logo
abonnez go
Revue de presse
Archives Revue de presse
 
 
Accueil du site  > Droit > Droit et cadre juridique des techniques marketing Internet (email, affiliation, publicité,..) > Anonyme ou pseudonyme : les listes de blocage et le RGPD de l’UE

Anonyme ou pseudonyme : les listes de blocage et le RGPD de l’UE (5 janvier 2019)

En fait, vous n’aviez que de bonnes intentions et vouliez augmenter vos ventes avec votre mailing de Noël ou bien souhaiter au plus grand nombre de clients, de presque clients, de destinataires de newsletter et de partenaires commerciaux de passer de bonnes vacances. Malheureusement, votre mail a également atteint des destinataires qui ne voulaient plus recevoir de courrier électronique précisément de votre part. Bien sûr, vous avez toujours maintenu vos listes de diffusion propres et supprimé tous les désabonnés, mais d’une manière ou d’une autre, l’une ou l’autre adresse a été par erreur à nouveau importée dans votre liste de diffusion. Cela peut énerver les désabonnés qui ont été involontairement contactés plutôt que les satisfaire et nuira à votre réputation en tant qu’expéditeur et donc à vos ventes sur le long terme.

Pour éviter que cela ne se produise, les fournisseurs de services de courrier électronique tiennent généralement des listes de blocage, qui font en sorte que les adresses qui y sont contenues ne reçoivent des e-mails que par certains clients ou bien ne reçoivent pas du tout de courriels. Toutefois, le stockage des données personnelles, même s’il ne sert qu’aux finalités indiquées ci-dessus, n’est pas sans poser des problèmes dans le cadre du RGPD, en vigueur depuis environ six mois.

La situation est délicate : d’une part, vous n’êtes plus autorisé à envoyer des messages à une adresse e-mail qui a fait une demande de désinscription, d’autre part, vous ne pouvez même plus mémoriser cette adresse pour garantir justement cela. Mais il y a une solution. Des algorithmes de hachage cryptographique (« hash function ») sont utilisés pour générer à partir d’une adresse e-mail des empreintes numériques, qui peuvent être facilement ramenées à l’adresse e-mail. Les empreintes numériques sont ensuite sauvées dans la liste de blocage et comparées à l’empreinte de chaque adresse à importer. S’il y a une correspondance, l’adresse est bloquée et ne doit pas être contactée.

Le système fonctionne, mais il a ses pièges : d’abord, les algorithmes que le hachage génère sont rattrapés par le développement technique et ne sont plus considérés comme sûrs à un moment donné. Le deuxième point faible est ce qu’on appelle les « rainbow tables » (tables arc-en-ciel) : les esprits ingénieux utilisent des algorithmes de hachage communs pour générer d’énormes listes de valeurs de saisie avec les empreintes générées à partir de celles-ci. Dans ces listes, vous pouvez rechercher les empreintes comme dans un lexique et reconstruire les entrées de fond, c’est-à-dire les adresses e-mail. Il existe un remède à ces deux problèmes. Les empreintes générées avec un algorythme qui n’est plus sécurisé peuvent être à nouveau hachés avec un algorithme moderne et sécurisé. Et contre les « rainbow tables », l’aide vient du salage (« salt »), c’est-à-dire une valeur qui est ajoutée à la valeur à coder, donc l’adresse mail, avant que le hachage ne soit produit. Dans ce cas, une « rainbow table » séparée devrait être créée pour chaque salage possible afin de trouver les adresses e-mail, ce qui est théoriquement possible, mais pratiquement impossible.

Voilà pour ce qui est de la pratique technique. Mais qu’en est-il de la théorie juridique ? Le règlement général sur la protection des données (RGPD) ne s’applique qu’aux données personnelles. Les adresses électroniques font partie des données personnelles, mais qu’en est-il des adresses électroniques hachées ? Selon le législateur, cela dépend si le cryptage des adresses e-mail (personnelles) à l’aide d’algorithmes de hachage est une pseudonymisation ou une anonymisation.

Étant donné que la première méthode de hachage simple permet de remonter facilement et sans effort considérable à l’adresse e-mail personnelle, cette procédure n’est qu’une pseudonymisation, les empreintes ainsi générées continuent donc à être considérées comme des données personnelles et sont donc soumis au RGPD.
La deuxième méthode est différente : les données personnelles qui ont été hachées dans le meilleur des cas plusieurs fois avec des algorithmes modernes et sécurisés et qui ont été dotées d’un salage ne peuvent être attribuées à une adresse e-mail qu’avec un effort considérable. Les données cryptées de cette manière sont donc considérées comme anonymes et ne sont pas soumises au RGPD.

Les experts de la Certified Senders Alliance (CSA) recommandent donc la deuxième procédure, un peu plus complexe, pour la mise en œuvre des listes de blocage, afin que le RGPD ne soit pas appliqué. Ces questions juridiques et similaires seront également examinées lors d’un workshop en droit juridique qui se tiendra le 12 avril. Le workshop fait partie du programme du Sommet CSA 2019 du 10 au 12 avril 2019 à Cologne.

Des informations détaillées sur le sujet des listes de blocage sont également disponibles à l’adresse https://certified-senders.org/wp-content/uploads/2018/12/Sperrlisten-DSGVO-konform.pdf .

La Certified Senders Alliance CSA est un projet conjoint de listes blanches de l’association du commerce électronique eco e.V. en cooperation avec la Deutsche Dialog Marketing – DDV, l’association allemande du dialogue de marketing. Pour plus d’informations sur le travail de la CSA, la certification CSA et pour les aspects techniques et juridiques du marketing par mail, rendez-vous sur https://certified-senders.org/de/.