Le service de coffre-fort numérique
Article L.103 du Code des postes et des communications électroniques (CPCE) - Suite à l’adoption d’une « Stratégie numérique » le 18 juin 2015, le Gouvernement repense en profondeur l’action publique s’appuyant sur l’outil numérique avec quatre axes de réflexion.
Le cadre nationale relatif aux services de coffre-fort numérique introduit les exigences minimales que tout service de coffre-numérique doit respecter. Il prévoit également les dispositions relatives aux conditions de récupération des données et documents stockés par le service de coffre-fort numérique. Enfin il introduit un cadre de certification des services de coffre-fort numérique qui répondraient aux exigences définies dans un cahier des charges établi par l'ANSSI.
À qui s’adresse cette réglementation ?
Cette réglementation s’adresse aux industriels qui mettent en œuvre un service de coffre-fort numérique.
Elle permet aux utilisateurs de ce type de service de prendre connaissance des exigences qui sont applicables à leur prestataire, préalablement à toute contractualisation d'un service de coffre-fort numérique.
Que contient cette réglementation ?
1. Protection des utilisateurs d'un service de coffre-fort numérique
L’article L. 122-22 du Code de la consommation prévoit que « le fournisseur qui se prévaut d'une offre de service de coffre-fort numérique défini aux 1° à 5° de l'article L. 103 du code des postes et des communications électroniques et qui ne respecte pas les obligations qui y sont énoncées est passible » des sanctions prévues pour les pratiques commerciales trompeuses selon les dispositions des articles L. 132-2 et L. 132-3 du Code de la consommation.
Ainsi, le fournisseur de services de coffre-fort numérique est tenu de respecter les dispositions de l’article L. 103 du CPCE ainsi que les dispositions particulières prévues par les décrets no 2018-418 et no 2018-853 sous peine de sanction.
2. Le décret no 2018-418
Le décret no 2018-418 du 30 mai 2018 définit les modalités de mise en œuvre du service de coffre-fort numérique.
Ainsi le fournisseur de service est soumis à une obligation d’information transparente de l’utilisateur, préalablement à la souscription du service et durant toute la durée de l’utilisation du service. Cette information concerne la nature du service mis à disposition de l’utilisateur mais également la politique de confidentialité du fournisseur.
Le fournisseur est également tenu de garantir de l’intégrité et de la disponibilité des données et documents conservés par son service via la mise en œuvre de mesures de sécurité conformes à l’état de l’art.
Le fournisseur est soumis à une obligation d’enregistrement des opérations réalisées sur l’espace de stockage de l’utilisateur, que ces opérations aient été réalisés par l’utilisateur lui-même mais également celles réalisées par les fournisseurs (par exemple les opérations de maintenance). De plus, ces enregistrements sont consultables par l’utilisateur du service.
Enfin, le fournisseur est tenu de garantir que seul l’utilisateur du service et toute personne qu’il a explicitement autorisée ont accès aux données stockées dans l’espace dédié à l’utilisateur. Le fournisseur a l’obligation de mettre en œuvre des mécanismes de contrôle d’accès et de chiffrement conforme à l’état de l’art technique.
3. Le décret no 2018-853
Le décret no 2018-853 du 5 octobre 2018 définit les conditions de récupération des documents et données stockés par un service de coffre-fort numérique.
Le fournisseur est tenu de garantir à l’utilisateur la récupération de ces données et documents de façon simple et dans un format que l’utilisateur puisse facilement exploiter.
Le fournisseur est soumis à une obligation d’information de l’utilisateur, préalablement à la souscription du service sur les modalités de récupération des données et documents que le service sera amené à stocker et les éventuels frais associés.
4. La certification des services de coffre-fort numérique
L'article L. 103 du Code des postes et des communications électroniques introduit une certification des services de coffre-fort numérique. Cette certification, délivrée par l'ANSSI, vise à vérifier la conformité de ces services aux exigences définies dans un cahier des charges établi par l'ANSSI après avis de la Commission nationale de l'informatique et des libertés (CNIL).
Actuellement, cette certification n'est pas encore disponible pour les industriels.
Quel est le rôle de l’ANSSI ?
L’ANSSI pilote l’élaboration et le maintien à jour des exigences de sécurité applicables aux services de coffre-fort numériques définies dans les différents textes mentionnés.
L’ANSSI prend les décisions de certification des services de coffre-fort numériques, assure le suivi de ces décisions dans le temps avec un pouvoir d’abrogation de celles-ci en cas de manquements observés.
Pour aller plus loin
1. Références réglementaires
|
Référence |
Lien |
|
Article L. 103 du CPCE |
|
|
Article L. 122-22 du Code de la consommation |
|
|
Décret no 2018-418 relatif aux modalités de mise en œuvre du service de coffre-fort numérique |
|
|
Décret n° 2018-853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique |
2. Renvoi aux autres contenus connexes de l’ANSSI
|
Ressources |
Lien |
|
La certification |
|
|
La liste des produits qualifiés |