Par Stéphane ASTIER et Julie SOUSSAN
Factures, fiches de paie, contrats, relevés bancaires, diplômes… il peut être tentant de stocker vos documents importants au sein d’un coffre-fort numérique. On parle en effet de coffre-fort numérique pour désigner un espace en ligne permettant de stocker tout type de documents de manière dématérialisée. Au-delà de l’espace de stockage, cet espace digital sera surtout utilisé au regard des garanties de sécurité qu’il offre pour assurer la protection des données qui y sont stockées.
Un régime juridique spécifique est ainsi défini pour assurer cette sécurité. Ce régime a, du reste, été modifié depuis le 1er janvier 2019[1]. L’occasion de revenir sur les exigences d’un tel service :
1. Garantir l’intégrité et l’exactitude des données
Le coffre-fort numérique doit tout d’abord permettre la réception, le stockage, la suppression et la transmission de données ou documents garantissant leur intégrité et l’exactitude de leur origine.
Des mesures de sécurité adaptées et conformes à l’état de l’art doivent ainsi être mises en place afin de garantir la confidentialité des documents et données stockés, ainsi que des métadonnées correspondantes[2].
De plus, l’ensemble des documents et données stockés par le coffre-fort ou transférés vers ou à partir de celui-ci doit être chiffré.
2. La traçabilité des opérations réalisées
Afin de garantir l’intégrité et l’exactitude des données, les fournisseurs de services de coffres-forts numérique garantissent en outre une traçabilité des opérations réalisées.
Pour cela, le coffre-fort numérique met en place[3] :
- L’enregistrement et l’horodatage des accès et tentatives d’accès ;
- L’enregistrement des opérations affectant le contenu ou l’organisation des données et documents de l’utilisateur ;
- L’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres forts numériques.
3. L’identification de l’utilisateur lors de l’accès au service
Par ailleurs, seul l’utilisateur et les personnes autorisées explicitement par ce dernier doivent pouvoir accéder au contenu du coffre-fort.
Ainsi, l’opérateur de service de coffre-fort numérique doit mettre en place un moyen d’identification électronique « adapté aux enjeux de sécurité du service »[4].
4. Un accès exclusif aux documents électroniques
La sécurité offerte par le coffre-fort numérique provient également de l’obligation faite aux fournisseurs de services de coffres-forts numériques, de garantir un accès exclusif aux documents et données de l’utilisateur. Selon l’article R. 55-6 du CPCE issu du décret du 30 mai 2018, cette garantie passe par la mise en œuvre, au minimum, des mesures suivantes :
- Un mécanisme de contrôle d’accès limitant l’ouverture du coffre-fort numérique aux seules personnes autorisées par l’utilisateur ;
- Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ;
- Le chiffrement de l’ensemble des documents et données stockées.
5. Une récupération des documents et données stockées
Enfin, le coffre-fort numérique doit offrir à l’utilisateur la possibilité de récupérer les documents et les données stockées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé de données.
Le décret du 30 mai 2018, applicable depuis le 1er janvier 2019, vient fixer les conditions d’une telle réversibilité[5] :
- La récupération doit pouvoir être effectuée par voie électronique, et ce grâce à une demande unique ;
- Le fournisseur de service de coffre-fort numérique doit prendre les mesures nécessaires pour assurer une récupération « complète, intègre et [réalisée] dans un délai raisonnable» ;
- Les données devront être restituées dans un « format électronique ouvert, structuré, couramment utilisé, aisément réutilisable et exploitable par un système de traitement automatisé de données sauf dans le cas des documents initialement déposés dans un format non ouvert qui peuvent être restitués dans leur format d'origine».
Au regard de ce qui précède, l’objectif de la réglementation relative au coffre-fort numérique est d’établir un seuil d’exigences minimales pour pouvoir légalement qualifier un service de « coffre-fort numérique ».
Ces services peuvent en outre bénéficier d’une certification établie selon un cahier des charges proposé par l’ANSSI. Il convient donc de privilégier les services de coffres-forts numériques certifiés, gage de sécurisation et de confidentialité des données.
******
Spécialisé en droit des nouvelles technologies et en droit de la propriété intellectuelle, le Cabinet HAAS Avocats accompagne les acteurs du digital dans le développement de services de tous types en ce inclus les services de coffres-forts numériques : établissement des contrats, négociations, assistance à l’obtention de certifications, contentieux etc.
Vous souhaitez en savoir plus sur nos prestations ? Contactez-nous.
[1] Décret n°2018-418 du 30 mai 2018
[2] Article 55-3 du Code des postes et des communications électroniques
[3] Article R. 55-4 du Code des postes et des communications électroniques
[4] Article R. 55-5 du Code des postes et des communications électroniques
[5] Article D. 547 Code des postes et des communications électroniques