Actualités

RSS

Coffre-fort électronique

Information des utilisateurs

 « Art. R. 55-1. - Le fournisseur d’un service de coffre-fort numérique est tenu à une obligation d’information claire, loyale et transparente sur les modalités de fonctionnement et d’utilisation du service, préalable à la conclusion d’un contrat.

 Avant que l’utilisateur ne soit lié par un contrat de fourniture de service de coffre-fort numérique, le fournisseur du service lui communique, de manière lisible et compréhensible, les informations suivantes :

  1° Le type d’espace mis à sa disposition et les conditions d’utilisation associées ;

2° Les mécanismes techniques utilisés ;

3° La politique de confidentialité ;

4° L’existence et les modalités de mise en œuvre des garanties de bon fonctionnement ;

5° Son engagement sur la conformité du service aux exigences fixées aux 1° à 5° de l’article L. 103. »

 Le contenu de cette mention n’est pas des plus clair. Que signifie exactement « les mécanismes techniques utilisés » ? Jusqu’à quel niveau de détail faut-il aller vis-à-vis d’un utilisateur profane, sachant que la technologie sous-jacente est intrinsèquement complexe ? De même, le vocable « type d’espace » est obscur : à quelle typologie est-il fait allusion ici ?

 Documentation

 « Art. R. 55-2. - Le fournisseur du service de coffre-fort numérique expose dans un dossier technique la façon dont il assure le respect des exigences fixées aux 1° à 5° de l’article L. 103, telles que précisées dans la présente section. 

 Pour mémoire, les exigences référencées sont les exigences fonctionnelles à remplir par un service de coffre-fort numérique, tel que défini par la loi :

« 1° La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine ;

2° La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l'utilisateur ;

L'identification de l'utilisateur lors de l'accès au service par un moyen d'identification électronique respectant l'article L. 102 [1];

4° De garantir l'accès exclusif aux documents électroniques, données de l'utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l'utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l'utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés;

5° De donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d'origine, dans des conditions définies par décret. »

Reste à déterminer l’objectif de cette documentation. Selon certains auteurs, elle devrait être produite aux utilisateurs. Cela nous paraît assez surprenant dans la mesure où celle-ci peut comprendre des éléments confidentiels relatifs au savoir-faire du prestataire. Espérons qu’une réponse sera apportée sur ce sujet.

Sécurité

« Art. R. 55-3. - L’intégrité, la disponibilité et l’exactitude de l’origine des données et documents stockés dans le coffre-fort numérique sont garanties par des mesures de sécurité adaptées et conformes à l’état de l’art. » 

 Le renvoi à l’état de l’art est bienvenu, dans un domaine technologique complexe et évolutif. L’état de l’art actuel, en France, rapporte à la norme AFNOR Z42-020.

  • Pour rappel, la norme AFNOR Z42020 a été confirmée en 2017, et reste donc une norme NF jusqu’en juillet 2022 sans modification.

Les acteurs peuvent se faire certifier conforme à cette norme par INFOCERT via la certification NF Logiciel CCFN.

Une version ISO de la NF Z42020 pourrait voir le jour en 2010.

Traçabilité

 « Art. R. 55-4. - La traçabilité des opérations réalisées sur les données et documents stockés dans le coffre-fort numérique et la disponibilité de cette traçabilité pour l’utilisateur requièrent au minimum la mise en œuvre des mesures suivantes :

 1° L’enregistrement et l’horodatage des accès et tentatives d’accès ;

 2° L’enregistrement des opérations affectant le contenu ou l’organisation des données et documents de l’utilisateur ;

 3° L’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques.

  Les durées de conservation de ces données de traçabilité constituent une mention obligatoire du contrat de fourniture de service de coffre-fort électronique. » 

 La traçabilité des opérations effectuées sur le contenu du coffre-fort constitue une fonctionnalité essentielle de celui-ci, directement liée à la confidentialité des informations qu’il contient.

 La mise à disposition de l’utilisateur de ces informations de traçabilité pendant une certaine durée est supposée être de nature à renforcer la confiance des utilisateurs dans ce type de service. On notera cependant que la durée de conservation des informations de traçabilité est laissée à la discrétion de chaque prestataire de sorte qu’en pratique, il est permis de douter de l’exploitabilité réelle de cet historique.

Moyen d’identification

 « Art. R. 55-5. - L’identification de l’utilisateur lors de l’accès au service de coffre-fort numérique est assurée par un moyen d’identification électronique adapté aux enjeux de sécurité du service. 

 Rappelons que le règlement eIDAS définit 3 niveaux d’identification : simple, substantiel et élevé. Seul le niveau élevé est présumé fiable en droit français (art. L102 CPCE et décret d’application).

 On peut se féliciter de ce qu’un niveau d’identification précis ne soit pas imposé, mais laissé aux acteurs en fonction du risque encouru. Néanmoins cette liberté est toute relative car la plupart du temps les utilisateurs n’auront pas le choix du service, par exemple s’agissant des coffre-fort électroniques mis à disposition des salariés par leur employeur pour conserver les bulletins de paie électroniques.

Accès restreint aux documents stockés

 « Art. R. 55-6. - La garantie, telle que prévue au 4° de l’article L. 103, de l’exclusivité d’accès aux documents et aux données de l’utilisateur ou aux données associées au fonctionnement du service requiert au minimum la mise en œuvre des mesures suivantes :

 « 1° Un mécanisme de contrôle d’accès limitant l’ouverture du coffre-fort numérique aux seules personnes autorisées par l’utilisateur ;

 « 2° Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes ;

 « 3° Le chiffrement par le service de coffre-fort numérique de l’ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci. Ce chiffrement doit être effectué à l’aide de mécanismes cryptographiques conformes à l’état de l’art et permettre une évolution de la taille des clés et des algorithmes utilisés. La conformité à l’état de l’art est présumée lorsque les mécanismes impliqués dans ces opérations de chiffrement sont conformes aux règles et recommandations de l’Agence nationale de sécurité des systèmes d’information concernant le choix et le dimensionnement des mécanismes cryptographiques. » 

 Les documents stockés ne doivent être accessibles qu’à l’utilisateur, aux tiers désignés par lui ou au fournisseur du service le cas échéant. En particulier, le décret impose que les documents conservés dans le coffre-fort soient chiffrés, au moyen d’algorithmes dimensionnés conformément à l’état de l’art.

 Entrée en vigueur

Le décret entre en vigueur le 1er janvier 2019.

 Les fournisseurs de services de coffre-fort numérique ont la possibilité (et non l’obligation) de bénéficier d’une certification de conformité à un cahier des charges établi par l’ANSSI, qui ne doit pas être confondue avec la certification NF Logiciel CCFN susvisée.

 Il faut espérer que ces certifications puissent avoir lieu avant le 1er janvier 2019 pour permettre aux fournisseurs de commercialiser d’emblée des services certifiés conformes, gage important de légitimité tant pour les entreprises que pour les particuliers utilisateurs du service.

« Retour



Isabelle Renard

Isabelle Renard est ingénieur de formation. Elle a effectué la première partie de sa carrière dans un grand groupe industriel, dont plusieurs années aux...Lire la suite


Actualités


FNTC

Isabelle Renard est membre expert de la FNTC


Gestion des cookies - ©Cabinet IRenard Avocats - Tous droits réservés Site web avocat Absolute Communication - Réalisation : Agence answeb

Actualités

RSS

Coffre-fort électronique

Information des utilisateurs

 « Art. R. 55-1. - Le fournisseur d’un service de coffre-fort numérique est tenu à une obligation d’information claire, loyale et transparente sur les modalités de fonctionnement et d’utilisation du service, préalable à la conclusion d’un contrat.

 Avant que l’utilisateur ne soit lié par un contrat de fourniture de service de coffre-fort numérique, le fournisseur du service lui communique, de manière lisible et compréhensible, les informations suivantes :

  1° Le type d’espace mis à sa disposition et les conditions d’utilisation associées ;

2° Les mécanismes techniques utilisés ;

3° La politique de confidentialité ;

4° L’existence et les modalités de mise en œuvre des garanties de bon fonctionnement ;

5° Son engagement sur la conformité du service aux exigences fixées aux 1° à 5° de l’article L. 103. »

 Le contenu de cette mention n’est pas des plus clair. Que signifie exactement « les mécanismes techniques utilisés » ? Jusqu’à quel niveau de détail faut-il aller vis-à-vis d’un utilisateur profane, sachant que la technologie sous-jacente est intrinsèquement complexe ? De même, le vocable « type d’espace » est obscur : à quelle typologie est-il fait allusion ici ?

 Documentation

 « Art. R. 55-2. - Le fournisseur du service de coffre-fort numérique expose dans un dossier technique la façon dont il assure le respect des exigences fixées aux 1° à 5° de l’article L. 103, telles que précisées dans la présente section. 

 Pour mémoire, les exigences référencées sont les exigences fonctionnelles à remplir par un service de coffre-fort numérique, tel que défini par la loi :

« 1° La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l'exactitude de leur origine ;

2° La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l'utilisateur ;

L'identification de l'utilisateur lors de l'accès au service par un moyen d'identification électronique respectant l'article L. 102 [1];

4° De garantir l'accès exclusif aux documents électroniques, données de l'utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l'utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l'utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés;

5° De donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d'origine, dans des conditions définies par décret. »

Reste à déterminer l’objectif de cette documentation. Selon certains auteurs, elle devrait être produite aux utilisateurs. Cela nous paraît assez surprenant dans la mesure où celle-ci peut comprendre des éléments confidentiels relatifs au savoir-faire du prestataire. Espérons qu’une réponse sera apportée sur ce sujet.

Sécurité

« Art. R. 55-3. - L’intégrité, la disponibilité et l’exactitude de l’origine des données et documents stockés dans le coffre-fort numérique sont garanties par des mesures de sécurité adaptées et conformes à l’état de l’art. » 

 Le renvoi à l’état de l’art est bienvenu, dans un domaine technologique complexe et évolutif. L’état de l’art actuel, en France, rapporte à la norme AFNOR Z42-020.

  • Pour rappel, la norme AFNOR Z42020 a été confirmée en 2017, et reste donc une norme NF jusqu’en juillet 2022 sans modification.

Les acteurs peuvent se faire certifier conforme à cette norme par INFOCERT via la certification NF Logiciel CCFN.

Une version ISO de la NF Z42020 pourrait voir le jour en 2010.

Traçabilité

 « Art. R. 55-4. - La traçabilité des opérations réalisées sur les données et documents stockés dans le coffre-fort numérique et la disponibilité de cette traçabilité pour l’utilisateur requièrent au minimum la mise en œuvre des mesures suivantes :

 1° L’enregistrement et l’horodatage des accès et tentatives d’accès ;

 2° L’enregistrement des opérations affectant le contenu ou l’organisation des données et documents de l’utilisateur ;

 3° L’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques.

  Les durées de conservation de ces données de traçabilité constituent une mention obligatoire du contrat de fourniture de service de coffre-fort électronique. » 

 La traçabilité des opérations effectuées sur le contenu du coffre-fort constitue une fonctionnalité essentielle de celui-ci, directement liée à la confidentialité des informations qu’il contient.

 La mise à disposition de l’utilisateur de ces informations de traçabilité pendant une certaine durée est supposée être de nature à renforcer la confiance des utilisateurs dans ce type de service. On notera cependant que la durée de conservation des informations de traçabilité est laissée à la discrétion de chaque prestataire de sorte qu’en pratique, il est permis de douter de l’exploitabilité réelle de cet historique.

Moyen d’identification

 « Art. R. 55-5. - L’identification de l’utilisateur lors de l’accès au service de coffre-fort numérique est assurée par un moyen d’identification électronique adapté aux enjeux de sécurité du service. 

 Rappelons que le règlement eIDAS définit 3 niveaux d’identification : simple, substantiel et élevé. Seul le niveau élevé est présumé fiable en droit français (art. L102 CPCE et décret d’application).

 On peut se féliciter de ce qu’un niveau d’identification précis ne soit pas imposé, mais laissé aux acteurs en fonction du risque encouru. Néanmoins cette liberté est toute relative car la plupart du temps les utilisateurs n’auront pas le choix du service, par exemple s’agissant des coffre-fort électroniques mis à disposition des salariés par leur employeur pour conserver les bulletins de paie électroniques.

Accès restreint aux documents stockés

 « Art. R. 55-6. - La garantie, telle que prévue au 4° de l’article L. 103, de l’exclusivité d’accès aux documents et aux données de l’utilisateur ou aux données associées au fonctionnement du service requiert au minimum la mise en œuvre des mesures suivantes :

 « 1° Un mécanisme de contrôle d’accès limitant l’ouverture du coffre-fort numérique aux seules personnes autorisées par l’utilisateur ;

 « 2° Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes ;

 « 3° Le chiffrement par le service de coffre-fort numérique de l’ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci. Ce chiffrement doit être effectué à l’aide de mécanismes cryptographiques conformes à l’état de l’art et permettre une évolution de la taille des clés et des algorithmes utilisés. La conformité à l’état de l’art est présumée lorsque les mécanismes impliqués dans ces opérations de chiffrement sont conformes aux règles et recommandations de l’Agence nationale de sécurité des systèmes d’information concernant le choix et le dimensionnement des mécanismes cryptographiques. » 

 Les documents stockés ne doivent être accessibles qu’à l’utilisateur, aux tiers désignés par lui ou au fournisseur du service le cas échéant. En particulier, le décret impose que les documents conservés dans le coffre-fort soient chiffrés, au moyen d’algorithmes dimensionnés conformément à l’état de l’art.

 Entrée en vigueur

Le décret entre en vigueur le 1er janvier 2019.

 Les fournisseurs de services de coffre-fort numérique ont la possibilité (et non l’obligation) de bénéficier d’une certification de conformité à un cahier des charges établi par l’ANSSI, qui ne doit pas être confondue avec la certification NF Logiciel CCFN susvisée.

 Il faut espérer que ces certifications puissent avoir lieu avant le 1er janvier 2019 pour permettre aux fournisseurs de commercialiser d’emblée des services certifiés conformes, gage important de légitimité tant pour les entreprises que pour les particuliers utilisateurs du service.

« Retour


Droit des affaires Droit des nouvelles
technologies