Coffre-fort électronique : les recommandations de la Cnil

Polyanna Bigle – La Cnil a déjà édicté une fiche pratique sur « Les coffres forts électroniques en question » en juin 2011. Mais en parallèle des services destinés aux entreprises et professionnels, on assiste au développement exponentiel des services de dématérialisation des documents pour les particuliers, ainsi que des services de stockage dématérialisés de ces documents électroniques. La Cnil ne s’arrête pas non plus à sa fiche pratique et propose une série de recommandations sur les services de coffre-fort électronique et numérique (ci-après « coffre-fort électronique » ou « CFE-N ») ainsi que les espaces numériques de stockage (1).

Les définitions techniques. La Cnil distingue les CFE-N des simples espaces de stockage numérique. Le CFE-N est un espace de stockage numérique particulier « dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier », qui doit « garantir l’intégrité, la disponibilité et la confidentialité des données stockées ». Le CFE-N se distingue ainsi des espaces clients sur le Web, ou d’autres espaces de stockage numérique qui ne répondraient pas aux critères et aux mesures édictées par la recommandation de la Cnil.

L’application de la loi Informatique et libertés. La recommandation de la Cnil ne vise ici que les services de CFE-N destinés aux particuliers. Il n’est cependant pas exclu que certaines recommandations puissent s’appliquer, au moins à titre de « bonnes pratiques », aux services de coffre-fort électronique fournis aux professionnels.

Un traitement de données à caractère personnel. Dans sa recommandation, la Cnil confirme que le CFE-N constitue un traitement automatisé de données à caractère personnel soumis à la loi du 6 janvier 1978 et ce, pour deux motifs : il est géré par des opérations informatisées et il est « par nature lié à une personne physique identifiable ». Les recommandations sont formulées à destination des prestataires de services de coffre-fort électronique considérés comme responsables de traitement.

Application au coffre-fort électronique établi à l’étranger. La Cnil considère que la loi est également applicable aux sociétés établies hors Union européenne proposant des services de CFE-N « dès lors qu’elles utilisent des moyens de traitement en France ».

Exclusions. Le particulier utilisant ou mettant en œuvre un espace de stockage numérique de documents, dont il a la propriété, pour son usage personnel, ne se voit pas soumis à la loi précitée. S’il en était autrement, la Cnil serait submergée de déclarations.

Régime des formalités préalables des prestataires de CFE-N. Le régime des formalités préalables n’est pas unique pour les coffres-forts électroniques. En effet, le prestataire de services de CFE-N destinés aux particuliers devra effectuer auprès de la Cnil :

• soit une déclaration normale avant sa mise en œuvre ;
• soit une demande d’autorisation préalable si le prestataire transfère les données stockées par les utilisateurs en dehors de l’Union Européenne ; à défaut, les données hébergées dans les CFE-N ne doivent pas quitter le territoire de l’Union Européenne ni le territoire d’un Etat offrant un niveau de protection suffisant au sens de l’article 68 de la loi ;
• soit une demande d’agrément ministériel spécifique lorsque la prestation de CFE-N consiste à stocker des données de santé, même lorsque cela n’est pas la destination principale du CFE-N mais qu’il propose par exemple « par défaut un dossier santé » parmi les autres modalités de classement des documents ou fichiers.

Les recommandations quant aux données traitées dans les coffres-forts électroniques. La Cnil émet un certain nombre de recommandations visant :

• les données traitées ;
• les destinataires ;
• les durées de conservation ;
• l’information des personnes, ainsi que
• les mesures de sécurité préconisées.

On notera en particulier que le numéro de sécurité sociale « ne peut être utilisé pour le routage des documents dématérialisés vers un coffre-fort numérique », même pour les bulletins de paye : si ces derniers peuvent naturellement être stockés par les particuliers, le routage automatique devra être effectué par un autre moyen de récupération.

Confidentialité. La Cnil insiste également sur le fait que le contenu des CFE-N ne doit pas être consultable par d’autres personnes que l’utilisateur lui-même ou ses mandataires désignés. Des mesures techniques doivent protéger le coffre-fort électronique rendant leur contenu « incompréhensible aux tiers non autorisés ».

Le prestataire ne doit pas non plus techniquement accéder au contenu ou à ses sauvegardes « sans le consentement exprès de l’utilisateur concerné ». On en déduira que les prestataires de CFE-N ne pourraient pas être tenus responsables des contenus éventuellement illicites stockés dans leurs coffre-fort électronique.

On note également que la Cnil préconise aux prestataires proposant des services de récupération automatique de documents dématérialisés auprès de tiers (par exemple des factures dématérialisées des prestataires d’électricité, de fournisseurs d’abonnements, de commandes en ligne, etc…) d’élaborer des solutions techniques qui ne collectent pas d’informations confidentielles comme les identifiants et les mots de passe.

Sécurité. Enfin, les recommandations de la Cnil relatives à la sécurité des CFE-N sont au nombre de 19 et particulièrement détaillées avec toujours pour objectif de préserver la confidentialité et la récupération des contenus stockés par les particuliers.

Elle recommande notamment la mise en place des mécanismes cryptographiques utilisant « dans la mesure du possible des produits cryptographiques certifiés ou qualifiés par l’Agence nationale de la sécurité des systèmes d’information » et la conservation des copies de sauvegarde et des clés de déchiffrement chez un tiers de confiance pour les conservations de contenu de longue durée.

A toutes fins utiles, on attirera l’attention du lecteur sur le régime spécifique de démarches préalables quant à l’utilisation, l’importation et le transfert de moyens et de prestations de cryptologies s’effectuant auprès de l’Anssi et auquel pourra être soumis le prestataire de services de CFE-N (2).

Pour conclure. Ainsi tant les conditions techniques, notamment de sécurité, que les conditions juridiques générales et particulières des prestataires de services de coffre-fort électronique ou numérique destinés aux particuliers devront être mises à jour à la lumière des recommandations de la Cnil. Les prestataires pourront les combiner avec le référentiel de la norme Afnor Z42-020 de juillet 2012 sur les composants de coffre-fort électronique.

Enfin les prestataires devront prendre soin d’effectuer les démarches préalables adéquates auprès de la Cnil en fonction des services proposés aux particuliers et du lieu de stockage.

Lexing Droit Sécurité des systèmes d’information

(1) Cnil, Délibération n°2013-270 du 19-9-2013
(2) Loi n° 2004-575 du 21-6-2004, art. 29 et s.