Actualité web & High tech sur Usine Digitale

Coffre-fort numérique : quelles modalités de mise en œuvre ?

Twitter Facebook Linkedin Google + Email
×

Tribune Cette semaine, Eric Caprioli, avocat associé du cabinet Caprioli & Associés, fait le point sur la réglementation en matière de services de coffre-fort numérique.

Coffre-fort numérique : quelles modalités de mise en œuvre ?
Coffre-fort numérique : quelles modalités de mise en œuvre ? © Thinkstock Images

L’essor des services de coffre-fort numérique (CFN) s’accompagne nécessairement d’une réglementation plus poussée. Après la loi du 7 octobre 2016 pour une République numérique loi du 7 octobre 2016 pour une République numérique ayant aisément éclairci cette notion notamment en son article 87, on attendait le décret d’application. C’’est chose faite avec le Décret N° 2018-418 relatif aux modalités de mise en œuvre du service de coffre-fort numérique qui est enfin intervenu le 30 mai 2018 (JO du 31 mai 2018). Cela est d’autant plus important que l’on dispose en France de plusieurs services de coffre-fort, notamment : Cecurity.com, Docapost ou Coffreo. Ce décret insère de nouvelles dispositions au sein du titre Ier du livre III de la partie réglementaire du code des postes et des communications électroniques (CPCE).

Les précisions apportées par le décret
Le décret est pris en application de l’article L. 103 du CPCE qui fixe les fonctionnalités du CFN. Précisons que ce service n’entre pas dans le cadre des services de confiance prévus dans le Règlement européen n° 910/2014 (EIDAS) du 23 juillet 2014 sur l’identification électronique et les services de confiance. Les questions relatives à l’archivage dans un CFN revêtent un grand intérêt, spécialement en ce qui concerne la sécurité entendue largement. Les précisions apportées par le décret peuvent être regroupées autour de trois points essentiels : information préalable (sécurité juridique), sécurité et traçabilité (sécurité technique).

Une information claire et transparente
D’abord, il est important de constater le devoir d’information mis à la charge du fournisseur de service de CFN à l’art R. 55-1. Cette obligation accrue se rapproche nettement des apports de la réforme du droit des contrats   qui impose une information continue entre les parties. Ainsi, avant même la conclusion du contrat, le fournisseur doit donner des renseignements clairs, loyaux, transparents concernant les modalités de fonctionnement et d’utilisation du service. Le décret ne se prive pas d’expliciter les informations à fournir notamment les conditions d’utilisation associées au type d’espace mis à la disposition du futur utilisateur, ainsi que la politique de confidentialité et les engagements du fournisseur quant à la conformité de son service aux exigences posées par l’article L. 103 du CPCE.

En accord avec l’ère du numérique, ces informations doivent nécessairement être mises en ligne, à la portée des utilisateurs. En outre, l’art R. 55-2 renforce l’information apportée par l’obligation du fournisseur d’exposer un dossier technique. Ici, l’art L. 103 est mis en lumière étant donné que le fournisseur doit montrer qu’il satisfait à toutes les exigences de cet article. L’obligation d’information est telle qu’il faut désormais prouver la véracité des renseignements produits. Néanmoins, aux vues de l’avancée technologique qu’est le coffre-fort numérique et le peu de connaissances en la matière des usagers, cet accent mis sur l’information semble nécessaire afin d’assurer leur protection.

Quelle sécurité ?

Parallèlement, un point d’attention est porté sur la sécurité. L’art R. 55-3 souligne l’importance des mesures de sécurité devant être adaptées et conformes à l’état de l’art. On peut penser aux normes existant en matière de coffre-fort numérique (ex : AFNOR Z 42-020). Ces mesures sont nécessaires à la protection des données et documents stockés. De même, l’accès au service de coffre-fort numérique nécessite une identification électronique sécurisée d’après l’art R. 55-5. Mais cette identification doit être adaptée aux enjeux de sécurité.
Cette sécurité passe aussi par la garantie d’exclusivité d’accès aux documents et données de l’utilisateur ou aux données associées au fonctionnement du service énoncée à l’art R. 55-6. Ici, le besoin de garantie de l’utilisateur présent dans l’art L. 103 est précisé.

Par conséquent, certaines mesures explicitées dans l’article doivent être mises en œuvre afin d’assurer cette garantie. Celles-ci permettent la protection des données stockées notamment au travers de mécanismes de contrôle d’accès aux seules personnes autorisées par l’utilisateur. D’autres mesures visent à garantir la confidentialité et le chiffrement des données (ex : cela vise les données ainsi que les métadonnées). La garantie de sécurité présente un intérêt primordial notamment afin de se conformer aux exigences portant sur la protection des données à caractère personnel depuis l’entrée en application du RGPD le 25 mai 2018.


La traçabilité des opérations
Enfin, le besoin de traçabilité est mentionné à l’art R. 55-4 du CPCE qui impose des mesures à mettre en œuvre. L’enregistrement des multiples opérations est de ce fait indispensable afin que l’utilisateur puisse en vérifier l’historique. L’horodatage (datation électronique) est au cœur de la traçabilité. D’autre part, les durées de conservation de ces données de traçabilité peuvent poser problème en particulier lorsqu’il est question de confidentialité. Ainsi, cet article précité oblige que ces durées de conservation soient mentionnées obligatoirement dans le contrat de fourniture de service de coffre-fort électronique conclu avec l’utilisateur. C’est une solution préventive aux éventuels conflits tout en laissant une certaine liberté aux parties contractantes.

Quelles perspectives ?
Le décret du 30 mai 2018 semble apporter de nombreuses précisions quant aux modalités de mise en œuvre du coffre-fort numérique. Néanmoins, à l’instar du décret sur la lettre recommandée électronique, il faudra attendre le 1er janvier 2019 pour apprécier concrètement les conséquences de l’application du nouveau texte. Malgré la volonté d’apporter des précisions à la loi pour une République numérique, le cadre juridique et technique de ce nouveau service reste relativement complexe. Toutefois, les CFN pourront obtenir une Certification fondée sur un cahier des charges de l’ANSSI après avis de la CNIL. Ceci devrait contribuer à la confiance sur le marché du numérique.

Eric A. Caprioli, Docteur en droit, Avocat à la Cour de Paris, Membre de la délégation française aux Nations Unies, Société d’avocats membre du réseau JurisDéfi


Les avis d'experts sont écrits sous l'entière responsabilité de leur auteur et n'engagent en rien la rédaction de L'Usine Digitale.
 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale