Le coffre-fort numérique ne peut se passer du cloud, des exigences particulières doivent figurer au contrat.
Le coffre-fort numérique ou électronique a fait son entrée dans le droit français par la loi pour une République numérique. L’article 87 de cette loi codifiée à l’article L137 du Code des postes et communications électroniques (« CPCE ») (1 et 2) pose des exigences très précises que le contrat cloud correspondant doit mettre en œuvre.
Coffre-fort numérique, exigences du CPCE et contrat
Une grande partie des exigences du CPCE à l’article précité sont communes à celles visées à l’article 28§3 du RGPD (3 et 4). Cependant, le CPCE va plus loin sur les exigences suivantes qui doivent directement se traduire dans le contrat. On a ainsi :
- l’exigence de traçabilité et de gestion des logs dans le service de coffre-fort numérique qui doit se traduire par un article « convention de preuve » dans le corps du contrat et des annexes techniques et sécurité physiques et logiques conformes ;
- un accès exclusif pour l’utilisateur et les tiers désignés : outre les annexes précitées, ce sont les clauses de confidentialité et de sous-traitance qui doivent être présentes ;
- un droit à la récupération des documents et des données : c’est la clause réversibilité du contrat qui doit détailler concrètement comment ces obligations s’appliquent.
Ces obligations générales pourront être déclinées et précisées selon les usages : conservation du contrat de travail et bulletins de paie ou encore de documents de nature administrative.
Coffre-fort numérique, exigences normatives, label et contrat
L’article L137 du CPCE prévoit que le coffre-fort numérique peut bénéficier d’une certification facultative, selon les modalités d’un décret en Conseil d’Etat à intervenir.
Pour l’heure, le coffre-fort numérique peut déjà bénéficier d’un label délivré par la Cnil (5) ou d’une certification à la norme NF Z 42-020 (6). Contractuellement, ces labels ou certifications sont un marqueur clés de conformité et de qualité des prestations attendues. Il est conseillé de prévoir au contrat qu’ils sont un élément substantiel ayant déterminé les parties à contracter. En cas de perte de labellisation ou certification, il convient de stipuler au contrat que le client pourra alors résilier le contrat de plein droit. Si c’est simplement le label ou la certification qui change de nom ou disparaît, quelle qu’en soit la raison, il est alors prudent de prévoir que le prestataire maintiendra le même niveau de qualité de prestation et s’engagera, le cas échéant, à obtenir le label ou le certificat nouvellement applicable.
Eric Le Quellenec
Lexing Droit Informatique
(1) Loi 2016-1321 du 7-10-2016
(2) Post du 21-11-2016
(3) Règlement 2016/679 du 2-4-2016
(4) Post du 30-1-2017
(5) Ce label Cnil repose sur un référentiel adopté le 23-1-2014
(6) Norme NF Z 42-020