La CNIL a publié lundi une "recommandation" qui s'impose aux fournisseurs d'espaces de stockage en ligne, pour limiter l'appellation "coffre-fort numérique" aux hébergeurs de fichiers qui apportent de réelles garanties de confidentialité et de pérennité.

Mise à jour – La recommandation de la CNIL sur le "coffre-fort numérique" a été publiée vendredi au Journal officiel.

Sujet du 25 novembre – Alors que les révélations sur le programme PRISM et les pratiques de la NSA ont mis en lumière les problèmes de confidentialité des données hébergées sur Internet, la CNIL a publié lundi une recommandation datée du 19 septembre 2013 sur les "coffres forts électroniques" (ou "cyberlockers"), pour leur imposer une réglementation spécifique. 

"En analysant les solutions de coffre fort disponibles sur le marché, la CNIL a constaté que la majorité des services de coffre-fort numérique n'étaient pas suffisamment sécurisés", justifie la Commission Nationale de l'Informatique et des Libertés, qui juge que les utilisateurs peuvent être induits en erreur par l'utilisation d'une dénomination qui n'était jusque là sujette à aucune condition.

Désormais, du fait de l'obligation de déclarer auprès de la CNIL les traitement de données personnelles, les prestataires qui exercent en France et qui veulent se prétendre "coffre-fort numérique" devront se conformer à la recommandation de la CNIL. 

Ainsi dans sa recommandation, la CNIL demande que "l'appellation " coffre-fort numérique ", ou " coffre-fort électronique ", soit réservée à une forme spécifique d'espace de stockage numérique, dont l'accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier". Même l'hébergeur ne doit pas pouvoir lire en clair les données stockées, y compris en présence d'une clause contractuelle d'autorisation — de quoi conforter les critiques contre Dropbox.

"Le contenu d’un coffre-fort numérique doit être protégé par des mesures techniques les rendant incompréhensibles aux tiers non autorisés".

La Commission demande donc que pour utiliser une telle appellation de "coffre-fort", les services d'hébergement de fichiers puissent garantir que les données sont chiffrées de bout en bout (depuis leur envoi jusqu'à leur lecture, en passant par leur stockage) avec un protocole de chiffrement et une longueur de clé conforme aux recommandations de l'Agence nationale de sécurité des systèmes d'information (ANSSI), telles que décrites en Annexe B1 (.pdf) du référentiel général de sécurité. Les clients doivent être informés des mesures mises en oeuvre, et des outils doivent être mis à disposition pour détecter d'éventuelles intrusions par des tiers.

Néanmoins, "lorsqu’un coffre-fort numérique a vocation à conserver des données à long terme, une copie de sauvegarde de la clef de déchiffrement doit être confiée à un tiers de confiance, afin de permettre à l'utilisateur d’accéder à ses données en cas de perte de sa clef", et le prestataire doit alors assurer "une traçabilité" de l'utilisation de clé.

"Un service qui ne répondrait pas à ces critères (…) est un simple espace ou service de stockage numérique", et non un coffre-fort, prévient la CNIL.

Entre autres préconisations, "les mécanismes d'authentification des utilisateurs et des tiers mandatés doivent garantir une authentification forte (mots de passe à usage unique, envoi de codes par SMS, etc….)", et "les fournisseurs doivent rendre accessible, sans surcoût, un outil permettant aux utilisateurs de récupérer l’intégralité du contenu de leur coffre-fort de façon simple, sans manipulation complexe ou répétitive, et ce, afin de faciliter le changement de fournisseur".

Par ailleurs, pour tout service de stockage (coffre-fort ou non), il sera interdit de conserver des copies répliquées de données, dès lorsque l'utilisateur a décidé de leur suppression, et les sauvegardes de sécurité devront être nettoyées tous les mois. Ceux qui se disent "coffre-fort" ont une obligation supplémentaire d'informer suffisamment en avance les utilisateurs de leur éventuelle fermeture, pour permettre aux clients de récupérer à temps les données stockées.

Enfin, réagissant au scandale PRISM, la CNIL rappelle que "à défaut d’obtention d’une autorisation préalable de la Commission nationale de l’informatique et des libertés, les données collectées dans le cadre d’un service de coffre-fort numérique doivent rester sur le territoire de l’Union européenne, ou sur le territoire d’un État non membre de l’Union européenne garantissant aux données un niveau de protection suffisant au sens de l'article 68 de la loi du 6 janvier 1978 modifiée".

Partager sur les réseaux sociaux

Articles liés