bloc-notes public de Marc Auer

Délibération n° 2020-049 du 23 avril 2020 portant avis sur un cahier des charges pour la certification des services de coffre-fort numérique (demande d’avis n° 20003671)

La Commission nationale de l'informatique et des libertés,

Saisie par l’Agence nationale de sécurité des systèmes d’information (ANSSI) d’un cahier des charges pour la certification des services de coffre-fort numérique ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu le code des postes et des communications électroniques, notamment son article L. 103 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique ;

Vu le décret n° 2018-853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique ;

Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi n° 78- 17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-270 du 19 septembre 2013 portant recommandation relative aux services dits de coffre-fort numérique ou électronique destinés aux particuliers ;

Vu la délibération n° 2018-102 du 15 mars 2018 portant abrogation des référentiels de labellisation ;

Sur la proposition de M. François PELLEGRINI, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Émet l’avis suivant :

A titre liminaire, la Commission rappelle que le cadre juridique applicable aux services de coffre-fort numérique a été créé par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Le I de l’article 87 de la loi précitée, codifié à ce jour à l’article L. 103 du code des postes et des communications électroniques (CPCE), prévoit ainsi les caractéristiques nécessaires pour qualifier un service de coffre-fort numérique et la possibilité pour un service de coffre-fort numérique de bénéficier

d’une certification par l’Etat. Il est prévu que les modalités de certification des services de coffre-fort numérique soient définies par un décret en Conseil d’Etat pris après avis de la Commission conformément à l’article L. 103 du CPCE, lequel fait l’objet d’un avis distinct.

Elle relève que le cahier des charges qui lui est soumis pour avis fixe les exigences de sécurité que doit remplir un service de coffre-fort numérique pour bénéficier d’une certification par l’ANSSI. La Commission rappelle que le fournisseur d’un service de coffre-fort numérique devra également s’assurer de sa conformité à la réglementation relative à la protection des données à caractère personnel.

Elle rappelle également qu’elle s’est prononcée à plusieurs reprises sur les services de coffre-fort numérique, et ce dès 2013, en adoptant une recommandation relative aux services dits de coffre-fort numérique ou électronique destinés aux particuliers (délibération n° 2013-270 du 19 septembre 2013) et dans un avis sur deux projets de décrets portant application de l’article 87 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique relatif au service de coffre-fort numérique (délibération n° 2017-178 du 1er juin 2017).

Ces éléments généraux rappelés, le cahier des charges appelle les observations suivantes de la part de la Commission :

En premier lieu, la Commission rappelle que son activité de labellisation a pris fin avec l’entrée en application du règlement européen sur la protection des données à caractère personnel susvisé et que le référentiel pour la délivrance de labels en matière de services de coffre-fort numérique, adopté par la délibération n° 2014-017 du 23 janvier 2014, a été abrogé par la délibération n° 2018-102 susvisée. Dans ce contexte, elle demande dès lors que le cahier des charges, notamment son annexe 2, soit mis à jour au regard de cette évolution. La Commission rappelle à cet égard que la délibération n° 2013-270 du 19 septembre 2013 portant recommandation relative aux services de coffre-fort numérique demeure en vigueur et constitue un cadre de référence en la matière.

En deuxième lieu, si l’article R. 55-5 du CPCE prévoit que L'identification de l'utilisateur lors de l'accès au service de coffre-fort numérique est assurée par un moyen d'identification électronique adapté aux enjeux de sécurité du service , la Commission relève toutefois que le cahier des charges ne vise que le niveau d’identification substantiel pour l’accès à un service de coffre-fort numérique. Elle estime en conséquent que ce cahier des charges devrait être complété afin de tenir compte des différents moyens d’identification électronique pouvant être proposés, y compris la possibilité d’ouvrir un coffre-fort numérique sous une identité déclarative, un nom d’usage ou un pseudonyme.

La Commission relève par ailleurs que l’identification de l’utilisateur ne pourra être réalisée au moyen du numéro d’inscription des personnes au répertoire national d’identification des personnes physiques (NIR) conformément à sa délibération n° 2013-270 susvisée. Elle rappelle en outre que l’utilisation de ce numéro d’identification est strictement encadrée par l’article 30 de la loi du 6 janvier 1978 précitée.

En troisième lieu, la Commission rappelle que l’article L.103-4° du CPCE prévoit la possibilité pour un fournisseur de service de coffre-fort d’accéder aux données à caractère personnel de ses utilisateurs pour réaliser un traitement de ces documents ou données au seul bénéfice de l'utilisateur et après avoir recueilli son consentement dans le respect de la loi n 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés . Elle observe toutefois que le cahier des charges ne mentionne pas les modalités de recueil de ce consentement. Elle estime dès lors que le cahier des charges pourrait être utilement complété en ce sens.

En quatrième lieu, la Commission rappelle qu’en l’absence d’agrément ministériel pour l’hébergement des données de santé, le fournisseur de service de coffre-fort numérique a l’interdiction de traiter de telles données. Elle estime qu’une vigilance particulière devra être portée au respect de cette condition.

En cinquième lieu, la Commission rappelle que lorsqu’un service de coffre-fort numérique a vocation à conserver des données à long terme, elle recommande qu’une copie de sauvegarde de la clef de déchiffrement soit confiée à un tiers de confiance afin de permettre à l’utilisateur d’accéder à ses données en cas de perte de sa clef conformément à la délibération n° 2013-270 susvisé. Elle estime dès lors qu’une procédure de récupération de clef devrait être prévue dans le cahier des charges.

Enfin, la Commission appelle l’attention de l’ANSSI sur l’importance de prendre compte la réalisation d’une analyse d’impact sur la protection des données (AIPD) comme preuve de conformité au RGPD dans le processus de certification d’un service de coffre-fort numérique, dès lors que celui-ci peut comprendre des traitements de données à caractère personnel susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

-

La Présidente

Marie-Laure DENIS