Coffre-fort numérique et cloud computing : quel contrat ?

Coffre-fort numérique et cloud computing : quel contrat ?

Le coffre-fort numérique ne peut se passer du cloud, des exigences particulières doivent figurer au contrat.

Le coffre-fort numérique ou électronique a fait son entrée dans le droit français par la loi pour une République numérique. L’article 87 de cette loi codifiée à l’article L137 du Code des postes et communications électroniques (« CPCE ») (1 et 2) pose des exigences très précises que le contrat cloud correspondant doit mettre en œuvre.

Coffre-fort numérique, exigences du CPCE et contrat

Une grande partie des exigences du CPCE à l’article précité sont communes à celles visées à l’article 28§3 du RGPD (3 et 4). Cependant, le CPCE va plus loin sur les exigences suivantes qui doivent directement se traduire dans le contrat. On a ainsi :

  • l’exigence de traçabilité et de gestion des logs dans le service de coffre-fort numérique qui doit se traduire par un article « convention de preuve » dans le corps du contrat et des annexes techniques et sécurité physiques et logiques conformes ;
  • un accès exclusif pour l’utilisateur et les tiers désignés : outre les annexes précitées, ce sont les clauses de confidentialité et de sous-traitance qui doivent être présentes ;
  • un droit à la récupération des documents et des données : c’est la clause réversibilité du contrat qui doit détailler concrètement comment ces obligations s’appliquent.

Ces obligations générales pourront être déclinées et précisées selon les usages : conservation du contrat de travail et bulletins de paie ou encore de documents de nature administrative.

Coffre-fort numérique, exigences normatives, label et contrat

L’article L137 du CPCE prévoit que le coffre-fort numérique peut bénéficier d’une certification facultative, selon les modalités d’un décret en Conseil d’Etat à intervenir.

Pour l’heure, le coffre-fort numérique peut déjà bénéficier d’un label délivré par la Cnil (5) ou d’une certification à la norme NF Z 42-020 (6). Contractuellement, ces labels ou certifications sont un marqueur clés de conformité et de qualité des prestations attendues. Il est conseillé de prévoir au contrat qu’ils sont un élément substantiel ayant déterminé les parties à contracter. En cas de perte de labellisation ou certification, il convient de stipuler au contrat que le client pourra alors résilier le contrat de plein droit. Si c’est simplement le label ou la certification qui change de nom ou disparaît, quelle qu’en soit la raison, il est alors prudent de prévoir que le prestataire maintiendra le même niveau de qualité de prestation et s’engagera, le cas échéant, à obtenir le label ou le certificat nouvellement applicable.

Eric Le Quellenec
Lexing Droit Informatique

(1) Loi 2016-1321 du 7-10-2016
(2) Post du 21-11-2016
(3) Règlement 2016/679 du 2-4-2016
(4) Post du 30-1-2017
(5) Ce label Cnil repose sur un référentiel adopté le 23-1-2014
(6) Norme NF Z 42-020




Quand le coffre-fort numérique entre dans le droit français

Quand le coffre-fort numérique entre dans le droit françaisLe coffre-fort numérique ou électronique, tout le monde en parle et en veut mais personne ne sait bien ce que c’est.

Depuis novembre 2013, la Cnil avait pressenti les difficultés que pourraient rencontrer les particulier et consommateurs, liées aux transferts multiples de documents, pour la plupart scannés, vers des espaces « privatifs » en cloud, afin de ne plus les perdre : carte d’identité, passeport, permis de conduire, diplômes, prêt immobilier, contrat de bail, attestation de carte vitale, etc.

Et oui, de tels services en ligne sont bien pratiques surtout lorsque l’on n’est pas chez soi, à l’étranger par exemple, et que l’on a perdu l’original ! C’est pourquoi elle a distingué le coffre-fort numérique de l’espace de stockage (1) :

« Un espace de stockage numérique est un service qui a pour objet de conserver des documents dématérialisés sur un support informatique », alors que « le terme coffre-fort numérique, ou coffre-fort électronique, doit être réservé à une forme spécifique d’espace de stockage numérique, dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier. » Il doit garantir l’intégrité, la disponibilité et la confidentialité des données stockées et impliquer la mise en œuvre des mesures de sécurité décrites dans la recommandation de la Cnil.

L’article 87 de la loi pour une République numérique vient conforter la position de la Cnil et fait rentrer dans notre droit français le coffre-fort numérique à l’article 137 du Code des postes et communications électroniques.

Le nouvel article 137 en donne ainsi une définition par les fonctionnalités légalement attendues.

Une valeur probatoire :

« 1. La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;
2. La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ;
3. L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L. 136 ».

Une garantie d’accès exclusif pour l’utilisateur et les tiers désignés :

« 4. De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ».

Un droit à la récupération des documents et des données :

« 5. De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret ».

Le coffre-fort peut également prévoir de fournir des services de confiance au sens du règlement européen eIDAS comme la signature électronique, le cachet électronique, l’horodatage électronique, l’envoi recommandé électronique ou … la gestion du document électronique.

La vocation primaire du texte est de renforcer la confiance des utilisateurs dans ce type de service en cloud.

A cet égard, la loi prévoit deux éléments nouveaux fondant le statut du prestataire de coffre-fort électronique :

  • une sanction destinée à la protection des consommateurs : lorsque le prestataire de service de coffre-fort numérique ne respecte pas les obligations légales, il est passible des sanctions prévues aux articles L. 132-2 et L. 132-3 du Code de la consommation, à savoir une amende de 15000 € ;
  • une certification facultative : un cahier des charges nécessaire pour obtenir la certification sera établi par l’Anssi après avis de la Cnil et un décret en conseil d’Etat, pris après avis de la Cnil, précisera les modalités de mise en œuvre du service de coffre-fort numérique et sa certification.

Avec les bouleversements législatifs de la loi pour une République numérique mais également de la loi Travail, le coffre-fort numérique a un bel avenir devant lui, développant ainsi de nouveaux usages comme, par exemple, le bulletin de paie électronique ou le coffre-fort de l’usager dans ses relations avec les administrations publiques.

Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information

(1) Cnil, Délib. 2013-270 du 19-9-2013 portant recommandation relative aux services dits de
« coffre-fort numérique ou électronique » destinés aux particuliers ; Voir Post du 19-3-2014 et Post du 19-11-2013




La gestion des données des applications abandonnées

La gestion des données des applications abandonnéesPolyanna Bigle est interrogée par le Groupe CGI (*) sur ce que doivent faire les DSI des données des applications abandonnées.

Certaines applications abandonnées au profit d’autres plus récentes et plus performantes, que faire des données qu’elles contenaient ?  Maître Polyanna Bigle répond que cela dépend du type de données concernées du point de vue légal car en effet ces archives peuvent constituer une preuve. L’entreprise doit donc prévoir au préalable un moyen de réversibilité, c’est-à-dire un moyen de récupérer les informations recueillies quelles que soient les applications abandonnées.

La principale raison à cette conservation nécessaire des données est qu’elles constituent bien souvent des preuves juridiques. La loi est même très précise quant à la durée de conservation de chaque type d’information. Par exemple, les documents comptables comme les factures doivent être conservés sur une durée qui peut aller jusqu’à dix ans. Mais si le droit précise des durées de conservation légales mais il ne donne pas encore d’indications sur la façon dont ces données doivent être conservées : il existe des normes d’archivage mais pas encore d’obligations.

 « On trouve plusieurs normes d’archivage. L’exemple le plus connu est la norme NF Z 42-013 qui détaille une série de bonnes pratiques ». Parmi celles-ci : le cadre de l’archivage et des services de coffre-fort numérique. Sont ainsi listées les métadonnées (identifiant, date de création, etc.) à conserver pour chaque document numérique. « Ce sont pour l’instant des recommandations mais elles risquent de devenir obligatoires dans les prochaines années » estime Maître Polyanna Bigle.

Les données personnelles ont un traitement à part, le principe du droit à l’oubli, inscrit en 2004 dans la loi informatique et liberté, prévoyant la destruction des données nominatives une fois que le motif pour lequel elles ont été collectées n’est plus valable. Dans ce cadre, les entreprises sont tenues de supprimer les données quelle que soit la situation de l’application qui les conserve. C’est en partie pour cette raison que Maître Polyanna Bigle précise : « Les entreprises doivent mettre en place un système d’archivage et de purge des données sans attendre l’obsolescence des applications ».

Interview : « Applications abandonnées pourquoi garder les données ? », CGI Expert, 3 décembre 2015.

(*) Groupe CGI (Common Gateway Interface)




Coffre-fort numérique : création d’un label Cnil

Coffre-fort numérique : création d'un label CnilCoffre-fort numérique – La Cnil adopte pour la première fois un référentiel permettant la délivrance de labels en matière de services de coffre-fort numérique (1), synonyme ici de « coffre-fort électronique » dans le prolongement de ses recommandations de 2013 (2). 

Ce référentiel contraignant concerne « les offres proposées à des particuliers de services de stockage, dématérialisé et sécurisé, de données, et dont l’objet est de conserver des documents sur un support informatique ». Ces offres se distinguent des espaces de stockage en ce que « les données conservées incluant les documents stockés et leurs métadonnées ne sont accessibles qu’au seul titulaire du coffre et, le cas échéant, aux personnes physiques que le titulaire a spécifiquement habilitées à cet effet ».

Cette définition renvoie directement à la définition par la Cnil des services dits de coffre-fort numérique ou électronique.

Ce label est réservé aux candidats au label à la fois opérateurs techniques du service et fournisseurs de ce service auprès des particuliers qui démontrent, par des justifications argumentées et des éléments de preuves, qu’ils satisfont aux conditions posées par le référentiel.

Dans le cas où ces fonctions sont dévolues à deux personnes morales distinctes, la demande de label devra être formulée conjointement par l’opérateur et le fournisseur, afin de justifier de la conformité au référentiel.

La délivrance du label est subordonnée à la démonstration, par le candidat, du respect de 22 exigences cumulatives portant sur :

  • la démarche de conformité mise en œuvre par le fournisseur du service « qui doit, pour l’ensemble des traitements qu’il met en œuvre, veiller à la protection des données personnelles au-delà du seul service objet de la demande de label » ;
  • et sur « la protection des données du service de coffre-fort numérique, objet de la demande de label, reprenant : les données traitées, l’accès aux données, la conservation des données, l’information des personnes, la gestion des risques et les mécanismes cryptographiques ».

La délivrance du label par la Cnil impose ainsi notamment la démonstration par le candidat que le service satisfait à des obligations relatives à la gestion des risques, à la conformité et aux mécanismes cryptographiques intégrés dans le service de coffre-fort numérique.

Dans la mesure où la labellisation Cnil constitue un marqueur fort permettant au consommateur de s’orienter vers les services les plus respectueux des données personnelles, il revient aux prestataires offrant des services de coffre-fort numérique de les auditer afin de démontrer la conformité de leur service aux exigences du label ou de déterminer les moyens techniques nécessaires au respect de ce standard.

Selon l’article 2.5 de l’annexe de la délibération, cette analyse de conformité devra en outre être renouvelée tous les trois ans, au même titre que l’étude des menaces et l’audit de l’effectivité et de l’efficacité des mesures choisies.

Polyanna Bigle
Jean-Baptiste Gevart
Lexing Droit Sécurité des systèmes d’information

(1) Délib. 2014-017 du 23-1-2014.
(2) Délib. 2013-270 du 19-9-2013.




Coffre-fort électronique : les recommandations de la Cnil

coffre-fort électroniquePolyanna Bigle – La Cnil a déjà édicté une fiche pratique sur « Les coffres forts électroniques en question » en juin 2011. Mais en parallèle des services destinés aux entreprises et professionnels, on assiste au développement exponentiel des services de dématérialisation des documents pour les particuliers, ainsi que des services de stockage dématérialisés de ces documents électroniques. La Cnil ne s’arrête pas non plus à sa fiche pratique et propose une série de recommandations sur les services de coffre-fort électronique et numérique (ci-après « coffre-fort électronique » ou « CFE-N ») ainsi que les espaces numériques de stockage (1).

Les définitions techniques. La Cnil distingue les CFE-N des simples espaces de stockage numérique. Le CFE-N est un espace de stockage numérique particulier « dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier », qui doit « garantir l’intégrité, la disponibilité et la confidentialité des données stockées ». Le CFE-N se distingue ainsi des espaces clients sur le Web, ou d’autres espaces de stockage numérique qui ne répondraient pas aux critères et aux mesures édictées par la recommandation de la Cnil.

L’application de la loi Informatique et libertés. La recommandation de la Cnil ne vise ici que les services de CFE-N destinés aux particuliers. Il n’est cependant pas exclu que certaines recommandations puissent s’appliquer, au moins à titre de « bonnes pratiques », aux services de coffre-fort électronique fournis aux professionnels.

Un traitement de données à caractère personnel. Dans sa recommandation, la Cnil confirme que le CFE-N constitue un traitement automatisé de données à caractère personnel soumis à la loi du 6 janvier 1978 et ce, pour deux motifs : il est géré par des opérations informatisées et il est « par nature lié à une personne physique identifiable ». Les recommandations sont formulées à destination des prestataires de services de coffre-fort électronique considérés comme responsables de traitement.

Application au coffre-fort électronique établi à l’étranger. La Cnil considère que la loi est également applicable aux sociétés établies hors Union européenne proposant des services de CFE-N « dès lors qu’elles utilisent des moyens de traitement en France ».

Exclusions. Le particulier utilisant ou mettant en œuvre un espace de stockage numérique de documents, dont il a la propriété, pour son usage personnel, ne se voit pas soumis à la loi précitée. S’il en était autrement, la Cnil serait submergée de déclarations.

Régime des formalités préalables des prestataires de CFE-N. Le régime des formalités préalables n’est pas unique pour les coffres-forts électroniques. En effet, le prestataire de services de CFE-N destinés aux particuliers devra effectuer auprès de la Cnil :

  • soit une déclaration normale avant sa mise en œuvre ;
  • soit une demande d’autorisation préalable si le prestataire transfère les données stockées par les utilisateurs en dehors de l’Union Européenne ; à défaut, les données hébergées dans les CFE-N ne doivent pas quitter le territoire de l’Union Européenne ni le territoire d’un Etat offrant un niveau de protection suffisant au sens de l’article 68 de la loi ;
  • soit une demande d’agrément ministériel spécifique lorsque la prestation de CFE-N consiste à stocker des données de santé, même lorsque cela n’est pas la destination principale du CFE-N mais qu’il propose par exemple « par défaut un dossier santé » parmi les autres modalités de classement des documents ou fichiers.

Les recommandations quant aux données traitées dans les coffres-forts électroniques. La Cnil émet un certain nombre de recommandations visant :

  • les données traitées ;
  • les destinataires ;
  • les durées de conservation ;
  • l’information des personnes, ainsi que
  • les mesures de sécurité préconisées.

On notera en particulier que le numéro de sécurité sociale « ne peut être utilisé pour le routage des documents dématérialisés vers un coffre-fort numérique », même pour les bulletins de paye : si ces derniers peuvent naturellement être stockés par les particuliers, le routage automatique devra être effectué par un autre moyen de récupération.

Confidentialité. La Cnil insiste également sur le fait que le contenu des CFE-N ne doit pas être consultable par d’autres personnes que l’utilisateur lui-même ou ses mandataires désignés. Des mesures techniques doivent protéger le coffre-fort électronique rendant leur contenu « incompréhensible aux tiers non autorisés ».

Le prestataire ne doit pas non plus techniquement accéder au contenu ou à ses sauvegardes « sans le consentement exprès de l’utilisateur concerné ». On en déduira que les prestataires de CFE-N ne pourraient pas être tenus responsables des contenus éventuellement illicites stockés dans leurs coffre-fort électronique.

On note également que la Cnil préconise aux prestataires proposant des services de récupération automatique de documents dématérialisés auprès de tiers (par exemple des factures dématérialisées des prestataires d’électricité, de fournisseurs d’abonnements, de commandes en ligne, etc…) d’élaborer des solutions techniques qui ne collectent pas d’informations confidentielles comme les identifiants et les mots de passe.

Sécurité. Enfin, les recommandations de la Cnil relatives à la sécurité des CFE-N sont au nombre de 19 et particulièrement détaillées avec toujours pour objectif de préserver la confidentialité et la récupération des contenus stockés par les particuliers.

Elle recommande notamment la mise en place des mécanismes cryptographiques utilisant « dans la mesure du possible des produits cryptographiques certifiés ou qualifiés par l’Agence nationale de la sécurité des systèmes d’information » et la conservation des copies de sauvegarde et des clés de déchiffrement chez un tiers de confiance pour les conservations de contenu de longue durée.

A toutes fins utiles, on attirera l’attention du lecteur sur le régime spécifique de démarches préalables quant à l’utilisation, l’importation et le transfert de moyens et de prestations de cryptologies s’effectuant auprès de l’Anssi et auquel pourra être soumis le prestataire de services de CFE-N (2).

Pour conclure. Ainsi tant les conditions techniques, notamment de sécurité, que les conditions juridiques générales et particulières des prestataires de services de coffre-fort électronique ou numérique destinés aux particuliers devront être mises à jour à la lumière des recommandations de la Cnil. Les prestataires pourront les combiner avec le référentiel de la norme Afnor Z42-020 de juillet 2012 sur les composants de coffre-fort électronique.

Enfin les prestataires devront prendre soin d’effectuer les démarches préalables adéquates auprès de la Cnil en fonction des services proposés aux particuliers et du lieu de stockage.

Lexing Droit Sécurité des systèmes d’information

(1) Cnil, Délibération n°2013-270 du 19-9-2013
(2) Loi n° 2004-575 du 21-6-2004, art. 29 et s.