De plus en plus de sociétés proposent des services de coffres-forts électroniques, accessibles sur internet. Ces services permettent de stocker en ligne des documents au format électronique, afin d'y avoir accès depuis tout ordinateur connecté à internet. Quels sont les risques et les enjeux de ces services?
Les services de coffres-forts électroniques consistent en un espace de stockage sécurisé, accessible sur internet, et permettant de stocker des documents électroniques sous différents types de format (textes, photos, documents papier numérisés, etc.). Ces services peuvent être gratuits ou payants.
Ces services s'adressent au grand public et sont généralement conçus pour être simples à utiliser. Les fournisseurs de ces services les destinent au stockage des documents administratifs, tels que les factures, les contrats, les avis d'imposition, etc.
Il existe également des services proposant des fonctionnalités plus avancées à destination des professionnels ayant des besoins de stockage spécifiques, tels que les notaires ou les huissiers.
Les bulletins de paye électroniques, dont l'utilisation permet de réduire les coûts de traitement de la paie, doivent être transmis aux salariés sur un espace de stockage dédié, accessible uniquement par le salarié. Ainsi de nombreux fournisseurs de services de coffres-forts ont également une offre de dématérialisation des bulletins de paie : l'employeur paye pour le service de dématérialisation, et le salarié bénéficie lui d'un coffre-fort gratuit sur lequel sont déposés ses bulletins de paie.
Non. Ces coffres-forts peuvent recevoir tous les types de documents à l'exclusion de documents relatifs à la santé. En effet, l'hébergement de données de santé nécessite l'obtention d'un agrément spécifique du ministre de la santé, délivré après avis de la CNIL.
En l'absence de cet agrément, le fournisseur de coffre-fort ne peut pas proposer à ses clients de stocker leurs données de santé.
Bien que les fournisseurs de ce type de service vantent la sécurisation de leurs systèmes dans leur communication commerciale, ils prennent généralement très peu d'engagements concrets dans leurs conditions générales de vente, en termes d'accessibilité de leur plateforme, de confidentialité des données, de conservation des données, etc. Ainsi, en cas de perte accidentelle des données leur responsabilité ne peut être engagée.
De plus, la majorité des fournisseurs ont techniquement accès au contenu du coffre-fort, puisque très peu d'entre eux mettent en œuvre des solutions de chiffrement permettant de garantir la confidentialité des informations vis-à-vis de leurs propres administrateurs.
Au-delà des questions de sécurité, on constate que peu de fournisseurs offrent la possibilité de télécharger l'intégralité des fichiers du coffre fort. Cela peut poser des problèmes à l'utilisateur qui souhaiterait changer de fournisseur.
Par ailleurs, il faut savoir que ces fournisseurs peuvent être rachetés par des sociétés étrangères situées hors de l'union européenne, auquel cas l'utilisateur risquerait de perdre la maîtrise de ses données, dans la mesure ou elles pourraient être transférées à l'étranger dans un pays ou la loi Informatique et Libertés ne s'applique pas.
Enfin, il faut garder à l'esprit que les fournisseurs de ces services se doivent de collaborer avec les forces de police, et de leur donner un accès au coffre en cas de demande effectuée sous contrôle d’un juge.
La première précaution à prendre est de bien vérifier les engagements pris par le fournisseur du coffre-fort, en termes de disponibilité du service, de compensation en cas de perte des données, et de chiffrement éventuel des données. Il faut également choisir son mot de passe avec soin, et vérifier que l'on accède bien au coffre par une connexion sécurisée avec HTTPS, afin de garantir la confidentialité des échanges de données sur internet.
Enfin, pour les données vraiment confidentielles, il vaut toujours mieux les chiffrer avant de les déposer sur le coffre fort, afin de garantir leur confidentialité. Ceci peut être fait au moyen d'un logiciel gratuit tel qu'AxCrypt.
Si la loi lui en donne le pouvoir, la CNIL ne délivre pas à ce jour de label ni d'agrément. Ainsi, aucun fournisseur de ce genre de service n'est agréé par la CNIL.
Par ailleurs, la concentration de données personnelles chez un hébergeur unique, soulève beaucoup de questions, et aggrave significativement les conséquences en cas de perte ou de divulgation des données. La CNIL reste vigilante afin de s'assurer que le développement de ces services se fait dans le respect des droits des personnes concernées.
