Recevez chaque jour toute l'actualité du numérique

x

Coffre-fort numérique : les nouvelles conditions de récupération des données et des documents

Cette semaine, Eric Caprioli, du cabinet d'avocats Caprioli & Associés, fait le point sur le nouveau décret relatif au coffre-fort numérique.
Twitter Facebook Linkedin Flipboard Email
×

Coffre-fort numérique : les nouvelles conditions de récupération des données et des documents
Coffre-fort numérique : les nouvelles conditions de récupération des données et des documents © Thinkstock Images

Les services de coffre-fort numérique (CFN) sont devenus des instruments très importants pour la conservation et l’archivage de documents de toute nature (textes, dessins, photos, relevés, justificatifs, bulletins de paie et autres documents RH, contrats, …). De même, les personnes concernées par les usages du coffre-fort sont les particuliers, ainsi que les salariés, les professionnels et les administrations. Usages universels donc, avec des finalités multiples ! On rappellera qu’il existe plusieurs offres performantes de CFN sur le marché, tels ceux de Cecurity.com, Docapost ou Coffreo.

 

Cadre juridique

L’article 87 de la loi du 7 octobre 2016 pour une République numérique avait défini la notion (ancien article L. 137 du CPCE). Désormais, c’est l’article L. 103 du CPCE, issu de l’ordonnance du 4 octobre 2017 qui modifie le texte précédent. Cet article définit les services du CFN.


Ces services ont pour objet : la réception, le stockage, la suppression et la transmission de données ou documents garantissant leur intégrité et l’exactitude de leur origine ; la traçabilité des opérations réalisées ; l’identification de l’utilisateur lors de l’accès au service ; la garantie d’un l’accès exclusif aux documents électroniques ; offrir la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données (L. 103, 5°du CPCE).


Le Décret n° 2018-418 est intervenu le 30 mai 2018 (JO du 31 mai 2018) pour préciser les modalités de mise en œuvre du service de coffre-fort numérique. Ce décret précise les points fondamentaux suivants : information préalable (sécurité juridique), sécurité et traçabilité (sécurité technique).

 

Conditions de récupérations des documents et documents

Pris en application de l’art. L.103, 5° du CPCE, le Décret n° 2018-853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique vient compléter le dispositif.
 

La récupération peut s’effectuer de deux façons : « 1° par voie de communication électronique, et par une requête unique, de façon simple et sans manipulation complexe ou répétitive ; 2° Dans un format électronique ouvert, structuré, couramment utilisé, aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert qui peuvent être restitués dans leur format d'origine ». Des obligations sont mises à la charge du fournisseur de service de CFN : récupération intègre, complète et dans un délai raisonnable, ainsi que respect de la protection des données à caractère personnel, (art. D.537 CPCE, dernier alinéa).
 

Il est nécessaire pour les dispositifs de récupération d’assurer un niveau d'intégrité et de confidentialité des documents et données au moins équivalent à celui des fonctions permettant la réception, le stockage, la suppression et la transmission de données prévues au 1° et au 4° de l'article L. 103 du CPCE.

 

Information pré-contractuelle

Avant de contracter, le fournisseur doit communiquer à l’utilisateur de manière lisible et compréhensible les modalités de récupérations des données et documents. Ces informations portent sur les opérations techniques à réaliser, les caractéristiques techniques du format du fichier de récupération et les délais. Il doit également préciser s’il (le fournisseur) a transformé le format dans lequel les documents ont été déposés. Il indique les frais éventuellement exigibles au titre de la récupération des documents et données, sans restriction sur le nombre d'opérations de récupération (art. D. 539 du CPCE).
 

L’utilisateur doit consentir de façon « explicite » et les conditions doit être « mises en ligne de façon aisément accessible ».

 

Exécution du contrat

Pendant toute la durée du contrat l’utilisateur peut exercer à tout moment et à titre gratuit son droit à la récupération des données et documents, sans restriction quant au nombre d’opérations de récupération. Toutefois, en cas de demandes de récupération manifestement excessives de la part de l’utilisateur, le fournisseur peut d’une part, facturer le paiement de frais raisonnables tenant compte des coûts qu’il supporte pour organiser la récupération, ou refuser de donner suite aux demandes, d’autre part (art. D. 540 du CPCE).

 

Fin ou suspension du contrat

En cas de fermeture ou de suspension du service, le fournisseur doit informer l’utilisateur au moins trois mois avant de manière à ce que ce dernier soit en mesure de récupérer ses données. Si l’utilisateur ne peut accéder au service (y compris en l’absence d’information préalable sur un suspension ou une fermeture du service), quelle qu’en soit la raison, les dispositifs de récupération des données restent disponibles pendant une durée de douze mois à compter de la date de cessation d’accès.

 

Quelles perspectives ? 

Ce décret est important, il complète utilement celui du 30 mai 2018 avec de nouvelles précisions sur la récupération des données, spécialement pour protéger les utilisateurs. Il faudra, cependant, attendre le 1er janvier 2019 pour son entrée en vigueur. Au final, ce service de CFN dispose d’un cadre juridique relativement complexe et qui, sur le plan technique sera complété par un cahier des charges (qui devrait être bientôt publié) élaboré par l’ANSSI après avis de la CNIL. C’est sur cette base juridico-technique que se fondera la Certification y associée, contribuant ainsi à la confiance numérique.

 

Eric A. Caprioli, Docteur en droit, Avocat à la Cour de Paris, Membre de la délégation française aux Nations Unies
Caprioli & Associés, Société d’avocats membre du réseau JurisDéfi

 

Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction de L'Usine Digitale.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media