Pour utiliser le terme de « coffre-fort numérique ou électronique », il faudra désormais apporter de réelles garanties en termes de sécurité, explique la CNIL. 

Prenant acte de la démocratisation des services de stockage en ligne pour les professionnels et les particuliers, la CNIL a publié une recommandation sur les usages des coffres-forts numériques. Pour proposer un tel service aux particuliers, il faudra donc répondre à certains critères, principalement en termes de sécurité informatique donc… et elles sont nombreuses ! 

La recommandation publiée par la CNIL a surtout pour but de mieux informer les consommateurs. Car un « coffre-fort numérique » doit effectivement être robuste et répondre à des critères tels que l’impossibilité d’accéder aux fichiers déposés par le fournisseur lui-même, une clé de chiffrement unique à disposition de l’utilisateur, le chiffrement des données lors de transfert pour les back-ups par exemple, etc. 

A qui s’adressent ces contraintes techniques ? « A l’ensemble des services de coffres-forts numérique proposés aux particuliers par des sociétés établies sur le territoire français », répond la CNIL. Mais pas seulement : aux entreprises « établies en dehors du territoire de l’Union européenne » également, « dès lors qu’elles utilisent des moyens de traitement en France ». 

Les mesures de base 

« Le contenu d’un coffre-fort numérique doit ainsi être protégé par des mesures techniques les rendant incompréhensibles aux tiers non autorisés », débute la CNIL. De plus, « les copies répliquées en ligne du document supprimé doivent également être supprimées sans délais ». De plus, lorsqu’on parle de coffre-fort numérique, « le fournisseur du service s’engage quant à la pérennité du stockage ». 

Concernant les mécanismes cryptographiques, ils doivent être conformes au référentiel général de sécurité de l’ANSSI, et en l’occurrence à l’annexe B1 de ce dernier. D’ailleurs, dans la mesure du possible, les produits cryptographiques doivent être certifiés par l’ANSSI ; mécanismes qui doivent être le plus transparent possible. 

Source : www.linformaticien.com

libero ut luctus ut eget adipiscing