Coffres-forts numériques : la CNIL délivre son b.a.-ba

Cloud
cnil-coffre-fort-numerique

La CNIL émet une série d’observations et recommandations quant aux enjeux légaux et sécuritaires que soulève l’utilisation des services de coffre-fort numérique.

Dans une délibération du 19 septembre 2013 publiée ce 9 octobre au Journal Officiel, la CNIL passe en revue les enjeux légaux et sécuritaires soulevés par les services de coffre-fort numérique.

La Commission constate que ces espaces de stockage numérique, entrés dans les moeurs en entreprise, se développent désormais auprès des particuliers, accompagnant la montée en puissance du commerce électronique et des téléservices.

Mais cette centralisation pose des problèmes au regard de la loi du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés.

Lors d’une concertation avec les principaux acteurs concernés, la CNIL a notamment évoqué la question de la destruction des données, de leur perte, de leur altération ou de leur divulgation à des tiers non autorisés.

Tout en délimitant le périmètre d’application du coffre-fort numérique, « dont l’accès [doit être] limité à son seul utilisateur et aux personnes physiquement spécialement mandatées par ce dernier« .

La justice n’ayant pas encore eu à se pencher sur cette question, il est recommandé à chaque prestataire de mettre en oeuvre des mesures techniques et organisationnelles strictes, avec une identification claire des objectifs, des contraintes et des risques.

Avant même son déploiement, un service de coffre-fort numérique doit faire l’objet d’un déclaration auprès de la CNIL, en vertu de l’article 3-I de la loi du 6 janvier 1978 modifiée.

Le prestataire est également tenu de préciser les catégories de données à caractère personnel qu’il sera amené à traiter pour assurer son service. Il s’agit typiquement d’identifiants et de mots de passe de connexion.

Nul besoin, en revanche, de spécifier quels types de données seront stockés, la main restant à l’utilisateur final. Mais le transfert de données hors de l’Union européenne reste soumis à une autorisation préalable (article 69).

En outre, le traitement de certains éléments est interdit ou réglementé. Cité pour l’exemple, le numéro de Sécurité sociale, qui ne peut être utilisé pour le routage d’un document dématérialisé vers un coffre-fort numérique, y compris dans le cas des bulletins de paye.

Quant aux données de santé, elles entrent dans le cadre d’un régime juridique spécifique. Leur manipulation requiert un agrément ministériel en vertu de l’article L. 1111-8 du code de la santé publique.

Sur la question de la conservation, le fournisseur du service ne doit pas être techniquement en mesure d’accéder au contenu d’un coffre-fort, ni à ses éventuelles sauvegardes, à moins d’avoir obtenu le consentement exprès de l’utilisateur.

Il est aussi tenu de prendre ‘immédiatement’ en compte les demandes de suppression de contenus, en laissant toutefois à l’utilisateur une marge de rétractation n’excédant pas 30 jours.

En cas de fermeture du service, les clients devront en être notifiés ‘suffisamment à l’avance’. Un outil de récupération sera mis à leur disposition sans surcoût pour éviter les manipulations complexes ou répétitives.

La CNIL préconise par ailleurs la mise en place d’un système de chiffrement conforme aux règles et recommandations de l’Agence nationale de sécurité des systèmes d’information (ANSSI).

Le recours à des mécanismes d’authentification forte – plus particulièrement l’envoi de codes par SMS – constitue une garantie supplémentaire, au même titre que la redondance des centres de stockage et des sauvegardes régulières.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les services grand public de cloud computing ?

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur