Avec la loi du 7 octobre 2016 pour une République numérique et ses deux décrets d’application de 2018, le service de coffre-fort numérique a fait son entrée dans la réglementation. Une forme de consécration et d’aboutissement pour le concept de coffre-fort, numérique ou électronique, apparu dans le débat public au cours de l’été 2001, à l’occasion d’un discours ministériel sur l’administration électronique.
Le Décret n°2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique, pris en application de la loi du 7 octobre 2016 pour une République numérique, est sans ambiguïté. Il modifie le code des postes et des communications électroniques en y introduisant une obligation de chiffrement pour « l’ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci ». Le décret précise par ailleurs que « ce chiffrement doit être effectué à l’aide de mécanismes cryptographiques conformes à l’état de l’art et permettre une évolution de la taille des clés et des algorithmes utilisés ».
Depuis le 1er janvier 2019, date d’entrée en vigueur de ce décret du 30 mai 2018, tous les services de coffre-fort numérique dignes de ce nom se doivent donc d’assurer le chiffrement des données et documents qui y sont stockés. Inversement, toutes les entreprises qui prétendent proposer un service de coffre-fort numérique sans assurer le chiffrement des contenus ne respectent pas la règlementation.
Les prémisses de cette nouvelle exigence règlementaire remontent à 2010 avec les trois courants historiques du coffre-fort numérique.
Trois précurseurs : coffre-fort NF Z42-020, coffre-fort CNIL et coffre-fort ARJEL
La première famille peut être rattachée au domaine de l’archivage électronique probant. Objet de la norme NF Z42-020 de 2012, le « composant coffre-fort numérique » de cette norme a pour ambition de garantir l’intégrité des objets numériques qui y sont déposés. Il est alors complémentaire des logiciels de signature électronique ou de ceux permettant de mettre en œuvre un Système d’Archivage Electronique (SAE) dont il constitue alors un des logiciels.
La deuxième famille correspond aux services mis à disposition du grand public afin de garantir la confidentialité des contenus électroniques. La protection des données personnelles est ici mise en avant. Cette catégorie de services, à laquelle s’est intéressée plus particulièrement la CNIL, peut être rattachée aux technologies de protection de la vie privée (Privacy Enhancing Technologies ou PETs).
Enfin, le coffre-fort voulu par l’Autorité de régulation des jeux en ligne (ARJEL) qui sera prochainement remplacée par la nouvelle Autorité nationale de régulation des jeux, s’impose aux opérateurs agréés de jeux et paris en ligne. Il permet de chiffrer, signer, horodater et archiver, de façon exhaustive, des données des sites des opérateurs de jeux. Ce coffre-fort ARJEL associe ainsi les capacités des deux catégories évoquées précédemment. Aux dimensions intégrité et confidentialité, s’ajoute la traçabilité car il s’agit d’archiver des traces et non des documents électroniques.
Ces trois familles de coffres-forts numériques ont en commun de reposer sur la mise en œuvre de moyens cryptographiques (empreinte, signature électronique, jeton d’horodatage, voire chiffrement).
La loi pour une République numérique et ses décrets de 2018 s’inscrivent donc dans la continuité de ces trois courants historiques du coffre-fort numérique avec ses exigences d’intégrité, de traçabilité et plus encore de confidentialité, notamment avec l’obligation de mise en œuvre du chiffrement.
Certifications et labels du coffre-fort numérique
Les vocables « coffre-fort numérique » ou « coffre-fort électronique » possèdent une forte valeur marketing. Cela constitue vraisemblablement l’explication principale au fait que chaque famille évoquée précédemment relève de certifications ou de labels permettant d’identifier facilement les « véritables » coffres-forts numériques :
- la certification NF Logiciel Composant coffre-fort numérique d’Afnor certification et le label Coffre-fort électronique de la Fédération des Tiers de Confiance du numérique (FNTC) couvrent essentiellement les volets intégrité et journalisation ;
- la certification CSPN de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est une obligation pour les coffres-forts électroniques ARJEL utilisés par les opérateurs de jeux et paris en ligne agréés ;
- le label CNIL services de coffre-fort numérique axé sur la confidentialité, dont le référentiel est paru en 2014, n’est plus diffusé depuis 2018, date à laquelle la CNIL a cessé son activité de labellisation. Ce dispositif conserve cependant tout son intérêt. D’une part, il propose une typologie limpide à propos des différents acteurs susceptibles d’intervenir dans la chaîne d’un service de coffres-forts numériques. Désormais largement adoptée, cette typologie distingue l’éditeur du logiciel, l’opérateur technique du service et le prestataire de service de coffre-fort numérique. D’autre part, une des exigences majeures du label CNIL portait sur l’existence d’une fonction de chiffrement/déchiffrement des données conservées. Le label CNIL, qui a fait du service coffre-fort numérique en priorité une technologie de protection des données, a été ainsi le véritable précurseur du décret du 30 mai 2018.
Il faut enfin souligner que la Loi pour une République numérique de 2016 prévoit « une certification établie selon un cahier des charges proposé par l’autorité nationale de la sécurité des systèmes d’information après avis de la Commission nationale de l’informatique et des libertés et approuvé par arrêté du ministre chargé du numérique ». Le référentiel de cette future certification ANSSI des services de coffre-fort numérique est en cours d’élaboration. Cette certification aura sans conteste vocation à devenir la référence sur ce marché en forte progression.
Fruit d’une évolution permanente depuis près de dix ans, l’obligation de mise en œuvre du chiffrement pour les services de coffre-fort numérique intervient à point nommé au moment où l’un des usages majeurs de cette technologie concerne la dématérialisation des bulletins de paie. Elle fait également écho à l’entrée en vigueur du RGPD où le chiffrement est, avec la pseudonymisation, l’une des deux technologies explicitement citées par ce règlement européen sur la protection des données à caractère personnel.
Alain Borghesi
A lire aussi