Le coffre-fort numérique ou électronique, tout le monde en parle et en veut mais personne ne sait bien ce que c’est.
Depuis novembre 2013, la Cnil avait pressenti les difficultés que pourraient rencontrer les particulier et consommateurs, liées aux transferts multiples de documents, pour la plupart scannés, vers des espaces « privatifs » en cloud, afin de ne plus les perdre : carte d’identité, passeport, permis de conduire, diplômes, prêt immobilier, contrat de bail, attestation de carte vitale, etc.
Et oui, de tels services en ligne sont bien pratiques surtout lorsque l’on n’est pas chez soi, à l’étranger par exemple, et que l’on a perdu l’original ! C’est pourquoi elle a distingué le coffre-fort numérique de l’espace de stockage (1) :
« Un espace de stockage numérique est un service qui a pour objet de conserver des documents dématérialisés sur un support informatique », alors que « le terme coffre-fort numérique, ou coffre-fort électronique, doit être réservé à une forme spécifique d’espace de stockage numérique, dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier. » Il doit garantir l’intégrité, la disponibilité et la confidentialité des données stockées et impliquer la mise en œuvre des mesures de sécurité décrites dans la recommandation de la Cnil.
L’article 87 de la loi pour une République numérique vient conforter la position de la Cnil et fait rentrer dans notre droit français le coffre-fort numérique à l’article 137 du Code des postes et communications électroniques.
Le nouvel article 137 en donne ainsi une définition par les fonctionnalités légalement attendues.
Une valeur probatoire :
« 1. La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;
2. La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ;
3. L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L. 136 ».
Une garantie d’accès exclusif pour l’utilisateur et les tiers désignés :
« 4. De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ».
Un droit à la récupération des documents et des données :
« 5. De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret ».
Le coffre-fort peut également prévoir de fournir des services de confiance au sens du règlement européen eIDAS comme la signature électronique, le cachet électronique, l’horodatage électronique, l’envoi recommandé électronique ou … la gestion du document électronique.
La vocation primaire du texte est de renforcer la confiance des utilisateurs dans ce type de service en cloud.
A cet égard, la loi prévoit deux éléments nouveaux fondant le statut du prestataire de coffre-fort électronique :
- une sanction destinée à la protection des consommateurs : lorsque le prestataire de service de coffre-fort numérique ne respecte pas les obligations légales, il est passible des sanctions prévues aux articles L. 132-2 et L. 132-3 du Code de la consommation, à savoir une amende de 15000 € ;
- une certification facultative : un cahier des charges nécessaire pour obtenir la certification sera établi par l’Anssi après avis de la Cnil et un décret en conseil d’Etat, pris après avis de la Cnil, précisera les modalités de mise en œuvre du service de coffre-fort numérique et sa certification.
Avec les bouleversements législatifs de la loi pour une République numérique mais également de la loi Travail, le coffre-fort numérique a un bel avenir devant lui, développant ainsi de nouveaux usages comme, par exemple, le bulletin de paie électronique ou le coffre-fort de l’usager dans ses relations avec les administrations publiques.
Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information
(1) Cnil, Délib. 2013-270 du 19-9-2013 portant recommandation relative aux services dits de
« coffre-fort numérique ou électronique » destinés aux particuliers ; Voir Post du 19-3-2014 et Post du 19-11-2013