Les services dits de ˮcoffre-fort numérique ou électroniqueˮ devant la CNIL Recommandation CNIL n° 2013-270 du 19 septembre 2013 portant recommandation relative aux services de ˮcoffre-fort numérique ou électroniqueˮ destinés aux particuliers.

Le 10 octobre 2013, par Geneviève Koubi,

La délibération de la Commission nationale de l’informatique et des libertés (CNIL) n° 2013-270 du 19 septembre 2013 portant recommandation relative aux services dits de ˮcoffre-fort numérique ou électroniqueˮ destinés aux particuliers [1] mérite d’être relevée tant elle concerne les relations aménagées à travers les circuits numériques.

En effet, alors que l’outil de coffres-forts numériques ou électroniques relevait surtout des pratiques d’entreprises, de plus en plus d’individus y ont recours pour diverses raisons tenant aussi bien aux techniques de télépaiement qu’au développement des téléservices. Ainsi que le constate la CNIL, « la montée en puissance du commerce électronique ou des téléservices incite en effet ces derniers à diffuser, recevoir ou stocker plus fréquemment des informations les concernant sous forme électronique ». Cependant, la CNIL ne peut que relever que « la centralisation de documents dématérialisés en un lieu unique est par nature risquée et pose des problèmes spécifiques au regard de la loi du 6 janvier 1978 modifiée, qu’il s’agisse de la destruction des données, de leur perte, de leur altération ou encore de leur divulgation à des tiers non autorisés. »

.

Les services dits de ˮcoffre-fort numérique ou électroniqueˮ qui suscitent ainsi l’attention de la CNIL ne sont pas fournis par des institutions publiques, mais les recommandations élaborées concernent tous les fournisseurs de ce type d’espace de stockage numérique.

L’espace de stockage numérique « est un service qui a pour objet de conserver des documents dématérialisés sur un support informatique. » L’aspect dématérialisé des documents en est un des critères essentiels, une activité d’archivage en ressort sans qu’il soit possible de déterminer le contenu des documents archivés. Dans la mesure où cet espace est privé et d’usage confidentiel – ce que traduit le terme de coffre-fort -, le service suppose que seul le créateur de ce coffre-fort en est l’utilisateur et donc que lui peut y avoir accès - et décider qui d’autre que lui peut y avoir accès. Le fournisseur du service ne devrait pas pouvoir, en tout état de cause, accéder au contenu du coffre-fort, ni même connaître des éventuelles sauvegardes, du moins ’sans le consentement exprès de l’utilisateur concerné’ et dûment identifié. Telle devrait être la logique...   C’est ainsi que la CNIL « estime que les services dits de coffre-fort numérique doivent garantir l’intégrité, la disponibilité et la confidentialité des données stockées et impliquer la mise en œuvre des mesures de sécurité », ces mesures étant l’objet principal de la recommandation du 19 septembre 2013.

.

Il faut pourtant admettre que tout service de coffre-fort numérique ’est’ en lui-même « un traitement automatisé de données à caractère personnel ». La CNIL rappelle ainsi que « d’une part, sa gestion repose sur des opérations informatisées (et) d’autre part, le contenu d’un espace de stockage est par nature lié à une personne physique identifiable. » Dès lors, la loi du 6 janvier 1978 est applicable « à l’ensemble des services de coffre-fort numérique proposés aux particuliers par des sociétés établies sur le territoire français ». Il revient à chacun de le vérifier [2].   La mise en œuvre d’un service de coffre-fort numérique répond alors à certaines procédures (déclaration, enregistrement, etc.) et conditions qui assurent de la distinction entre les données enregistrées par le fournisseur et les données déposées dans le coffre-fort par l’utilisateur. De fait, si les catégories de données stockées par les utilisateurs n’ont pas à être mentionnées dans la déclaration puisqu’il devrait être impossible de déterminer le type de documents stockés par un utilisateur, le principe est que, pour l’ouverture d’un tel espace, certaines données doivent pouvoir être recueillies. Ceci suppose que le coffre-fort numérique ne peut être anonyme. Dès lors, « les utilisateurs de coffres-forts numériques doivent ... être clairement informés du type d’espace mis à leur disposition et de ses conditions d’utilisation. »

Les documents déposés dans le coffre ne doivent pas pouvoir être consultés ou (ré)utilisés par le fournisseur du service, les documents placés dans le coffre-fort numérique sont hors d’atteinte... Mais, inévitablement, la question des transferts des données stockées peut toujours être posée.

.

Dans sa recommandation, la CNIL opère ces distinctions afin d’éviter les confusions entre les différentes catégorie de données.

Elle émet des consignes pratiques concernant les deux catégories ; elle évoque ainsi - 1/ les données traitées, c’est-à-dire celles qui, récoltées par le fournisseur du service, permettent à un utilisateur de se connecter afin de visiter le contenu de son coffre, de l’alimenter en nouveaux documents ou d’en extraire certains, etc., et - 2/ les données des utilisateurs du service de coffre-fort, admettant qu’ils puissent mandater d’autres personnes pour le consulter.

C’est à l’interface de ces deux champs que doit s’entendre le rappel quant l’impossibilité d’utiliser le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (numéro de sécurité sociale) pour le routage d’un document dématérialisé vers un coffre-fort numérique, « y compris lorsqu’il s’agit de router des bulletins de paye ». Ceci n’empêche pas les utilisateurs de « stocker leurs bulletins de paye dans leurs coffres-forts électroniques » ; cependant comme « l’hébergement de données de santé est soumis à un régime juridique spécifique (…) la Commission nationale de l’informatique et des libertés considère …. que les fournisseurs de coffres-forts numériques ne peuvent proposer à leurs utilisateurs de stocker des données relatives à la santé s’ils ne sont pas agréés à cet effet. Elle en déduit que la mise en avant du stockage de telles données ou son organisation, y compris la simple création par défaut d’un dossier santé par le fournisseur, nécessite impérativement l’obtention préalable de l’agrément ministériel ». Il reste donc à déconseiller aux utilisateurs de ces espaces de stockage d’y déposer des données relatives à leur santé...

.

Les précisions exposées sur certains points incitent donc plus les utilisateurs que les fournisseurs de ces services de coffre-fort électronique à une réflexion approfondie sur les documents qu’ils y déposent, la prudence semble s’imposer...

Ne pouvant s’adresser aux utilisateurs particuliers, ne serait-ce que pour un réflexe de vigilance, la CNIL ne parvient pas à dépasser le principe de base à l’adresse des fournisseurs de service : « lorsqu’un service de stockage numérique est présenté comme un service de coffre-fort numérique, les documents stockés ne doivent être consultables que par l’utilisateur concerné et les personnes spécialement mandatées par ce dernier. Le contenu d’un coffre-fort numérique doit ainsi être protégé par des mesures techniques les rendant incompréhensibles aux tiers non autorisés. »

Mais, le fournisseur du service doit prévoir des oublis, des pertes, des erreurs, aussi « lorsqu’un coffre-fort numérique a vocation à conserver des données à long terme, une copie de sauvegarde de la clef de déchiffrement doit être confiée à un tiers de confiance, afin de permettre à l’utilisateur d’accéder à ses données en cas de perte de sa clef. Toute utilisation d’une sauvegarde de la clef de déchiffrement doit faire l’objet d’une traçabilité et d’une information de l’utilisateur concerné ».

Les risque d’intrusion et de piratage ne sont pas des moindres, aussi d’une part, « les fournisseurs doivent mettre en place des mesures visant à garantir l’intégrité et la disponibilité des données (centre de stockage redondant, sauvegardes régulières...) et apporter des garanties en termes d’indemnisation des personnes en cas d’ineffectivité de ces mesures », et d’autre part, « les fournisseurs doivent mettre en place des outils permettant de détecter et bloquer les connexions illégitimes aux coffre-fort numériques ».

.

Quand la CNIL se penche sur la question de la durée de conservation des données, une confusion pourrait s’ensuivre entre les données traitées par le fournisseur et les données déposées par l’utilisateur.

Certes, la CNIL signifie la nécessaire continuité du service proposé : « Lorsqu’un service de stockage numérique est présenté comme un service de coffre-fort numérique, le fournisseur du service s’engage quant à la pérennité du stockage. Par conséquent, la fermeture de ce type de service nécessite d’en informer les utilisateurs suffisamment en avance afin de leur laisser le temps nécessaire pour récupérer les documents stockés » [3]. Mais elle s’intéresse d’abord à l’utilisateur : « Lorsqu’un utilisateur souhaite supprimer l’un des documents de son espace personnel, cette opération doit être immédiatement prise en compte. Les copies répliquées en ligne du document supprimé doivent également être supprimées sans délai. Les éventuelles sauvegardes dans lesquelles peuvent figurer ces données ne doivent pas quant à elles être conservées au-delà d’un mois. Il est toutefois possible de conserver brièvement un document qu’un utilisateur souhaite supprimer, notamment afin de détecter une éventuelle anomalie quant à l’utilisation de son espace personnel, ou de lui permettre de revenir sur sa décision en cas de mauvaise manipulation. » [4]

La CNIL ajoute : « lorsque que le fournisseur propose à ses utilisateurs un service de récupération de documents auprès de services tiers, basé sur la collecte des identifiants et mots de passe de l’utilisateur pour se connecter en leur nom à ces services tiers, il doit informer ses utilisateurs quant aux conséquences pouvant résulter de la collecte de leurs identifiants et mots de passe. En effet, une telle collecte peut constituer une violation des conditions générales d’utilisation de ces services tiers et des conséquences dommageables peuvent en résulter, telles que la perte du bénéfice d’une garantie ou d’une assurance. » Il leur faut alors trouver les moyens d’« offrir des services de récupération de documents dématérialisés sans procéder à la collecte d’informations confidentielles ». Et le cas échéant, s’ils doivent avoir lieu, « tous les transferts d’information vers et depuis un coffre-fort numérique doivent être chiffrés lorsqu’ils sont réalisés par un canal de communication non sécurisé ».

.

Le va-et-vient entre les données propres à l’utilisateur, les données déposées par l’utilisateur et les données fournies au fournisseur dénote-t-il d’une réticence à l’égard des usages des coffres-forts numériques pris en charge par des fournisseurs privés ? ou bien au contraire, invite-t-il les institutions publiques à ne pas s’engager dans ce type de services ? L’activité de la plate-forme "mon.service-public.fr" ne serait-elle pas plus ou moins en instance de remaniement ?)

.

Les mesures de sécurité sont alignées sur les référentiel généraux de sécurité... mais ce qui ressort de cette recommandation, ce ne sont pas tant ces mesures, ces consignes, ces conseils que la perspective adoptée sur l’institution de téléservices dits « coffre-fort numérique »... Coffre-fort qui ne dispose pas pour l’instant d’un régime juridique adapté.

.

Notes :

[1] JO 9 octobre 2013.

[2] ... car les sociétés proposant de tels services mais établies en dehors de l’Union européenne pourraient contester leur soumission à la loi qui leur est pourtant opposable... - à l’image d’un grand aux deux o...

[3] Plus encore, « les fournisseurs doivent apporter des garanties fortes pour prévenir toute perte de données en cas de cessation d’activité » ; de même que « les utilisateurs doivent être informés quant aux modalités de résiliation du service et de récupération des données stockées ».

[4] Par ailleurs, comme pour les changements d’opérateur en matière de téléphonie mobile, « les fournisseurs doivent rendre accessible, sans surcoût, un outil permettant aux utilisateurs de récupérer l’intégralité du contenu de leur coffre-fort de façon simple, sans manipulation complexe ou répétitive, et ce afin de faciliter le changement de fournisseur ».

Droit cri-TIC ou Droit cri TIC

Cri TIC, cri-TIC en Droit. Cri-TIC de droit : critique du droit, droit de la critique, droit à la critique, droit critique.

La forme interrogative étant un des signes de l’esprit critique qui anime toute recherche et parcourt tout enseignement, ce site a pour objet, en quelques articles ou brèves, de faire part de questionnements, incomplets et inachevés, sur des thèmes diversifiés... en Droit certes, mais aussi à côté ou aux alentours du Droit.

Pr. Geneviève Koubi

Dans la même rubrique

A la recherche des « droits culturels » (I)
Des droits culturels ? Des droits de l’homme ! (II)
Droits culturels entre droits de l’homme et droits des peuples (III)
Le terme de l’enrichissement de la langue française...
Droits culturels ? Impasses. (IV)
Droit de l’éducation Art de l’enseignement des arts
Détour vers la Révolution citoyenne en Equateur
Le multilinguisme européen à l’épreuve de la traduction
A l’an neuf, 50 ans après la Révolution cubaine
Droits culturels et droit des minorités
Bolivie : La Constitution d’un Etat unitaire plurinational
Langue française : des "mots pour demain" ?
La suppression des "structures publiques inutiles"...
Uniformes pour un "garde-à-vous" !
Droit de la fonction publique Dates des célébrations religieuses pour ’autorisation d’absence’ en 2010
Droit de l’éducation Parcours culturel au lycée
Dilution de l’édition publique
Kenya : Promulgation de la Constitution au 27 août 2010
Droit de l’éducation Lycée et cinéma : la forme plate du "ciné-lycée"
Droit de l’éducation Une priorité nationale : « savoir nager ! »
Externalisation de la conservation des archives
Apprendre à nager, savoir nager... à l’école.
« Bien manger dans ma petite cantine... »
Le fleurissement des écoles...
Colloque : "Plagiat de la recherche", Paris II-CERSA, 20 et 21 oct. 2011.
Vous pensiez ? et bien, « chantez maintenant ! »
En mars 2012, la Semaine de la presse et des médias dans l’école.
Journée d’étude, 18 novembre 2011, Nanterre : « Services publics en Russie. Comparaisons »
Droit des étrangers : dématérialisation des dossiers et versement aux archives
Le FLI® en référentiel peu accessible...
Privilégier "Madame" et "Nom d’usage" ...
- Aires de mise en valeur de l’architecture et du patrimoine (AVAP)
Affiche d’Art-image du fumeur...
La lecture numérique au fil du logiciel imposé...
Communicabilité des registres ou fiches d’écrou et fiches pénales...
L’accès à l’enseignement supérieur au Brésil : "Lei de Cotas Sociais"
Droit d’auteur et oeuvre d’art en termes de "restauration".
Lustre des Illustres dans des maisons.
- Epilogue d’une histoire de restitution "enTÊTanTE"...
En hommage à Aimé Césaire, une résolution ... officielle.
Les services dits de ˮcoffre-fort numérique ou électroniqueˮ devant la CNIL
Des vocables inchangés entre CIMAP et RGPP
Le programme parlementaire ’avant’ les opérations électorales de mars 2014
Une ordonnance pour une réforme du droit des contrats ?!!
Un label de redressement productif associant éducation et marché...
- Questions en surplomb du fichier des interdits de gérer
« Tu ne dé-jeûneras point ! ». Quelques propos relatifs à la Constitution tunisienne et à la répression des jeûneurs.
Le lettré et Le bureaucrate ou l’Administration en flagrant délire
Repères aux JO du 1er au 15 août 2016
Capture de textes au Journal officiel pour une fin de semaine avant la rentrée…
Un service public de la donnée ... publique ?
Ecole : Journée anniversaire.... d’une séparation entre Eglises et Etat
Les chorales plus que le chant choral à l’école
Justice : Lieu des faits, critère prioritaire pour la compétence des ressorts

À propos de cet article

Dernière mise à jour le :
10 octobre 2013
Statistiques de l'article :
11 visiteurs aujourd'hui
7295 visiteurs cumulés

Votre recherche

RSS 2.0 | Espace privé
Visiteurs par jour (cumul) : 4302 (3500263)