De nouveaux services dits de « coffre-fort numérique » permettent aujourd’hui à des particuliers ou à des entreprises de stocker en ligne des documents et données sous format numérique. Ils sont proposés par des prestataires de plus en plus nombreux et la Cnil a mis en place un label (Délibération 2014-017 du 23-1-2014). On constate toutefois que toutes les offres ne répondent pas aux caractéristiques d’un coffre-fort et ne s’astreignent pas, notamment, au respect de l’inviolabilité et du secret du contenu déposé dans le coffre-fort par le titulaire.
L’objectif de la loi pour une République numérique est d’introduire une première reconnaissance légale de ce type de service qui a pour objet (CPCE art. L 137) :
- la réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;
- la traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ;
- l’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique ;
- la garantie de l’accès exclusif aux documents électroniques ou aux données par l'utilisateur, les tiers explicitement autorisés par lui et, le cas échéant, le prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès ;
- la récupération par l’utilisateur des documents et des données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine.
Il est aussi prévu que les coffres-forts puissent bénéficier d’une certification sur la base d’un cahier des charges établi par l’Anssi (Autorité nationale de la sécurité des systèmes d'information) après avis de la Cnil et approbation du ministre chargé du numérique, qui permette d’attester la robustesse des fonctions qui la composent.
Les modalités de mise en œuvre de ces dispositions seront définies par un décret annoncé pour mars 2017.
Vincent LECOCQ
Pour en savoir plus sur le coffre-fort numérique : voir Mémento Particuliers n° 67453