Bulletins de paye des salariés, réponse à un appel d’offre public, factures et contrats dématérialisés… Tous ces documents sont produits fréquemment par les entreprises et ils les engagent. Pour les préserver et les protéger, elles peuvent jouer les Picsou et posséder un coffre-fort physique, mais les dossiers risquent rapidement de s’y accumuler. La seconde option : disposer d’un coffre-fort numérique, doté d’un moteur de recherche suffisamment précis et puissant pour pouvoir retrouver facilement les informations au moment voulu.
Cet outil est un véritable bunker numérique, différent d’un simple emplacement pour archiver ses données. Bardé de boucliers informatiques, il est capable de sceller une pièce pour une durée précise et de ne la rendre accessible qu’à un nombre restreint de personnes. Cette armure numérique associe une date et une heure précise au dépôt du document (horodater). Elle trace leurs entrées et sorties.
Mieux vaut héberger les documents en France
Trust2cloud, E-coffrefort, Securio… De nombreux sites web proposent d’emmagasiner les données des entreprises. Pour s’y retrouver dans cette jungle, la Cnil a créé un label qui étiquette les fournisseurs de coffres-forts électroniques fiables. Ils doivent notamment offrir un stockage sur une durée limitée, définie en amont avec le propriétaire, seul à pouvoir accéder aux informations contenues dans l’espace numérique (sauf précision expresse de sa part). La société qui les emmagasine ne doit en aucun cas détenir le sésame pour accéder aux documents.
La Cnil recommande que les données soient cryptées à toutes les étapes du processus : entrée et sortie du coffre, stockage… La clef utilisée doit être suffisamment complexe pour répondre aux exigences de l’Agence nationale de la sécurité des systèmes d’information et seul l’utilisateur du coffre et éventuellement un tiers de confiance doivent la connaître.
Mieux vaut que le coffre-fort informatique soit hébergé en France qu’aux Etats-Unis, où la loi Acta autorise les Etats à se servir des informations des sociétés privées sans que cela soit légalement considéré comme du piratage.
Lélia de Matharel
Réagir