Dans une délibération du 19 septembre 2013 publiée ce 9 octobre au Journal Officiel, la CNIL passe en revue les enjeux légaux et sécuritaires soulevés par les services de coffre-fort numérique.
La Commission constate que ces espaces de stockage numérique, entrés dans les moeurs en entreprise, se développent désormais auprès des particuliers, accompagnant la montée en puissance du commerce électronique et des téléservices.
Mais cette centralisation pose des problèmes au regard de la loi du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés.
Lors d’une concertation avec les principaux acteurs concernés, la CNIL a notamment évoqué la question de la destruction des données, de leur perte, de leur altération ou de leur divulgation à des tiers non autorisés.
Tout en délimitant le périmètre d’application du coffre-fort numérique, « dont l’accès [doit être] limité à son seul utilisateur et aux personnes physiquement spécialement mandatées par ce dernier« .
La justice n’ayant pas encore eu à se pencher sur cette question, il est recommandé à chaque prestataire de mettre en oeuvre des mesures techniques et organisationnelles strictes, avec une identification claire des objectifs, des contraintes et des risques.
Avant même son déploiement, un service de coffre-fort numérique doit faire l’objet d’un déclaration auprès de la CNIL, en vertu de l’article 3-I de la loi du 6 janvier 1978 modifiée.
Le prestataire est également tenu de préciser les catégories de données à caractère personnel qu’il sera amené à traiter pour assurer son service. Il s’agit typiquement d’identifiants et de mots de passe de connexion.
Nul besoin, en revanche, de spécifier quels types de données seront stockés, la main restant à l’utilisateur final. Mais le transfert de données hors de l’Union européenne reste soumis à une autorisation préalable (article 69).
En outre, le traitement de certains éléments est interdit ou réglementé. Cité pour l’exemple, le numéro de Sécurité sociale, qui ne peut être utilisé pour le routage d’un document dématérialisé vers un coffre-fort numérique, y compris dans le cas des bulletins de paye.
Quant aux données de santé, elles entrent dans le cadre d’un régime juridique spécifique. Leur manipulation requiert un agrément ministériel en vertu de l’article L. 1111-8 du code de la santé publique.
Sur la question de la conservation, le fournisseur du service ne doit pas être techniquement en mesure d’accéder au contenu d’un coffre-fort, ni à ses éventuelles sauvegardes, à moins d’avoir obtenu le consentement exprès de l’utilisateur.
Il est aussi tenu de prendre ‘immédiatement’ en compte les demandes de suppression de contenus, en laissant toutefois à l’utilisateur une marge de rétractation n’excédant pas 30 jours.
En cas de fermeture du service, les clients devront en être notifiés ‘suffisamment à l’avance’. Un outil de récupération sera mis à leur disposition sans surcoût pour éviter les manipulations complexes ou répétitives.
La CNIL préconise par ailleurs la mise en place d’un système de chiffrement conforme aux règles et recommandations de l’Agence nationale de sécurité des systèmes d’information (ANSSI).
Le recours à des mécanismes d’authentification forte – plus particulièrement l’envoi de codes par SMS – constitue une garantie supplémentaire, au même titre que la redondance des centres de stockage et des sauvegardes régulières.
—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les services grand public de cloud computing ?
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…