Depuis le 1er janvier 2019, date de l’entrée en vigueur du Décret n° 2018-418 du 30 mai 2018, un service de coffre-fort numérique requiert le chiffrement de l’ensemble des documents et données stockés par celui-ci. Retour sur cette nouvelle exigence règlementaire dont les prémisses remontent à 2010.
« Le Décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique, pris en application de la loi du 7 octobre 2016 pour une République numérique, est sans ambiguïté. Il modifie le code des postes et des communications électroniques en y introduisant une obligation de chiffrement pour « l’ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci ». Le décret précise par ailleurs que « ce chiffrement doit être effectué à l’aide de mécanismes cryptographiques conformes à l’état de l’art et permettre une évolution de la taille des clés et des algorithmes utilisés ».
Depuis le 1er janvier 2019, date d’entrée en vigueur de ce décret du 30 mai 2018, tous les services de coffre-fort numérique dignes de ce nom se doivent donc d’assurer le chiffrement des données et documents qui y sont stockés. Inversement, toutes les entreprises qui prétendent proposer un service de coffre-fort numérique sans assurer le chiffrement des contenus ne respectent pas la règlementation. Difficile pour les spécialistes du domaine de soutenir qu’il s’agit d’une nouvelle exigence apparue par surprise puisqu’elle figurait explicitement, exactement dans les mêmes termes, dans le projet de décret soumis à consultation publique en avril 2017.
De l’intégrité à la confidentialité
Initialement, il est vrai que le coffre-fort numérique a pu apparaître comme un dispositif technique relevant du domaine de l’archivage électronique probant avec une priorité accordée à l’intégrité et à la journalisation des documents conservés. C’est cette vision que l’on retrouve par exemple dans la norme AFNOR NF Z 42-020 de juillet 2012 relative aux « Spécifications fonctionnelles d’un composant Coffre-Fort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps». La loi pour une république numérique et ses décrets maintiennent évidemment ces exigences d’intégrité et de traçabilité mais accentuent aussi fortement la dimension confidentialité, notamment avec l’obligation de mise en œuvre du chiffrement.
Deux précurseurs : coffre-fort ARJEL et coffre-fort CNIL
L’association du coffre-fort numérique et du chiffrement n’est pas une réelle nouveauté. Depuis 2010, les opérateurs agréés de jeux et paris en ligne doivent archiver les évènements de jeux dans un coffre-fort électronique chiffré bénéficiant de la Certification de Sécurité de Premier Niveau (CSPN) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information). Dans ce dispositif, seule l’ARJEL (Autorité de régulation des jeux en ligne) possède les clés de déchiffrement.
De son côté, la CNIL a publié en le 23 janvier 2014 son référentiel pour la délivrance de labels en matière de services de coffre-fort numérique. Pour ce label délivré par la CNIL jusqu’en 2018, une des exigences majeures portait sur l’existence d’une fonction de chiffrement/déchiffrement des données conservées, incluant les documents stockés et leurs métadonnées.
Le label CNIL, qui fait du service coffre-fort numérique en priorité une technologie de protection des données, a été ainsi le véritable précurseur du décret du 30 mai 2018. Toutefois une différence majeure doit être soulignée. Le Label CNIL exigeait la mise en œuvre d’un chiffrement sous le contrôle exclusif de l’utilisateur alors que le décret de 2018 autorise un chiffrement côté serveur.
Fruit d’une évolution en cours depuis près de dix ans, l’obligation de mise en œuvre du chiffrement pour les services de coffre-fort numérique intervient à point nommé au moment où l’un des usages majeurs de cette technologie concerne la dématérialisation des bulletins de paie. Elle fait également écho à l’entrée en vigueur du RGPD où le chiffrement est, avec la pseudonymisation, l’une des deux technologies explicitement citées par ce règlement européen sur la protection des données à caractère personnel.
Arnaud Belleil
Le chiffrement des coffres-forts Cecurity.com
Le Coffre-fort des jeux en ligne (CFJL), coffre-fort chiffré destiné aux opérateurs des jeux et paris en ligne, a obtenu en 2011 puis en 2015 la Certification de Sécurité de Premier Niveau (CSPN) de l’ANSSI.
Le service de coffre-fort numérique CecurCrypt, avec chiffrement sous le contrôle exclusif de l’utilisateur, a obtenu en 2016 le label CNIL coffre-fort numérique, pour une durée de trois ans.
Le service de coffre-fort numérique chiffré MyCecurity.com, dont l’usage concerne la dématérialisation des bulletins de paie, a obtenu du Cabinet d’avocats Caprioli & Associés, en décembre 2018, une Legal Opinion attestant de sa conformité avec les exigences de la loi pour une république numérique et de ses décrets de 2018.
A lire aussi