Coffre-fort numérique – La Cnil adopte pour la première fois un référentiel permettant la délivrance de labels en matière de services de coffre-fort numérique (1), synonyme ici de « coffre-fort électronique » dans le prolongement de ses recommandations de 2013 (2).
Ce référentiel contraignant concerne « les offres proposées à des particuliers de services de stockage, dématérialisé et sécurisé, de données, et dont l’objet est de conserver des documents sur un support informatique ». Ces offres se distinguent des espaces de stockage en ce que « les données conservées incluant les documents stockés et leurs métadonnées ne sont accessibles qu’au seul titulaire du coffre et, le cas échéant, aux personnes physiques que le titulaire a spécifiquement habilitées à cet effet ».
Cette définition renvoie directement à la définition par la Cnil des services dits de coffre-fort numérique ou électronique.
Ce label est réservé aux candidats au label à la fois opérateurs techniques du service et fournisseurs de ce service auprès des particuliers qui démontrent, par des justifications argumentées et des éléments de preuves, qu’ils satisfont aux conditions posées par le référentiel.
Dans le cas où ces fonctions sont dévolues à deux personnes morales distinctes, la demande de label devra être formulée conjointement par l’opérateur et le fournisseur, afin de justifier de la conformité au référentiel.
La délivrance du label est subordonnée à la démonstration, par le candidat, du respect de 22 exigences cumulatives portant sur :
- la démarche de conformité mise en œuvre par le fournisseur du service « qui doit, pour l’ensemble des traitements qu’il met en œuvre, veiller à la protection des données personnelles au-delà du seul service objet de la demande de label » ;
- et sur « la protection des données du service de coffre-fort numérique, objet de la demande de label, reprenant : les données traitées, l’accès aux données, la conservation des données, l’information des personnes, la gestion des risques et les mécanismes cryptographiques ».
La délivrance du label par la Cnil impose ainsi notamment la démonstration par le candidat que le service satisfait à des obligations relatives à la gestion des risques, à la conformité et aux mécanismes cryptographiques intégrés dans le service de coffre-fort numérique.
Dans la mesure où la labellisation Cnil constitue un marqueur fort permettant au consommateur de s’orienter vers les services les plus respectueux des données personnelles, il revient aux prestataires offrant des services de coffre-fort numérique de les auditer afin de démontrer la conformité de leur service aux exigences du label ou de déterminer les moyens techniques nécessaires au respect de ce standard.
Selon l’article 2.5 de l’annexe de la délibération, cette analyse de conformité devra en outre être renouvelée tous les trois ans, au même titre que l’étude des menaces et l’audit de l’effectivité et de l’efficacité des mesures choisies.
Polyanna Bigle
Jean-Baptiste Gevart
Lexing Droit Sécurité des systèmes d’information
(1) Délib. 2014-017 du 23-1-2014.
(2) Délib. 2013-270 du 19-9-2013.