I° – Le fonctionnement et l’utilisation d’un service de coffre-fort numérique doivent faire l’objet d’une information claire et transparente de la part du fournisseur.
Le décret n° 2018-418 du 30 mai 2018 précise les conditions de mise en œuvre du service de coffre-fort numérique qui permet de stocker en ligne des fichiers et des données sous un format numérique.
Un tel service permet outre un accès rapide aux documents de l’entreprise, leur conservation, leur intégrité et leur confidentialité dans des conditions sécurisées.
Les dispositions introduites par ce décret au sein du titre Ier du livre III de la partie règlementaire du code des postes et des communications électroniques, précisent les obligations d’information du fournisseur de service de coffre- fort numérique à l’égard de l’utilisateur et les garanties relatives à la traçabilité des opérations réalisées sur les données stockées.
L’entrée en vigueur de ces dispositions est fixée au 1er janvier 2019.
II° – L’objet du coffre- fort numérique
Complémentaire du système d’archivage électronique qui permet la conservation et la restitution des documents papiers ou électroniques dans des conditions garantissant leur intégrité et leur pérennité, le coffre-fort numérique répond aux caractéristiques du coffre-fort en ce qui concerne les principes d’inviolabilité et de secret du contenu qui y est déposé par le titulaire.
Le service de coffre-fort numérique est un service qui assure la réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine.
A des fins probatoire, la traçabilité des opérations réalisées sur ces documents est garantie tout comme la disponibilité de cette traçabilité. L’utilisateur qui doit être électroniquement identifié a également la garantie de l’accès exclusif aux documents et données électroniques, qu’il peut récupérer dans un standard ouvert réutilisable et exploitable par un système de traitement automatisé de données.
Pour mettre en œuvre ces caractéristiques, plusieurs mesures sont prévues par le décret du 30 mai 2018.
III° – Le contrat de fourniture de service de coffre- fort numérique
L’information obligatoire et préalable de l’utilisateur sur les modalités de fonctionnement et d’utilisation du service de coffre-fort numérique
Avant toute conclusion de contrat de fourniture de service de coffre-fort numérique, les modalités de fonctionnement et d’utilisation du service doivent faire l’objet d’une information claire, loyale et transparente de la part du fournisseur, ces informations étant également en ligne.
Le fournisseur doit communiquer à l’utilisateur, de façon lisible et compréhensible, les informations suivantes:
– le type d’espace mis à sa disposition et les conditions d’utilisation associées ;
– les mécanismes techniques utilisés ;
– la politique de confidentialité ;
– l’existence et les modalités de mise en œuvre des garanties de bon fonctionnement ;
– et enfin son engagement sur la conformité du service aux exigences fixées aux 1° à 5° de l’article L. 103, le fournisseur devant exposer dans un dossier technique la façon dont il assure le respect de ces exigences. Toutes ces informations sont également mises en ligne.
Les mentions obligatoires dans le contrat de fourniture
Dans le cadre du contrat de fourniture de services de coffre-fort numérique, l’utilisation des données stockées dans le coffre-fort numérique doivent être traçables ; les durées de conservation de ces données de traçabilité font partie des mentions obligatoires du contrat de fourniture.
IV° – Le fonctionnement du coffre-fort numérique
L’identification de l’utilisateur par un moyen d’identification électronique
L’identification de l’utilisateur du coffre-fort numérique est assurée par un moyen d’identification électronique (art. 55-5). Ainsi identifié, il doit pouvoir récupérer les documents et les données stockées dans un standard ouvert réutilisable et exploitable par un système de traitement automatisé de données.
La traçabilité des opérations par l’enregistrement et l’horodatage
A titre de preuve et afin d’assurer la traçabilité des opérations réalisées sur les documents et des données stockés dans le coffre- fort numérique et la disponibilité de cette traçabilité pour l’utilisateur, diverses mesures sont prévues et énumérées à l’article R. 55-4 du code des postes.
Sont ainsi mentionnées :
– l’enregistrement et l’horodatage (date et heure) des accès et tentatives d’accès ;
– l’enregistrement des opérations affectant le contenu ou l’organisation des données et documents de l’utilisateur ;
– l’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques.
V° – Les garanties sur l’intégrité des données stockées et leur accès exclusif
Les garanties sur l’intégrité des données stockées
L’intégrité, la disponibilité et l’exactitude de l’origine des données et documents stockés dans le coffre-fort numérique doivent être garanties par des mesures de sécurité adaptées et « conformes à l’état de l’art ». Cette notion de conformité aux « règles de l’art » est évoquée à propos du chiffrement
La garantie d’un accès exclusif aux documents et données
Des mesures sont prévues pour garantir un accès exclusif aux documents et aux données de l’utilisateur ou aux données associées au fonctionnement du service.
Ainsi, outre un mécanisme de contrôle d’accès limitant l’ouverture du coffre-fort numérique aux seules personnes autorisées par l’utilisateur, des mesures de sécurité permettent de garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes.
Un chiffrement de l’ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci, est également prévu: « ce chiffrement doit être effectué à l’aide de mécanismes cryptographiques conformes à l’état de l’art et permettre une évolution de la taille des clés et des algorithmes utilisés. La conformité à l’état de l’art est présumée lorsque les mécanismes impliqués dans ces opérations de chiffrement sont conformes aux règles et recommandations de l’Agence nationale de sécurité des systèmes d’information concernant le choix et le dimensionnement des mécanismes cryptographiques. «
VI° – Sanctions pénales en cas d’inobservation de ces dispositions
Le fournisseur qui se prévaut d’une offre de service de coffre-fort numérique défini aux 1° à 5° de l’article L. 103 du code des postes et des communications électroniques et qui ne respecte pas les obligations qui y sont énoncées est passible des sanctions prévues aux articles L. 132-2 et L. 132-3 du même code : deux ans d’emprisonnement et 300 000 euros d’amende.