Loi pour une République numérique : service de coffre-fort numérique

La loi pour une République numérique du 7 octobre 2016 porte création d’un article L. 137 dans le Code des postes et des communications électroniques (CPCE), lequel définit le service de coffre-fort numérique. Il s’agit d’un service qui a pour objet notamment “la réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine”, “la traçabilité des opérations réalisées sur ces documents ou données”, et “de donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert”. Une certification pourra être  accordée selon  un  cahier des charges proposé par l’ANSSI après avis de la CNIL et approuvé par arrêté du ministre chargé du numérique. Un décret d’application précisera les modalités de mise en œuvre et de certification du service.

Pour lire l'article dans le Code des postes et des communications électroniques

Coffre-fort numérique : labels de la CNIL

Le 23 janvier 2014, la CNIL a adopté un référentiel pour la délivrance de labels en matière de services de coffre-fort numérique s’adressant aux particuliers. Ces services visent à conserver des documents sur un support informatique de façon sécurisée. La CNIL a défini des critères permettant de jauger la sécurité du service pour délivrer des labels. Parmi ces critères, figurent l’obligation d’intégrer "une fonction de chiffrement/déchiffrement des données conservées", ainsi que celle de procéder à une "analyse de la conformité aux références applicables au service de coffre-fort numérique, préalablement à sa mise en place puis tous les trois ans".

Pour lire la délibération de la CNIL.

Recommandation de la CNIL relative aux services de « coffre-fort numérique ou électronique »

La CNIL a adopté le 19 septembre 2013 une délibération portant recommandation sur les services dits de « coffre-fort numérique ou électronique » destinés aux particuliers. Elle rappelle que ces services constituent un traitement automatisé de données à caractère personnel et qu’ils doivent faire l’objet de formalités préalables auprès de la CNIL avant leur mise en œuvre. La délibération contient en outre une liste de recommandations sur les données traitées, leurs destinataires, les mesures de sécurité à prendre, les durées de conservation et l’information des personnes.

Pour lire la délibération de la CNIL.