Consultation publique sur la certification des services de coffre-fort numérique

février 24, 2022

Contexte réglementaire

Pris dans le cadre de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, les dispositions de l’article L. 103 du code des postes et des communications électroniques visent à harmoniser la sécurité des différents services de coffre-fort numérique et garantir la confidentialité des données confiées à ces fournisseurs de service.

Les principaux objectifs sont :

  1. Garantir l’accès aux données de l’utilisateur à ce seul utilisateur ou à toute autre personne ayant été explicitement autorisée ;
  2. Garantir la confidentialité des données de l’utilisateur via le recours au chiffrement à l’état de l’art technique ;
  3. Garantir l’information transparente de l’utilisateur sur le service de coffre-fort numérique (par exemple : le fonctionnement du service, les finalités du traitement de ses données, les mécanismes techniques pour assurer la sécurité de ses données) ;
  4. Garantir la traçabilité des actions réalisées par le service de coffre-fort numérique (actions des utilisateurs du service, mais également les activités de maintien en condition opérationnelle / de sécurité du service par le fournisseur) avec la possibilité pour l’utilisateur de consulter ces traces.

Ces objectifs sont repris et détaillés dans le décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique.

Ces dispositions ont également été prises afin de garantir, en cas de fin de contrat ou en cas de cessation d’activité du fournisseur de service, que l’utilisateur soit correctement informé et que ses données lui soient restituées sous une forme permettant à l’utilisateur de les exploiter facilement (par exemple : dans des formats communément utilisés tels que pdf, .docx (Microsoft Word), .xlsx (Microsoft Excel), etc.). Ces dispositions sont détaillées dans le décret n° 2018-853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique.

Il est à noter que l’article L. 122-22 du code de la consommation prévoit que « le fournisseur qui se prévaut d’une offre de service de coffre-fort numérique défini aux 1° à 5° de l’article L. 103 du code des postes et des communications électroniques et qui ne respecte pas les obligations qui y sont énoncées est passible des sanctions prévues aux articles L. 132-2 et L. 132-3 du présent code. » imposant ainsi au fournisseur de services de coffre-fort numérique de respecter les dispositions de l’article L. 103 du code des postes et des communications électroniques ainsi que les dispositions particulières prévues par les décrets n° 2018-418 et n° 2018-853 sous peine de sanction. 

Enfin, l’article L. 103 précité prévoit une certification des services de coffre-fort numérique. Cette certification, basée sur le volontariat et dont la décision a une durée de validité de 2 ans, atteste de la conformité du service de coffre-fort numérique aux dispositions d’un cahier des charges établi par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et soumis à l’avis de la Commission nationale de l’informatique et des libertés (CNIL). Ce cahier des charges (1) s’appuie sur les initiatives existantes et (2) élève le niveau de sécurité par rapport à ce qui est demandé dans le décret n° 2018-418.

Pour l’industriel, cette certification permettra de bénéficier d’un visa de sécurité délivré par l’ANSSI (avec les conséquences en termes de publicité et d’avantage concurrentiel par rapport aux autres offres). Pour l’utilisateur, cette certification apporte la garantie sur le niveau de sécurité du service de coffre-fort numérique et que ce niveau de sécurité a fait l’objet d’une évaluation par un tiers.

Les textes relatifs à cette certification font l’objet de la présente consultation publique.

Présentation du projet de décret

Le projet de décret objet de la présente consultation décrit les modalités de certification des services de coffre-fort numérique et, plus particulièrement :

  • Les modalités d’agrément des organismes amenés à évaluer la conformité des services de coffre-fort numérique au cahier des charges ;
  • Les modalités de certification des services de coffre-fort numérique définissant les responsabilités (1) du prestataire de service de coffre-fort numérique candidat à la certification, (2) de l’organisme sélectionné par le prestataire pour procéder à l’évaluation de la conformité du service de coffre-fort numérique et (3) de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans l’instruction de la demande de certification et la prise de décision relative à la certification du service de coffre-fort.

Ce projet de décret est accompagné d’un cahier des charges qui définit les exigences auxquelles devront se conformer les prestataires de service de coffre-fort numérique souhaitant se voir octroyer une décision de certification par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Source


Laisser un commentaire