Adoption d’une recommandation sur les coffre-forts électroniques

« À l’issue d’une concertation avec des acteurs du domaine, la CNIL a adopté une recommandation relative aux services de coffres forts numériques destinés aux particuliers. Elle propose notamment des bonnes pratiques en matière de sécurité à l’attention des fournisseurs de ces solutions (…)

Un haut niveau d’exigence en matière de sécurité

De façon générale, les services de coffre-fort numérique doivent garantir l’intégrité, la disponibilité et la confidentialité des données stockées et impliquer la mise en œuvre des mesures de sécurité décrites dans la recommandation.

Concrètement, La CNIL recommande que les données soient chiffrées à toutes les étapes du processus (transfert vers et depuis un coffre d’une part, stockage d’autre part).

Le dispositif de chiffrement, notamment la taille de la clé utilisée, doit répondre aux exigences de l’ANSSI (Agence nationale de sécurité des systèmes d’information).

Les mécanismes d’authentification des utilisateurs et des tiers mandatés doivent garantir une authentification forte (mots de passe à usage unique, envoi de codes par SMS, etc….).

Un accès aux données strictement encadré

Les fournisseurs de ce type de service ne doivent pas être techniquement en mesure d’accéder au contenu d’un coffre-fort, ni à ses éventuelles sauvegardes, sans le consentement exprès de l’utilisateur concerné.
A cet égard, l’acceptation des conditions d’utilisation ne constituent pas un consentement exprès valable (…)

L’utilisation du numéro de sécurité sociale à proscrire

Il n’est pas possible d’identifier les coffres en utilisant le numéro de sécurité sociale des utilisateurs. La CNIL recommande donc aux prestataires de recourir à un système basé sur l’attribution d’un numéro unique non signifiant, à l’image de ce que font les banques avec les relevés d’identité bancaire.

Une déclaration auprès de la CNIL

Le fournisseur d’un service de coffre-fort électronique, lorsqu’il agit en qualité de responsable de traitement, doit réaliser une déclaration normale auprès de la CNIL avant la mise en œuvre du service (…) »