Alors que la loi ou les tribunaux n’ont pas encore eu à traiter le cas des services de coffre-fort numérique, la CNIL s’est penchée sur la question.
La commission a édicté une liste de recommandations à propos de ces offres d’espace de stockage sécurisé, utilisées pour l’hébergement de documents dématérialisés personnels (facture, bulletin de salaire,…).
A l’heure où les prestataires de ces services (les banques notamment) se font plus nombreux, ceux-ci y trouveront d’utiles “recommandations” et leurs futurs clients autant d’exigences à faire prévaloir auprès d’eux.
La CNIL rappelle ainsi qu’un tel service doit faire l’objet, avant sa mise en œuvre, d’une déclaration auprès de ses services. Mais, les catégories de données stockées n’ont pas à y être mentionnées.
De même, elle souligne qu’en cas de transfert des données stockées en dehors de l’Union européenne par le prestataire, ce dernier doit obtenir une autorisation préalable de ses services.
S’agissant des donnés traitées, la CNIL exclut que les fournisseurs puissent proposer de stocker des données de santé, soumises à un régime juridique spécial, s’ils ne sont pas eux-mêmes agréés à cet effet.
Faciliter le changement de prestataire “sans manipulation complexe”
Abordant la question de la durée de conservation, la commission préconise que lorsqu’un utilisateur souhaite supprimer l’un des documents de son espace personnel, cette opération soit « immédiatement prise en compte ». En cas de sauvegarde incluant ces données, ces copies ne doivent pas être conservées au-delà d’un mois.
S’adressant aux fournisseurs de service de coffre-fort numérique, la CNIL estime qu’ils doivent s’engager quant à la pérennité du stockage. Ainsi, « la fermeture de ce type de service nécessite d’en informer les utilisateurs suffisamment en avance afin de leur laisser le temps nécessaire pour récupérer les documents stockés ».
A ce sujet, les prestataires doivent, selon elle, « rendre accessible, sans surcoût, un outil permettant aux utilisateurs de récupérer l’intégralité du contenu de leur coffre-fort de façon simple, sans manipulation complexe ou répétitive, et ce afin de faciliter le changement de fournisseur » .
Enfin, dans le domaine de la sécurité, elle recommande notamment que tous les transferts d’information vers et depuis un coffre-fort numérique soient chiffrés lorsqu’ils sont réalisés par un réseau non sécurisé.
Source :
– Legifrance.gouv.fr (délibération de la CNIL no 2013-270)
Lire aussi :
– La Caisse d’Epargne lanceun service de coffre-fort numérique (publié le 13 septembre 2013)
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.