Création du label cnil services de coffre-fort numérique!

Avec sa délibération du 23 janvier 2014 portant adoption d’un référentiel pour la délivrance de labels en matière de services de coffre-fort numérique, la CNIL vient de créer son premier label relatif à une technologie. Tour d’horizon d’un dispositif qui doit garantir aux utilisateurs un haut niveau de protection de leurs données personnelles.

***

Une longue période de 10 ans ou un délai extrêmement court de quatre mois. Deux lectures sont possibles lorsqu’on évoque le nouveau label CNIL services de coffre-fort numérique dont l’acte de naissance remonte au 23 janvier 2014.

La CNIL et ses labels en quelques dates

La CNIL dispose d’un pouvoir de labellisation depuis la modification en août 2004 de la loi informatique et libertés de janvier 1978. L’article 11 (3o, c) de la loi du 6 janvier 1978 modifiée dispose qu’ « à la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements, […la CNIL] délivre un label à des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel (…) ».

Le lancement officiel des deux premiers labels CNIL est intervenu en novembre 2011 avec la publication des référentiels relatifs d’une part aux formations et d’autre part aux audits de conformité. Les premiers labels correspondant à ces deux catégories ont ensuite été délivrés à partir de juin 2012. Avec les services de coffre-fort numérique, la CNIL entre dans une nouvelle dimension puisqu’il s’agit du premier label relatif à une technologie et non à une prestation intellectuelle comme c’était uniquement le cas jusqu’à présent. De 2004 à 2014, il aura donc bien fallu 10 ans. En revanche, force est de constater que l’accélération a été particulièrement impressionnante dans la dernière ligne droite.

La CNIL et le coffre-fort numérique en quelques dates

Les spécialistes d’archéologie numérique pourront souligner que la CNIL semble avoir fait usage pour la première fois du terme coffre-fort électronique, avec des guillemets, dans son rapport d’activité de l’année 2000, paru en 2001. Elle reprenait, sans le reprendre à son compte, le terme utilisé par un réseau de soins pour présenter son projet d’informatisation.

La véritable histoire du coffre-fort électronique débute véritablement pour la CNIL le 15 juin 2011 avec la publication sur son site d’une fiche pratique intitulée « le coffre-fort électronique en question » (la fiche pratique est toujours accessible sur le site de la CNIL mais dans une version modifiée du 22 novembre 2013). Difficile de ne pas faire le lien entre la date de parution de cette fiche et la publication de la norme  AFNOR NF Z42-025 de mai 2011 relative à la gestion du bulletin de paie électronique. A l’évidence, l’effervescence autour de la dématérialisation de la paie a conduit la CNIL à se pencher plus spécifiquement sur la question des coffres-forts électroniques.

Une nouvelle étape très importante a été franchie le 19 septembre 2013 avec la délibération n°2013-270 portant recommandation « relative aux services dits de « coffre-fort numérique ou électronique » destiné aux particuliers ». Trois sujets sont abordés dans ce texte : le régime des formalités auprès de la CNIL, les dispositifs de sécurité recommandés et l’information des utilisateurs.

Enfin, le 23 janvier 2014 est publié le référentiel du label CNIL avec des exigences se situant dans la continuité des recommandations rendues publiques en septembre 2013. De la recommandation au label, il aura fallu à la CNIL à peine plus de quatre mois. Une rapidité suffisamment rare sur ce type de dossier pour être soulignée et qui tendrait à démontrer l’importance que l’autorité de protection des données accorde à ce domaine d’activité.

Fabricant, opérateur et prestataire de coffre-fort numérique

Indépendamment des exigences qui y figurent, un des intérêts majeurs du référentiel du label CNIL est de proposer une typologie limpide à propos des différents acteurs susceptibles d’intervenir dans le secteur des coffres-forts numériques. La CNIL distingue ainsi le fabricant du produit, l’opérateur de service et le prestataire de service. L’opérateur est celui qui assure le fonctionnement opérationnel du service de coffre-fort numérique avec les mesures de sécurité associées. Le prestataire de services de coffre-fort numérique pour sa part délivre le service aux utilisateurs. Concrètement c’est le logo du fournisseur du service qui figurera sur le site alors que l’opérateur fera tourner les datacenters.

Le demandeur du label correspond dans la démarche prévue par la CNIL à la société ou aux deux sociétés qui assurent conjointement les rôles d’opérateur et de prestataire de services. En pratique, la co-labellisation pourrait donc être assez fréquente.

La référence au fabricant du coffre-fort numérique, qui n’est pas directement impliqué par le processus de labellisation CNIL, permet de mettre en évidence que ce label ne concerne que les services et non les produits comme c’est par exemple le cas avec la certification NF Logiciel coffre-fort numérique ou encore pour le label Coffre-fort électronique de la Fédération des Tiers de Confiance (FNTC). Autre spécificité, le label CNIL s’adresse aux seuls services destinés aux particuliers et non aux professionnels. L’accent est donc mis sur la confidentialité alors que les applications professionnelles de coffre-fort électronique sont traditionnellement plutôt centrées sur l’intégrité des données.

Chiffrement et tiers de confiance

Au nombre de 22, les exigences du référentiel appartiennent à deux catégories. Les exigences sur la démarche imposent au demandeur (une ou deux sociétés assurant les rôles d’opérateur et de prestataire) de prouver qu’il(s) respecte(nt) la loi informatique et libertés pour l’ensemble de leurs traitements et pas uniquement pour le service de coffre-fort numérique. Les exigences de services, les plus nombreuses, peuvent être classées en plusieurs catégories selon qu’elles concernent l’information des utilisateurs, les fonctionnalités techniques ou enfin les procédures.

S’il ne fallait retenir qu’un seul critère, toute la démarche de la CNIL repose sur l’idée que le coffre-fort numérique, pour mériter cette appellation, doit correspondre à un service ou seul l’utilisateur (et les personnes mandatées par lui) peut avoir accès au contenu de son coffre-fort. Les opérateurs ou prestataires ne doivent donc pas pouvoir lire ces données. Dans le cas contraire, le service ne devra être considéré que comme un « espace de stockage numérique ».

La CNIL impose donc le recours au chiffrement des données en précisant qu’une sauvegarde de la clé de déchiffrement pourra être confiée par l’utilisateur à un tiers de confiance. C’est donc très logiquement que la Fédération des Tiers de Confiance (FNTC) a apporté rapidement son soutien officiel au label CNIL services de coffre-fort numérique.

Arnaud Belleil

Partager cet article

Restez informé !

Abonnez-vous à notre newsletter

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

A lire aussi

Article
Découvrez le changement de cap pour le PPF concernant la réforme de la facture électronique et
En savoir plus
Article
Cecurity.com propose de vous éclairer en déconstruisant les 5 clichés sur la dématérialisation des bulletins de
En savoir plus
Article
Le coffre-fort numérique du salarié MyCecurity.com a été totalement repensé pour vous offrir une meilleure expérience
En savoir plus
Cecurity.com
Téléphone Email