Actualité juridique

Recommandations sur les coffres forts numériques

Le 25/11/2013, par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...

   

La Cnil a adopté une recommandation relative aux services de coffres forts numériques destinés aux particuliers.

Après avoir pu préciser sa position relative à l'utilisation des coffres forts électroniques, et à l'issue d'une concertation avec les principaux acteurs du domaine, la Commission nationale de l'informatique et des libertés (CNIL) a adopté une recommandation relative aux services de coffres forts numériques destinés aux particuliers, afin que ces derniers ne se laissent pas abuser par la dénomination de "coffre fort" (qui renvoie à l'idée de sécurité).

La Commission a constaté que la majorité des services de coffre-fort numérique n'étaient pas assez sécurisés. Des précautions existent pour les particuliers avant de souscrire à une telle offre.

Ainsi, la Cnil propose tout d'abord que l'appellation "coffre-fort numérique" ou "coffre-fort électronique" soit réservée à une forme spécifique d'espace de stockage numérique, dont l'accès est limité à son seul utilisateur, ou aux personnes physiques ayant été autorisées.

De plus, il est préconisé de garantir l'intégrité, la disponibilité et la confidentialité des données stockées. En ce sens, la Cnil recommande :

  • un chiffrage des données à toutes les étapes du processus ;
  • un dispositif de chiffrement répondant aux exigences de l'Agence nationale de sécurité des systèmes d'information (ANSSI) ;
  • un mécanisme d'authentification des utilisateurs et des tiers mandatés capable de garantir une authentification forte (comme le mot de passe à usage unique, l'envoi de codes par SMS, etc...)

Les fournisseurs de services de coffre forts électroniques ne doivent pas être en mesure d'accéder au contenu et aux sauvegardes du coffre-fort, sans avoir été expressément mandaté par l'utilisateur concerné. La Cnil précise que l'acceptation des conditions générales d'utilisation ne constitue en aucun cas un consentement exprès valable.

Concernant le stockage des données de santé, qui s'avèrent extrêmement sensible, la Commission préconise l'obtention préalable d'un agrément spécifique du ministère de la santé, délivré après avis de la CNIL. Sans cet agrément, il devrait être impossible pour le fournisseur d'organiser ou de stocker des données de santé, par exemple en prévoyant par défaut un dossier intitulé "Santé".

En outre, la CNIL recommande de ne pas donner la possibilité d'identifier les coffres forts numériques en utilisant le numéro de sécurité sociale des utilisateurs. Il est donc recommandé aux prestataires de recourir à un système basé sur l'attribution d'un numéro unique non signifiant, comme le font déjà les banques avec les relevés d'identité bancaire.

Signalons en dernier lieu que le fournisseur d'un système de coffre-fort électronique, dès lors qu'il agit en qualité de responsable de traitement, doit réaliser une déclaration normale auprès de la CNIL avant la mise en oeuvre du service. Cette déclaration devra préciser les catégories de données traitées par le prestataire pour assurer le service, sans préciser toutefois les catégories de données stockées par les utilisateurs. La déclaration devra dans tous les cas être effectuée par le donneur d'ordre, notamment lorsque le fournisseur d'une solution de coffre fort électronique agira en qualité de sous-traitant.

© 2013 Net-iris

   

Inscription JuriTravail Avocats

Pour approfondir ce sujet :

Commentaires et réactions :



-