Peut-on licitement communiquer un code d’accès par téléphone ?
X n’aime pas avoir d’argent liquide sur lui, mais il est souvent emprunté pour de petits paiements.
Après s’être renseigné sur les diverses possibilités, il télécharge l’application de paiement en ligne d’une entreprise suisse, et constate à la lecture des conditions générales que les données seront stockées en Suisse, ce qui le rassure.
Le temps passe si vite que lorsque X veut utiliser l’application, il a complètement oublié son mot de passe.
Il contacte alors le responsable de l’application au numéro de téléphone gratuit, et obtient rapidement, après avoir répondu à certaines questions d’identification, le déblocage du compte et un nouveau mot de passe, à modifier ensuite dans les 48h.
: Il est agréablement surpris par la facilité avec laquelle l’incident a été résolu, mais un peu étonné aussi qu’un mot de passe lui ait été communiqué oralement. Bien qu’inhabituelle, cette pratique est conforme pour autant que l’identification de la personne soit certaine. A noter que la communication d’un mot de passe temporaire oralement est bien préférable à l’envoi d’un courriel non sécurisé.
Recommandations
Le principe de sécurité enseigne que « les données personnelles doivent être protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées ». C’est le Conseil fédéral, dans son Ordonnance, qui donne des indications sur les accès à sécuriser et les risques à gérer. Pour la communication d’un mot de passe, qui est une donnée personnelle mais non sensible, l’important est de s’assurer que seule la personne concernée le recevra, et qu’il est communiqué de manière distincte de l’identifiant de connexion. Le pire est donc de communiquer les deux dans un même document, qu’il s’agisse d’une lettre ou d’un courriel. L’envoi séparé du mot de passe peut se faire par courrier postal ou par message instantané sécurisé (type SMS, Threema ou Signal ou Telegram), ou encore oralement si c’est par téléphone.
Principes de base
art. 4 LPD, licéité, art. 7 Sécurité (confidentialité)
Ressources