Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’entrée fracassante du Coffre-fort numérique dans le Droit français

mai 2017 par POLYANNA BIGLE, Avocate, Directeur du Département sécurité numérique au sein du Cabinet Alain Bensoussan - Lexing

On connait le coffre-fort physique par exemple celui d’une banque ou celui que l’on cache chez soi derrière un tableau ou dans sa cave. Aujourd’hui, il existe son homologue dans le monde numérique pour conserver ses trésors dématérialisés : proposé par de nombreux prestataires depuis quelques temps, le coffre-fort numérique fait son entrée dans le droit français. Le coffre-fort peut également être associé à différents types de services de confiance, comme la signature électronique (1) et ainsi contribuer à l’efficacité des services électroniques publics et privés ainsi qu’à l’activité économique et au commerce électronique.

De plus en plus de documents son dématérialisés. Or il faut bien les conserver pour préserver leur valeur légale (relevés de comptes bancaires, factures, contrats,…), conserver des copies scannées de documents importants : carte d’identité, passeport, permis de conduire, diplômes, prêt immobilier, contrat de bail, attestation de carte vitale, etc.) ou bien conserver ou échanger les éléments à valeur patrimoniale ou sentimentale (photos, vidéo, mp3,…). Les services de conservation et d’échange en ligne sont bien pratiques surtout lorsque l’on n’est pas chez soi, à l’étranger par exemple, et que l’on a perdu l’original ou que l’on souhaite les partager avec sa famille ou ses collaborateurs. Oui mais n’est-ce pas un peu risqué (2) même si le but est de ne pas les perdre : piratage et vol de données, indisponibilité du service, modification des fichiers…. ?

Depuis novembre 2013, la Cnil avait pressenti les difficultés que pourraient rencontrer les particuliers et consommateurs, liées aux transferts multiples de documents, pour la plupart scannés, vers des espaces « privatifs » en cloud. C’est pourquoi elle a distingué l’espace de stockage du coffre-fort numérique (3) et recommande que le coffre-fort numérique satisfasse à de nombreuses exigences de sécurité :

 « Un espace de stockage numérique est un service qui a pour objet de conserver des documents dématérialisés sur un support informatique », alors que « le terme coffre-fort numérique, ou coffre-fort électronique, doit être réservé à une forme spécifique d’espace de stockage numérique, dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier. » Il doit garantir l’intégrité, la disponibilité et la confidentialité des données stockées et mettre en œuvre des mesures de sécurité décrites dans la recommandation de la Cnil.
L’article 87 de la loi pour une République numérique vient conforter la position de la Cnil et fait rentrer dans notre droit français le coffre-fort numérique à l’article 137 du Code des postes et communications électroniques.
Le nouvel article 137 en donne ainsi une définition par les fonctionnalités légalement attendues :
 une valeur probatoire avec des garanties d’intégrité, d’exactitude, de traçabilité, de disponibilité et d’identification de l’utilisateur ;
 une garantie d’accès exclusif pour l’utilisateur et les tiers désignés : il permet à l’utilisateur de désigner qui pourra accéder à ses fichiers conservés ;
 un droit à la récupération des documents et des données dans un standard ouvert aisément réutilisable et exploitable.
Le coffre-fort peut également prévoir de fournir des services de confiance (5) au sens du règlement européen eIDAS comme la signature électronique, le cachet électronique, l’horodatage électronique, l’envoi recommandé électronique ou la gestion du document électronique.
La vocation primaire du texte est de renforcer la confiance des utilisateurs dans ce type de service en cloud. A cet égard, la loi prévoit deux éléments nouveaux fondant le statut du prestataire de coffre-fort électronique :
 une sanction destinée à la protection des consommateurs : lorsque le prestataire de service de coffre-fort numérique ne respecte pas les obligations légales, il est passible des sanctions prévues aux articles L. 132-2 et L. 132-3 du Code de la consommation, à savoir une amende de 15000 € ;
 une certification facultative : un cahier des charges nécessaire pour obtenir la certification sera établi par l’Anssi (5) après avis de la Cnil et un décret en conseil d’Etat, pris après avis de la Cnil, précisera les modalités de mise en œuvre du service de coffre-fort numérique et sa certification.
On pressent le développement de nouveaux usages pour le coffre-fort numérique à la française avec notamment le bulletin de paie électronique et sans doute le dossier du salarié, le coffre-fort de l’usager dans ses relations avec les administrations publiques, mais encore, la transmission des informations précontractuelles et contractuelles sur support durable.


REFERENCES
(1) Loi 2016-1321 du 7-10-2016 pour une République numérique, Article 87 : « Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement (UE) n° 910/2014 (…) ».

(2) Selon le Baromètre Acsel de la Confiance des Français dans le numérique, seuls 37% des personnes interrogées se déclarent confiants dans le numérique. http://www.acsel.asso.fr/presentation-de-5eme-vague-barometre-de-confiance-francais-numerique/

(3) Cnil, Délib. 2013-270 du 19-9-2013 portant recommandation relative aux services dits de « coffre-fort numérique ou électronique » destinés aux particuliers
https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000028112009

(4) « service de confiance », un service électronique normalement fourni contre rémunération qui consiste : a) en la création, en la vérification et en la validation de signatures électroniques, de cachets électroniques ou d’horodatages électroniques, de services d’envoi recommandé électronique et de certificats relatifs à ces services ; ou b) en la création, en la vérification et en la validation de certificats pour l’authentification de site internet ; ou c) en la conservation de signatures électroniques, de cachets électroniques ou des certificats relatifs à ces services. » Reg. eIDas 910/2014, art. 3(16).

(5) Agence nationale de sécurité des systèmes d’information, www.ssi.gouv.fr/


Voir les articles précédents

    

Voir les articles suivants