Publication du décret relatif au service de coffre-fort numérique

Le 31 mai 2018 a été publié le décret n°2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique, pris en application de la loi du 7 octobre 2016 pour une République numérique. Il impose aux fournisseurs de services de coffre-fort numérique des obligations relatives à l’information due à l’utilisateur, à la démonstration du respect des exigences légales par la tenue d’un dossier technique, à la mise en place de mesures de sécurité pour assurer l’intégrité, la disponibilité et l’exactitude de l’origine des données et documents stockés dans le coffre-fort numérique ainsi qu’à la traçabilité des opérations réalisées sur ces données et documents.

Pour lire le décret sur Légifrance

Loi pour une République numérique : service de coffre-fort numérique

La loi pour une République numérique du 7 octobre 2016 porte création d’un article L. 137 dans le Code des postes et des communications électroniques (CPCE), lequel définit le service de coffre-fort numérique. Il s’agit d’un service qui a pour objet notamment “la réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine”, “la traçabilité des opérations réalisées sur ces documents ou données”, et “de donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert”. Une certification pourra être  accordée selon  un  cahier des charges proposé par l’ANSSI après avis de la CNIL et approuvé par arrêté du ministre chargé du numérique. Un décret d’application précisera les modalités de mise en œuvre et de certification du service.

Pour lire l'article dans le Code des postes et des communications électroniques

Coffre-fort numérique : labels de la CNIL

Le 23 janvier 2014, la CNIL a adopté un référentiel pour la délivrance de labels en matière de services de coffre-fort numérique s’adressant aux particuliers. Ces services visent à conserver des documents sur un support informatique de façon sécurisée. La CNIL a défini des critères permettant de jauger la sécurité du service pour délivrer des labels. Parmi ces critères, figurent l’obligation d’intégrer "une fonction de chiffrement/déchiffrement des données conservées", ainsi que celle de procéder à une "analyse de la conformité aux références applicables au service de coffre-fort numérique, préalablement à sa mise en place puis tous les trois ans".

Pour lire la délibération de la CNIL.

Recommandation de la CNIL relative aux services de « coffre-fort numérique ou électronique »

La CNIL a adopté le 19 septembre 2013 une délibération portant recommandation sur les services dits de « coffre-fort numérique ou électronique » destinés aux particuliers. Elle rappelle que ces services constituent un traitement automatisé de données à caractère personnel et qu’ils doivent faire l’objet de formalités préalables auprès de la CNIL avant leur mise en œuvre. La délibération contient en outre une liste de recommandations sur les données traitées, leurs destinataires, les mesures de sécurité à prendre, les durées de conservation et l’information des personnes.

Pour lire la délibération de la CNIL.