Bonnes pratiques pour l’envoi sécurisé d’informations personnelles identifiables (PII) par e-mail
Liste de contrôle des bonnes Pratiques
Protéger correctement les informations personnelles identifiables ou les informations médicales protégées (PII/PHI) dans les e-mails présente des avantages essentiels : conformité réglementaire avec les réglementations en matière de protection des données personnelles telles que le RGPD, HIPAA, CCPA, prévention des violations de données coûteuses, renforcement de la confiance des clients, optimisation des processus et réduction des risques. Ces dix bonnes pratiques offrent un cadre pour manipuler les PII en toute sécurité lorsque l’utilisation de l’e-mail s’avère nécessaire.
1. Vérifiez la nécessité et limitez les données
N’envoyez des PII par e-mail que si cela est absolument indispensable, et ne transmettez que les informations strictement nécessaires, conformément au principe de minimisation des données, pour l’objectif visé.
2. Mettez en place un chiffrement de bout en bout des e-mails
Utilisez des solutions de messagerie dotées d’un chiffrement de bout en bout des e-mails robuste plutôt qu’un e-mail standard pour protéger les PII et autres données sensibles contre toute interception.
3. Chiffrez les pièces jointes contenant des PII
Appliquez un chiffrement fort (AES-256 pour les données au repos et TLS 1.3 pour les données en transit) à toutes les pièces jointes contenant des PII et transmettez les mots de passe par des canaux séparés.
4. Vérifiez l’identité et l’adresse du destinataire
Vérifiez systématiquement toutes les adresses e-mail avant d’envoyer des PII et évitez d’utiliser des listes de diffusion ou des boîtes partagées pour les informations sensibles. Utilisez également l’authentification multifactorielle pour exiger que les destinataires s’authentifient, limitant ainsi l’accès aux e-mails contenant des PII.
5. Déployez des outils de prévention des pertes de données (DLP)
Mettez en place des systèmes DLP automatisés pour détecter et empêcher la transmission non autorisée de PII par e-mail.
6. Obtenez un consentement explicite si nécessaire
Assurez-vous et documentez que vous disposez de l’autorisation adéquate pour transmettre les PII de la personne concernée par e-mail, conformément à la réglementation applicable.
7. Maintenez des journaux d’audit robustes
Utilisez des journaux d’audit détaillés pour enregistrer tous les envois de PII par e-mail, y compris l’expéditeur, le destinataire, la date et les mesures de sécurité appliquées, afin de garantir la conformité réglementaire.
8. Sensibilisez régulièrement les collaborateurs à la sécurité
Sensibilisez vos équipes grâce à des formations à la sécurité sur les risques liés à l’envoi de PII par e-mail, les exigences réglementaires et les bonnes pratiques de transmission sécurisée.
9. Établissez des règles organisationnelles claires
Créez et appliquez des protocoles précis concernant les méthodes autorisées pour chaque catégorie de transmission de PII.
10. Privilégiez des alternatives sécurisées à l’e-mail
Dès que possible, privilégiez des portails sécurisés dédiés ou des plateformes de partage de fichiers chiffrés plutôt que l’e-mail pour les PII. Cela inclut le partage sécurisé de fichiers et le transfert sécurisé de fichiers via des solutions comme SFTP ou transfert sécurisé de fichiers géré.
En savoir plus sur l’envoi sécurisé et conforme de PII par e-mail
Pour approfondir le sujet de l’envoi d’informations personnelles identifiables (PII) tout en respectant la conformité réglementaire en matière de protection des données, rendez-vous sur : Comment envoyer des PII par e-mail en toute sécurité: protection des informations personnelles identifiables.
Et pour en savoir plus sur Kiteworks pour la messagerie sécurisée, consultez Gardez vos communications professionnelles privées avec la messagerie sécurisée.