Actualité juridique

Quelques précisions sur les coffres forts numériques

Le 09/10/2013 par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...

   

La Cnil s'est prononcée sur les conditions d'utilisation des coffres-fort numériques destinés aux particuliers afin de protéger leurs données sensibles.

Après avoir touché le monde de l'entreprise, la dématérialisation des documents se développe à présent de plus en plus auprès des particuliers. Le fait de recevoir, envoyer ou stocker des informations sous forme électronique se banalise, et le problème de leur conservation fait débat, surtout lorsqu'il s'agit de donnés sensibles ! A cet effet, des services de "coffres forts numériques" se développent. Il s'agit de services ayant pour objet de conserver des documents dématérialisés sur un support informatique. Leur but essentiel est de proposer aux usagers la conservation de leurs documents en lieu sûr. Cependant, ces données étant dématérialisées, leur conservation, même au sein d'un "coffre fort" est par nature risquée, et pose des problèmes relatifs à la destruction, la perte, l'altération, ou pire, la divulgation non autorisée à des tiers.

C'est en ce sens que la CNIL (Commission nationale de l'informatique et des libertés) s'est récemment prononcée. La Commission a en effet, dans le cadre d'une délibération, pu préciser sa position à l'encontre des services "de coffre forts numériques relatifs aux particuliers." Elle considère que ces services doivent être soumis à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. De plus, différentes recommandations, contenues dans la délibération de la CNIL se doivent d'être signalées :

  1. les formalités préalables à la mise en oeuvre d'un service de coffre fort numérique :
    A ce titre, le fournisseur d'un service de coffre fort électronique doit faire l'objet, avant sa mise en oeuvre, d'une déclaration normale auprès des services de la CNIL. La déclaration devra préciser les catégories de données à caractère personnel traitées par le prestataire pour assurer son service. En revanche, les catégories de données plus générales stockées par les utilisateurs n'ont pas à être mentionnées dans la déclaration.
  2. la CNIL rappelle que le traitement de certaines catégories de données est, selon les cas, interdit ou réglementé.
    Il convient de s'attarder plus précisément sur l'hébergement des données de santé. D'après l'article L1111-8 du Code de la santé publique, les hébergeurs des données de santé doivent en effet obtenir un agrément ministériel spécifique. Par conséquent, la CNIL considère que pour stocker des informations relatives aux données de santé, les fournisseurs de coffre forts numériques devront préalablement obtenir un agrément. Les fournisseurs non agréés devront, quant à eux, déconseiller à leurs utilisateurs de stocker des données de santé (ex : ordonnance).
  3. s'agissant des durées de conservation (qui font le plus souvent l'objet de mesures spécifiques), lorsqu'un utilisateur souhaitera supprimer l'un de ses documents, les copies répliquées de ce dernier devront être elles aussi, être immédiatement supprimées, sauf exceptions mentionnées dans les recommandations de la Commission. Les éventuelles sauvegardes dans lesquelles peuvent figurer ces données ne devront pas, quant à elles, être conservées au-delà d'un mois.
  4. concernant l'information des personnes, la CNIL recommande une information claire et précise sur les personnes susceptibles de stocker ds données. Ces informations doivent notamment porter sur l'identité du responsable du service, la finalité poursuivie, les destinataires des données, des éventuels transferts de données à destination d'un pays non membre de l'Union européenne ainsi que de l'existence et des modalités d'exercice des droits d'accès, de rectification et d'opposition.
  5. enfin, s'agissant des mesures de sécurité, il convient de citer, entre autres, le fait que le fournisseur du coffre fort numérique ne devra pas être en mesure d'accéder aux données et de les réutiliser. A cet effet, des mesures techniques devront être mises en oeuvre afin de rendre les données inaccessibles à un utilisateur tiers ou non mandaté à cet effet. De plus, des outils devront être mis à disposition pour éviter l'accès illégitime aux données contenues dans le coffre fort numérique.

Finalement, les recommandations de la Commission semblent tout d'abord avoir pour but la mise en garde des fournisseurs d'un service de coffre fort numérique, sur la protection des données sensibles. Les utilisateurs se doivent eux aussi d'être prudents avec le stockage de leurs données sensibles !

© 2013 Net-iris

   

Pour approfondir ce sujet :

Commentaires et réactions :