

À PROPOS DE CERTIFIED SENDERS ALLIANCE

Certified Senders Alliance (CSA) est un projet né en 2004 à l’initiative d’eco, association allemande de l’économie numérique et de DDV, association allemande du marketing du dialogue. La coopération de ces deux associations garantit tant le soutien du secteur de l’économie numérique que des démarcheurs. L’objectif de la CSA, une organisation neutre, est d’améliorer la qualité de l’e-mail en tant que support. La CSA s’est donc donnée pour mission d’établir des normes de qualité techniques et juridiques et de les actualiser continuellement en fonction des exigences du marché, ainsi que de faire appliquer ces normes dans le cadre d’une certification.