Par Stéphane ASTIER et Julie SOUSSAN
Factures, fiches de paie, contrats, relevés bancaires, diplômes… il peut être tentant de stocker vos documents importants au sein d’un coffre-fort numérique. On parle en effet de coffre-fort numérique pour désigner un espace en ligne permettant de stocker tout type de documents de manière dématérialisée. Au-delà de l’espace de stockage, cet espace digital sera surtout utilisé au regard des garanties de sécurité qu’il offre pour assurer la protection des données qui y sont stockées.
Un régime juridique spécifique est ainsi défini pour assurer cette sécurité. Ce régime a, du reste, été modifié depuis le 1er janvier 2019[1]. L’occasion de revenir sur les exigences d’un tel service :
Le coffre-fort numérique doit tout d’abord permettre la réception, le stockage, la suppression et la transmission de données ou documents garantissant leur intégrité et l’exactitude de leur origine.
Des mesures de sécurité adaptées et conformes à l’état de l’art doivent ainsi être mises en place afin de garantir la confidentialité des documents et données stockés, ainsi que des métadonnées correspondantes[2].
De plus, l’ensemble des documents et données stockés par le coffre-fort ou transférés vers ou à partir de celui-ci doit être chiffré.
Afin de garantir l’intégrité et l’exactitude des données, les fournisseurs de services de coffres-forts numérique garantissent en outre une traçabilité des opérations réalisées.
Pour cela, le coffre-fort numérique met en place[3] :
Par ailleurs, seul l’utilisateur et les personnes autorisées explicitement par ce dernier doivent pouvoir accéder au contenu du coffre-fort.
Ainsi, l’opérateur de service de coffre-fort numérique doit mettre en place un moyen d’identification électronique « adapté aux enjeux de sécurité du service »[4].
La sécurité offerte par le coffre-fort numérique provient également de l’obligation faite aux fournisseurs de services de coffres-forts numériques, de garantir un accès exclusif aux documents et données de l’utilisateur. Selon l’article R. 55-6 du CPCE issu du décret du 30 mai 2018, cette garantie passe par la mise en œuvre, au minimum, des mesures suivantes :
Enfin, le coffre-fort numérique doit offrir à l’utilisateur la possibilité de récupérer les documents et les données stockées dans un standard ouvert, aisément réutilisable et exploitable par un système de traitement automatisé de données.
Le décret du 30 mai 2018, applicable depuis le 1er janvier 2019, vient fixer les conditions d’une telle réversibilité[5] :
Au regard de ce qui précède, l’objectif de la réglementation relative au coffre-fort numérique est d’établir un seuil d’exigences minimales pour pouvoir légalement qualifier un service de « coffre-fort numérique ».
Ces services peuvent en outre bénéficier d’une certification établie selon un cahier des charges proposé par l’ANSSI. Il convient donc de privilégier les services de coffres-forts numériques certifiés, gage de sécurisation et de confidentialité des données.
******
Spécialisé en droit des nouvelles technologies et en droit de la propriété intellectuelle, le Cabinet HAAS Avocats accompagne les acteurs du digital dans le développement de services de tous types en ce inclus les services de coffres-forts numériques : établissement des contrats, négociations, assistance à l’obtention de certifications, contentieux etc.
Vous souhaitez en savoir plus sur nos prestations ? Contactez-nous.
[1] Décret n°2018-418 du 30 mai 2018
[2] Article 55-3 du Code des postes et des communications électroniques
[3] Article R. 55-4 du Code des postes et des communications électroniques
[4] Article R. 55-5 du Code des postes et des communications électroniques
[5] Article D. 547 Code des postes et des communications électroniques