Coffre-fort numérique: Recommandations aux fournisseurs

Qu'est qu'un coffre-fort numérique?

Un coffre-fort numérique ou coffre-fort électronique est une forme spécifique d’espace de stockage numérique, dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier.

Qui peut avoir accès aux données stockées dans le coffre-fort numérique ?

L’accès aux données doit être strictement encadré. Techniquement, le fournisseur de service ne doit pas être en mesure d’accéder au contenu d’un coffre-fort ni à ses éventuelles sauvegardes sans le consentement exprès de l’utilisateur. L’acceptation des conditions d’utilisation de service (CGU) ne peut pas être considérée comme un consentement valable.

Qui dispose de la clé de déchiffrement ?

La clé de déchiffrement doit être maitrisée uniquement par l’utilisateur du coffre-fort et éventuellement par un tiers de confiance.

Quelles sont les données traitées par un service de coffre-fort numérique ?

Un minimum des données traitées par un service de coffre-fort numérique sont les suivants :

  • Données permettant d’identifier de façon certaine les utilisateurs
  • Données de connexion nécessaires au fonctionnement du service

Quelles sont les données dont le traitement est interdit ?

Le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, c’est à dire le numéro de sécurité sociale y compris des bulletins de paye.

Quelles sont les mesures de sécurité à respecter par un service de coffre-fort numérique ?

  1. Le fournisseur d’un service de coffre-fort numérique ne doit pas être en mesure d’accéder aux données ou de les réutiliser. Des mesures techniques doivent être mises en place pour rendre les données incompréhensibles aux tiers non mandatés par l’utilisateur.
  2. Les données doivent être chiffrées avec une clef conforme aux exigences de l’ANSSI. Cette clef doit être maitrisée uniquement par l’utilisateur.
  3. En cas de conservation des données à long terme :
    • une copie de la clef de déchiffrement doit être confiée à un tiers de confiance afin de permettre à l’utilisateur d’accéder à ses données en cas de perte de sa clef. Toute utilisation de cette clef de sauvegarde doit faire l’objet d’une mesure de traçabilité et d’une information de l’utilisateur concerné.
    • le fournisseur du service doit prévoir une évolution de la taille des clefs et des algorithmes utilisés afin de garantir la confidentialité des données dans le future.
  4. Les transferts d’information vers et depuis un coffre-fort numérique doivent être chiffrés lorsqu’ils sont réalisés par un canal de communication non-sécurisé.
  5. Le fournisseur du service doit utiliser, dans la mesure du possible, des produits cryptographiques certifiés ou qualifiés par l’ANSSI.
  6. Le fournisseur doit être la plus transparente possible, auprès de leurs clients, sur les mécanismes de chiffrement utilisés.
  7. Le fournisseur doit utiliser des mécanismes d’authentification robuste, voire forte (tels que le mot de passe à usage unique, envoi de code par SMS). En cas d’utilisation du mécanisme de mot de passe pour authentification, respecter les recommandations de la CNIL en la matière
  8. Le fournisseur doit mettre en place des mesures visant à garantir l’intégrité et la disponibilité des données :
    • Centre de stockage redondant
    • Sauvegarde régulière
  9. Le fournisseur doit apporter des garanties en termes d’indemnisation des personnes en cas d’inefficacité de ces mesures ;
  10. Le fournisseur doit apporter des garanties fortes pour prévenir toute perte de données en cas de cessation d’activité ;
  11. Le fournisseur doit rendre accessible, sans surcoût, un outil permettant aux utilisateurs de récupérer l’intégralité du contenu de leur coffre-fort de façon simple, sans manipulation complexe ou répétitive et ce afin de faciliter le changement de fournisseur (droit des utilisateurs à la portabilité de leur données) ;
  12. Lorsqu’un coffre-fort numérique permet d’échanger des données avec des tiers le fournisseur doit mettre en place des mécanismes d’authentification de ces tiers ;
  13. Le fournisseur doit proposer des mécanismes de traçabilité permettant aux utilisateurs de visualiser l’activité récente sur leur coffre-fort numérique, afin de détecter les éventuelles intrusions non souhaitées ;
  14. Le fournisseur doit mettre en place des outils permettant de détecter et bloquer les connexions illégitimes aux coffre-fort numériques ;
  15. L’effacement d’un fichier par un utilisateur doit être immédiatement pris en compte. Les copies répliquées du document supprimé doivent également être supprimée sans délai. Les éventuelles sauvegardes ne doivent pas être conservées au-delà d’un mois ;
  16. Le fournisseur doit informer ses utilisateurs sur les mécanismes techniques qu’il met en œuvre afin de leur permettre de juger du niveau de sécurisation du service proposé ;
  17. Les utilisateurs doivent être informés quant aux modalités de résiliation du service et de récupération des données stockées ;

Quid au référentiel en matière de coffre-fort numérique ?

La CNIL adopte en date du 23 janvier 2014 un référentiel pour la délivrance de label en matière de services de coffre-fort numérique.

Le référentiel décrit les modalités de création, de gestion et le contenu des coffres-forts numériques. Il définit les critères permettant à la CNIL de déterminer si le service de coffre-fort concerné rempli les critères d’obtention de label (critères nécessaires à la protection des données l’objet du coffre-fort).

Le référentiel comporte 22 exigences, cumulatives. L’évaluation effectuée par la CNIL s’effectue en deux phase suivantes:

  • La conformité générale de traitements des données effectués par le demandeur du label aux règles en matière de protection des données.
  • La conformité spécifique du service de coffre-fort numérique aux règles en matière de protection des données.

Les demandeurs du label, doivent démontrer qu’ils satisfont aux exigences du référentiel en fournissant des justifications argumentées et des éléments de preuve.

Pour accéder au référentiel CNIL sur coffre-fort numérique:

DPOINFO-AVOCATS (DIA) vous accompagne pour la mise en place de votre service de coffre-fort numérique conforme aux exigences réglementaires et aux recommandations de la CNIL ainsi que pour l’obtention du label coffre-fort auprès de la CNIL.

Pour un devis ou pour toute autre question :

contact@dpoinfo-avocats.fr