Cnil : recommandations sur les coffres-forts numériques

Internet et technologies de l'information, Non classé

Après analyse des solutions de coffre fort disponibles sur le marché, la Commission nationale de l’informatique et des libertés (Cnil) a constaté que la majorité des services de coffre-fort numérique n’étaient pas suffisamment sécurisés. Le 19 septembre 2013, elle a donc proposé diverses mesures afin d’alerter les utilisateurs induits en erreur par l’appellation de « coffre-fort » et a rappelé aux fournisseurs les bonnes pratiques à adopter sur les données, les destinataires, les durées de conservation, l’information des personnes et les mesures de sécurité.

En premier lieu, elle considère que l’appellation « coffre-fort numérique », ou « coffre-fort électronique » devait être réservée à une forme spécifique d’espace de stockage numérique dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier.

En outre, les services de coffres-forts numériques devront garantir l’intégrité, la disponibilité et la confidentialité des données stockées et impliquer la mise en œuvre des mesures de sécurité décrites dans la recommandation. La Cnil recommande que les données soient chiffrées à toutes les étapes du processus. Les mécanismes d’authentification des utilisateurs et des tiers mandatés devront ainsi garantir une authentification forte (mots de passe à usage unique, envoi de codes par SMS, etc….).

Les fournisseurs de services de coffre-fort numérique ne devront pas pouvoir accéder à leur contenu, ni à ses éventuelles sauvegardes, sans le consentement exprès de l’utilisateur concerné. L’acceptation des conditions d’utilisation ne constitueront pas un consentement exprès valable. De même, la clé de déchiffrement devra être maîtrisée uniquement par l’utilisateur du coffre et éventuellement par un tiers de confiance.

L’obtention d’un agrément spécifique du ministère de la Santé, délivré après avis de la Cnil, sera nécessaire pour héberger des données en la matière. Sans cet agrément, le fournisseur de coffre-fort ne pourra proposer ou organiser le stockage de données de santé. De plus, le numéro de sécurité sociale des utilisateurs ne pourra pas être utilisé pour identifier les coffres. Il faudra recourir à un système basé sur l’attribution d’un numéro unique non signifiant, à l’image de ce que font les banques avec les relevés d’identité bancaire.

Enfin, le fournisseur d’un service de coffre-fort électronique agissant en qualité de responsable de traitement, devra réaliser une déclaration normale auprès de la Cnil avant la mise en œuvre du service. Cette déclaration devra préciser, notamment, les catégories de données traitées par le prestataire pour assurer le service (données d’identification des utilisateurs et données de connexion), sans préciser les catégories de données stockées par les utilisateurs.

 En revanche, lorsque le fournisseur d’une solution de coffre-fort électronique agira en qualité de sous-traitant, pour le compte d’un donneur d’ordre ayant préalablement déterminé les moyens et finalités à mettre en œuvre, la déclaration devra être effectuée par le donneur d’ordre.

02/12/2013