La mise en œuvre d’un service de coffre-fort numérique a fait l’objet d’une réflexion au sein de la CNIL dès 2013, laquelle a donné lieu à l’introduction dans la loi n° 2016-1321 du 7 octobre 2016 pour une République Numérique de sa définition légale, de son objet et des critères de fonctionnement du service de coffre-fort numérique.
Ainsi, un service de coffre-fort numérique est un service qui a pour objet :
– La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;
– La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ;
– L’identification de l’utilisateur lors de l’accès aux services par un moyen d’identification électronique ;
– De garantir l’accès exclusif aux documents électroniques à cet utilisateur, au tiers autre que le prestataire de services explicitement autorisé par l’utilisateur à accéder à ses documents et le cas échéant, au prestataire de services, après avoir recueilli l’accord express de l’utilisateur ;
– De donner la possibilité à l’utilisateur de récupérer les données et les documents stockés dans un standard aisément réutilisable et exploitable par un système de traitement automatisé de données.
Le service de coffre-fort numérique ne doit donc pas être confondu avec un service de stockage simple de documents en ligne, qui ne présente pas les mêmes garanties de confidentialité des données.
La loi pour une République Numérique prévoyait d’ores et déjà que les fournisseurs de services de coffre-fort numérique pourraient bénéficier d’une certification établie selon un cahier des charges proposé par l’Autorité Nationale de la Sécurité des Systèmes d’Informations (ANSSI) après avis de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Le décret n° 2018-418 du 30 mai 2018 précise les modalités de mise en œuvre de ce service de coffre-fort numérique, en établissant les caractéristiques minimales nécessaires pour pouvoir légalement qualifier un service de « coffre-fort numérique ».
Les obligations imposées aux fournisseurs ont été adoptées au regard du Règlement Général sur la protection des données entré en vigueur le 25 mai 2018, puisque lesdits coffres-forts numériques sont amenés à héberger des données à caractère personnel.
Le fournisseur du service de coffre-fort numérique est donc tenu à une obligation d’informations claires, loyales et transparentes sur les modalités de fonctionnement et d’utilisation du service, préalablement à la conclusion du contrat avec l’utilisateur.
Ces informations porteront a minima sur :
– Le type d’espace mis à la disposition de l’utilisateur et les conditions d’utilisation associées ;
– Les mécanismes techniques utilisés ;
– La politique de confidentialité ;
– L’existence et les modalités de mise en œuvre des garanties de bon fonctionnement ;
– Son engagement sur la conformité du service au regard de la loi pour une république numérique.
Ces informations devront être également mises à disposition en ligne et mises à jour si nécessaire, afin que l’utilisateur puisse avoir un accès permanent à celles-ci.
Le fournisseur du service de coffre-fort numérique devra également tenir un dossier technique sur la façon dont il assure la sécurité et la confidentialité des données contenues dans le coffre-fort numérique.
Il devra assurer la traçabilité des opérations réalisées sur les données et documents stockés dans le coffre-fort numérique.
Le texte prévoit à ce titre l’obligation de mettre en œuvre les mesures techniques suivantes :
– L’enregistrement et l’horodatage des accès et tentatives d’accès ;
– L’enregistrement des opérations affectant le contenu et l’organisation des données et documents de l’utilisateur ;
– L’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques.
Le fournisseur de services de coffre-fort numérique devra également garantir l’intégrité, la disponibilité, l’exactitude et l’origine des documents stockés, l’exclusivité d’accès aux documents et aux données de l’utilisateur par des mécanismes de contrôle d’accès limités, des mesures de sécurité et le chiffrement des données.
Aux termes de sa délibération du 1er juin 2017, la CNIL avait cependant plusieurs réserves quant aux projets de décret qui lui avaient été présentés, considérant ceux-ci insuffisamment protecteurs des droits des utilisateurs, au regard du Règlement Général sur la protection des données.
Virginie PERDRIEUX
Vivaldi-Avocats
