retour accueil village

Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

Coffre fort électronique : quels enjeux ?

1487 lectures

Par Yaël Cohen-Hadria, Avocat.

- vendredi 11 octobre 2013

Alors que la dématérialisation fait son chemin au sein des entreprises, les coffres forts électroniques s’ouvrent aux particuliers : « conserver vos données dans un espace numérique sécurisé qui vous est réservé : le coffre fort électronique ».

Chacun souhaite conserver ses documents privés sur des espaces numériques mais on sait bien que dans l’univers informatique les données peuvent être endommagées, détruites, perdues.

C’est pourquoi la CNIL a édicté une série de recommandations relatives aux services dits de « coffre-fort numérique ou électronique » destinés aux particuliers.

La CNIL précise tout d’abord que les données conservées sont nécessairement liées à une personne physique, directement ou indirectement.

A ce titre, ces données sont qualifiées de données à caractère personnel et la loi « Informatique et libertés » du 6 janvier 1978 s’applique à la mise en place de ces coffres forts électroniques à condition que :

  • le prestataire de service de coffre fort soit établi en France ou
  • le prestataire de service de coffre fort utilise des moyens de traitement des données en France.

Dès lors un coffre fort électronique doit avoir respecté la conformité à la loi Informatique et libertés.

Pour ce faire, le fournisseur du service a pu faire auditer son système par un cabinet d’avocats labellisé par la CNIL et garantir le niveau de conformité du produit qu’il propose. 

Pour rappel les principaux points de conformité concernent, sous peine de sanctions financières et/ou pénales :

  • Les formalités préalables auprès de la CNIL (déclaration et/ou autorisation)
  • La confidentialité : le prestataire de service de coffre fort n’a pas la possibilité d’accéder aux documents dématérialisés de ses clients sans leur accord express. Seul le client et les personnes qu’il a mandatées peuvent y accéder.
  • La sécurité des données : le prestataire de service de coffre fort doit mettre en place des mesures de sécurité pour empêcher que ces données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès. Ces mesures font l’objet d’une recommandation non exhaustive de la CNIL
  • Les données traitées par le prestataire de service de coffre fort doivent être identifiées pour ne pas enfreindre la loi. Par exemple, (1) le numéro de sécurité sociale des personnes physiques ne doit pas être utilisé pour le routage d’un document dématérialisé vers un coffre-fort numérique (même lorsqu’il s’agit du routage d’un bulletin de paye). Les clients peuvent néanmoins stocker des documents où il y a leur numéro de sécurité sociale comme leurs bulletins de paye. (2) La mise en place d’un espace dédié aux données de santé, ou la simple possibilité d’avoir un dossier « santé » dans son coffre fort, nécessite impérativement que le fournisseur de service ait obtenu un agrément ministériel.
  • La sauvegarde des données : les données doivent être régulièrement sauvegardées mais être limitées à 1 mois d’antériorité.
  • La conservation des données : le client peut à tout moment supprimer un document du coffre fort. Dès lors le fournisseur de service devra le supprimer non seulement du coffre fort mais aussi des fichiers sauvegardés.
  • La pérennité du stockage et la possibilité de changer facilement de coffre fort.

En qualité de client, il convient de s’assurer que le coffre fort numérique est bien conforme à la législation en vigueur, notamment en demandant si les formalités à la CNIL ont été faites ou si le fournisseur garantit la pérennité du stockage.

De son côté, le fournisseur de service peut fournir la garantie d’un produit conforme à la législation en le faisant auditer par un cabinet labellisé par la CNIL.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

17 votes