Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Adoption d'une recommandation sur les coffre-forts électroniques

25 novembre 2013

À l'issue d'une concertation avec des acteurs du domaine, la CNIL a adopté une recommandation relative aux services de coffres forts numériques destinés aux particuliers. Elle propose notamment des bonnes pratiques en matière de sécurité à l'attention des fournisseurs de ces solutions.

En analysant les solutions de coffre fort disponibles sur le marché, la CNIL a constaté que la majorité des services de coffre-fort numérique n'étaient pas suffisamment sécurisés. Il lui est apparu utile d'alerter les utilisateurs, qui peuvent être induits en erreur par l'appellation de " coffre-fort ", sur les précautions à prendre avant de souscrire à une offre. Elle a également souhaité rappeler aux fournisseurs les bonnes pratiques à adopter sur les données, les destinataires, les durées de conservation,  l'information des personnes, les mesures de sécurité.

Une appellation réservée à de véritables " coffres-forts "

La CNIL propose que l'appellation " coffre-fort  numérique ", ou " coffre-fort électronique ", soit réservée à une forme spécifique d'espace de stockage numérique, dont l'accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier

Un haut niveau d'exigence en matière de sécurité

De façon générale, les services de coffre-fort numérique doivent garantir l'intégrité, la disponibilité et la confidentialité des données stockées et impliquer la mise en œuvre des mesures de sécurité décrites dans la recommandation.

Concrètement, La CNIL recommande que les données soient chiffrées à toutes les étapes du processus (transfert vers et depuis un coffre d'une part, stockage d'autre part).

Le dispositif de chiffrement, notamment la taille de la clé utilisée, doit répondre aux exigences de l'ANSSI (Agence nationale de sécurité des systèmes d'information).

Les mécanismes d'authentification des utilisateurs et des tiers mandatés doivent garantir une authentification forte (mots de passe à usage unique, envoi de codes par SMS, etc....).

Un accès aux données strictement encadré

Les fournisseurs de ce type de service ne doivent pas être techniquement en mesure d'accéder au contenu d'un coffre-fort, ni à ses éventuelles sauvegardes, sans le consentement exprès de l'utilisateur concerné.
A cet égard, l'acceptation des conditions d'utilisation ne constituent pas un consentement exprès valable.

La clé de déchiffrement doit être maîtrisée uniquement par l'utilisateur du coffre et éventuellement par un tiers de confiance.

Le stockage des données de santé réglementé

L'hébergement de données de santé nécessite l'obtention d'un agrément spécifique du ministère de la santé, délivré après avis de la CNIL. Sans cet agrément, le fournisseur de coffre-fort ne peut proposer ou organiser le stockage de données de santé, par exemple en prévoyant par défaut un dossier intitulé "  Santé ".
Il devra donc déconseiller à ses utilisateurs de stocker ce type d'informations.

L'utilisation du numéro de sécurité sociale à proscrire

Il n'est pas possible d'identifier les coffres en utilisant le numéro de sécurité sociale des utilisateurs. La CNIL recommande donc aux prestataires de recourir à un système basé sur l'attribution d'un numéro unique non signifiant, à l'image de ce que font les banques avec les relevés d'identité bancaire.

Une déclaration auprès de la CNIL

Le fournisseur d'un service de coffre-fort électronique, lorsqu'il agit en qualité de responsable de traitement, doit réaliser une déclaration normale auprès de la CNIL avant la mise en œuvre du service.

Cette déclaration doit préciser, notamment, les catégories de données traitées par le prestataire pour assurer le service (données d'identification des utilisateurs et données de connexion), sans préciser les catégories de données stockées par les utilisateurs.

En revanche, lorsque le fournisseur d'une solution de coffre-fort électronique agit en qualité de sous-traitant, pour le compte d'un donneur d'ordre ayant préalablement déterminé les moyens et finalités à mettre en œuvre, la déclaration doit être effectuée par le donneur d'ordre.

Chargement en cours...