Pour gérer vos consentements :
Categories: Cloud

Coffres-forts numériques : la CNIL délivre son b.a.-ba

Dans une délibération du 19 septembre 2013 publiée ce 9 octobre au Journal Officiel, la CNIL passe en revue les enjeux légaux et sécuritaires soulevés par les services de coffre-fort numérique.

La Commission constate que ces espaces de stockage numérique, entrés dans les moeurs en entreprise, se développent désormais auprès des particuliers, accompagnant la montée en puissance du commerce électronique et des téléservices.

Mais cette centralisation pose des problèmes au regard de la loi du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés.

Lors d’une concertation avec les principaux acteurs concernés, la CNIL a notamment évoqué la question de la destruction des données, de leur perte, de leur altération ou de leur divulgation à des tiers non autorisés.

Tout en délimitant le périmètre d’application du coffre-fort numérique, « dont l’accès [doit être] limité à son seul utilisateur et aux personnes physiquement spécialement mandatées par ce dernier« .

La justice n’ayant pas encore eu à se pencher sur cette question, il est recommandé à chaque prestataire de mettre en oeuvre des mesures techniques et organisationnelles strictes, avec une identification claire des objectifs, des contraintes et des risques.

Avant même son déploiement, un service de coffre-fort numérique doit faire l’objet d’un déclaration auprès de la CNIL, en vertu de l’article 3-I de la loi du 6 janvier 1978 modifiée.

Le prestataire est également tenu de préciser les catégories de données à caractère personnel qu’il sera amené à traiter pour assurer son service. Il s’agit typiquement d’identifiants et de mots de passe de connexion.

Nul besoin, en revanche, de spécifier quels types de données seront stockés, la main restant à l’utilisateur final. Mais le transfert de données hors de l’Union européenne reste soumis à une autorisation préalable (article 69).

En outre, le traitement de certains éléments est interdit ou réglementé. Cité pour l’exemple, le numéro de Sécurité sociale, qui ne peut être utilisé pour le routage d’un document dématérialisé vers un coffre-fort numérique, y compris dans le cas des bulletins de paye.

Quant aux données de santé, elles entrent dans le cadre d’un régime juridique spécifique. Leur manipulation requiert un agrément ministériel en vertu de l’article L. 1111-8 du code de la santé publique.

Sur la question de la conservation, le fournisseur du service ne doit pas être techniquement en mesure d’accéder au contenu d’un coffre-fort, ni à ses éventuelles sauvegardes, à moins d’avoir obtenu le consentement exprès de l’utilisateur.

Il est aussi tenu de prendre ‘immédiatement’ en compte les demandes de suppression de contenus, en laissant toutefois à l’utilisateur une marge de rétractation n’excédant pas 30 jours.

En cas de fermeture du service, les clients devront en être notifiés ‘suffisamment à l’avance’. Un outil de récupération sera mis à leur disposition sans surcoût pour éviter les manipulations complexes ou répétitives.

La CNIL préconise par ailleurs la mise en place d’un système de chiffrement conforme aux règles et recommandations de l’Agence nationale de sécurité des systèmes d’information (ANSSI).

Le recours à des mécanismes d’authentification forte – plus particulièrement l’envoi de codes par SMS – constitue une garantie supplémentaire, au même titre que la redondance des centres de stockage et des sauvegardes régulières.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous les services grand public de cloud computing ?

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago