2024-01-11 13:51:05
La communication par courrier électronique est une cible populaire pour le phishing et l’escroquerie. En prétendant avoir une origine légitime, les données sensibles du destinataire peuvent être consultées et utilisées à mauvais escient via des e-mails frauduleux. Pour contrer cela, des mécanismes de cryptage spéciaux sont utilisés pour garantir la confidentialité et la fiabilité des communications. Le tribunal régional supérieur de Karlsruhe a récemment précisé si et dans quelle mesure les entreprises sont tenues de prendre de telles mesures de cryptage dans le trafic de courrier électronique professionnel.
I. Les faits
Deux GmbH ont conclu un contrat d’achat pour une Mercedes d’occasion au prix de 13 500 €.
Les deux gérants ont convenu que le vendeur devrait envoyer un email à l’acheteur le jour même. Le vendeur a envoyé la facture à l’acheteur en pièce jointe à ces emails.
Deux minutes plus tard, l’acheteur a reçu un deuxième e-mail contenant une demande de paiement manipulée nommant une banque différente de celle du premier e-mail. De plus, l’e-mail était sous la forme vous, même si les deux hommes d’affaires communiquaient par leur prénom. À la fin de l’e-mail, il y avait une phrase incompréhensible faisant référence à un produit complètement différent.
Malgré toutes ces anomalies, l’acquéreur a transféré le prix d’achat de 13 500 € grâce aux dernières coordonnées bancaires reçues.
Au bout de onze jours, le vendeur a finalement exigé de l’acheteur le paiement du montant dû, ce que l’acheteur a refusé au motif qu’il avait déjà rempli ses obligations au titre du contrat d’achat. Le vendeur a alors intenté une action en justice.
En première instance, le LG Mosbach s’est prononcé en faveur de l’acheteur et a estimé que le vendeur avait fait « trop peu » pour garantir la sécurité des données et avait ainsi rendu possible l’attaque du pirate informatique. Le vendeur a dû prendre des précautions de sécurité, comme le recours à la procédure « Sender Policy Framework », le cryptage de la pièce jointe PDF, le cryptage de bout en bout ou encore le cryptage de transport.
Le vendeur a ensuite fait appel de cette décision auprès du tribunal régional supérieur de Karlsruhe.
II. La décision
Le tribunal régional supérieur de Karlsruhe, en tant que cour d’appel, a annulé la décision de première instance par un jugement du 27 juillet 2023 (numéro d’affaire : 19 U 83/22).
Contrairement au tribunal régional de Mosbach, le tribunal régional supérieur de Karlsruhe a condamné l’acheteur à payer le prix d’achat convenu majoré des intérêts et des frais de justice. Un appel n’a pas été autorisé.
Il n’existe aucune exigence légale spécifique concernant les précautions de sécurité lors de l’envoi d’e-mails dans le cadre de transactions commerciales. En particulier, le champ d’application matériel du règlement général sur la protection des données (RGPD) n’est pas ouvert en cas de litige, car il ne s’applique qu’au traitement d’informations concernant une personne physique (art. 2, al. 1, art. 4 n° 1 du RGPD).
En outre, il n’existe pas d’accord exprès entre les parties concernant les mesures de cryptage nécessaires pour le trafic de courrier électronique et, en particulier, l’acheteur défendeur, qui a initié le traitement du courrier électronique, n’a pas mentionné les exigences en matière de sécurité des données.
Le niveau de précautions de sécurité nécessaires dans le trafic de courrier électronique professionnel est donc déterminé dans ce cas en fonction des attentes légitimes en matière de sécurité du trafic concerné, en tenant compte du caractère raisonnable.
1.) Cadre de politique de l’expéditeur (SPF)
Sur la base de cette interprétation, l’application d’une procédure de « Sender Policy Framework » est hors de question pour des raisons concrètes.
Il s’agit d’un protocole qui peut être utilisé pour vérifier si le serveur de messagerie expéditeur est autorisé à envoyer des e-mails pour le domaine.
Toutefois, l’application de la procédure ne peut être influencée que si vous exploitez votre propre serveur de messagerie et non – comme c’est le cas du vendeur – si vous utilisez les services de serveur d’un tiers.
2.) Cryptage de la pièce jointe PDF
Le cryptage des fichiers PDF est inhabituel dans les transactions commerciales, à moins qu’il n’implique l’échange de secrets d’entreprise ou d’affaires sensibles.
À cet égard, ce type de cryptage ne peut être considéré comme une norme de sécurité à respecter.
Indépendamment de cela, lorsque l’acheteur ouvrait le PDF, il savait forcément qu’il n’était pas crypté car sinon un mot de passe lui aurait été demandé. En ouvrant le PDF et en utilisant le contenu comme base pour des décisions d’action ultérieures, l’acheteur lui-même a renoncé à la protection par cryptage.
3.) Chiffrement de bout en bout
Bien que les organismes officiels conseillent de mettre en place un cryptage de bout en bout dans le trafic de courrier électronique professionnel pour éviter les risques de confidentialité, cette procédure n’a jusqu’à présent été utilisée que de manière très sporadique et ne sert donc pas de guide pour une norme de sécurité généralement contraignante.
De plus, pour le chiffrement de bout en bout, l’expéditeur et le destinataire doivent disposer des certificats nécessaires, leur application ne dépend donc pas uniquement de l’expéditeur.
4.) Cryptage des transports
Le cryptage du transport des e-mails est un processus dans lequel le contenu de la transmission entre l’expéditeur et le fournisseur de messagerie, entre deux fournisseurs de messagerie et entre le fournisseur de messagerie et le destinataire est crypté, qui est automatisé et ne nécessite généralement aucune action de la part du expéditeur ou destinataire. Un protocole SSL/TLS sert de mécanisme de cryptage.
Toutefois, le facteur décisif pour l’utilisation du protocole est que les fournisseurs de serveurs des adresses e-mail communicantes ont adhéré à une association dans laquelle le protocole peut effectivement être utilisé grâce à une coordination technique mutuelle.
Sa mise en œuvre dépend en grande partie des spécifications du serveur et ne peut être influencée individuellement par l’expéditeur ou le destinataire.
Dans ce domaine également, elle ne peut pas être utilisée comme norme de sécurité généralement contraignante.
III. Conclusion
Selon le tribunal régional supérieur de Karlsruhe, il n’existe pas de mesures de sécurité généralement contraignantes pour empêcher l’utilisation abusive des données dans les communications par courrier électronique professionnel entre entreprises, du moins à moins qu’il ne s’agisse de la transmission d’informations particulièrement sensibles ou de secrets commerciaux.
En particulier, le RGPD, qui impose la mise en place de mesures de sécurité techniques et organisationnelles, n’est pas applicable si les informations sont échangées uniquement entre entités juridiques par courrier électronique.
Si une manipulation de données suivie d’une escroquerie se produit au cours d’une communication par courrier électronique professionnel entre deux entités juridiques, le débiteur ne peut pas faire créditer le paiement sur un compte frauduleux pour s’acquitter de sa dette.
Il convient de noter que la décision a été expressément prise uniquement pour la communication par courrier électronique entre deux personnes morales. Il convient d’évaluer le cas différemment si la communication commerciale entre entreprises individuelles naturelles ou la communication avec les consommateurs est affectée. Dans ce cas, le RGPD s’applique pleinement et peut exiger que des précautions de sécurité appropriées soient prises pour maintenir la confidentialité du contenu des e-mails.
Astuce: Avez-vous des questions sur l’article? N’hésitez pas à en discuter avec nous dans le
Groupe d’entrepreneurs du cabinet d’avocats informatique sur Facebook.
#Aucun #mécanisme #cryptage #spécial #nest #requis #pour #les #emails #entre #entreprises
1705035162