Délibération n° 2017-178 du 1er juin 2017 portant avis sur deux projets de décrets portant application de l'article 87 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique relatif au service de coffre-fort numérique (saisine n° AV 17007726)

JORF n°0123 du 31 mai 2018
texte n° 153



Délibération n° 2017-178 du 1er juin 2017 portant avis sur deux projets de décrets portant application de l'article 87 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique relatif au service de coffre-fort numérique (saisine n° AV 17007726)

NOR: CNIX1814794X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie et des finances d'une demande d'avis concernant deux projets de décret portant application de l'article 87 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique relatif au service de coffre-fort numérique ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le règlement d'exécution (UE) 2015/1502 de la commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur ;
Vu le code des postes et des communications électroniques et notamment son article L. 137 ;
Vu le code de la consommation et notamment ses articles L. 111-1, L. 122-22 et L. 433-3 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11 (4°, a) ;
Vu la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie et notamment le I de l'article 137 ;
Vu le décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité pris en application de l'article 137 de la loi n° 2008-776 du 4 août 2008 de modernisation de l'économie ;
Vu le décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Maurice RONAI, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis, par le ministre de l'économie et des finances, de deux projets de décret portant application de l'article 87 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique relatif au service de coffre-fort numérique.
Cet article pose un cadre juridique applicable aux services de coffre-tort numérique pour en sécuriser le développement : il établit les caractéristiques minimales nécessaires pour pouvoir légalement qualifier un service de « coffre-fort numérique », et prévoit la possibilité pour l'Etat de proposer une certification de ces services.
La loi prévoit que les modalités de mise en œuvre d'un tel service ainsi que celles de la certification doivent être définies par décret en Conseil d'Etat. Ces deux aspects font l'objet du premier projet de décret soumis à l'avis de la commission.
L'article 87 précité prévoit également que l'utilisateur doit être mis en mesure de récupérer les documents et données stockées sur le service de coffre-fort. La détermination des conditions d'une telle récupération est l'objet du second projet décret soumis à l'avis de la commission.
Les nouvelles dispositions introduites dans ces deux projets de décret seront insérées au sein du code des postes et des communications électroniques.
En préambule, la commission rappelle s'être positionnée sur l'encadrement des services de coffre-fort numérique en 2013 et 2014, par des délibérations portant, d'une part, recommandation relative aux services dits de « coffre-fort numérique ou électronique » destinés aux particuliers et, d'autre part, adoption d'un référentiel pour la délivrance de labels en matière de services de coffre-fort numérique. La commission avait alors retenu que pouvaient être qualifiés de coffre-forts numériques les seuls services qui limitent l'accès au contenu stocké à l'unique utilisateur et aux personnes physiques qu'il a spécifiquement mandatées.
Or, la commission observe que cette définition protectrice des utilisateurs n'a pas été retenue dans la mesure où l'article 87 précité étend la qualification de « coffre-fort numériques » aux services qui admettent que le contenu stocké soit également accessible aux personnes morales mandatées par l'utilisateur, ainsi qu'au fournisseur lui-même. La commission estime que cette position ne va pas dans le sens de l'impératif réaffirmé par le règlement général relatif à la protection des données d'intégrer les principes de protection des données personnelles par défaut et dès la conception des services.
En outre, la commission relève que la définition de l'article 87 pourrait avoir pour effet d'induire en erreur les utilisateurs et susciter une confusion avec des services de stockage de documents en ligne qui ne présentent pas les mêmes garanties de confidentialité des données que celles auxquelles ces utilisateurs pourraient légitimement s'attendre s'agissant de services qualifiés de « coffre-fort ».
Par ailleurs, s'agissant de la certification des services par l'Etat, la commission constate que la loi, et les projets de décret qui en découlent, limitent son rôle à un simple avis sur le cahier des charges relatif à la certification établi par l'Agence nationale de la sécurité des systèmes d'information.
Au-delà de ces observations générales, les projets de décret appellent les observations suivantes de la part de la commission.
Sur l'identification et authentification de l'utilisateur du service :
L'article L. 137 du CPCE précise que l'identification de l'utilisateur lors de l'accès au service de coffre-fort doit s'effectuer « par un moyen d'identification électronique respectant l'article L. 136 » (1).
Cette disposition (2) fait référence aux moyens d'identification électronique prévus par le Règlement « eIDAS » n° 910/2014 du 23 juillet 2014 (3), classifiés selon trois niveaux de garanties : « bas », « substantiel » et « élevé ».
Le projet d'article R. 55-5 du code des postes et des communications électroniques (CPCE) opte pour le recours à un moyen d'identification de l'utilisateur de niveau substantiel (4).
La commission note que ce niveau de garantie substantiel implique notamment, concernant l'identification de l'utilisateur, que celui-ci soit en possession d'un élément d'identification reconnu par l'Etat, que son authenticité soit vérifiée et que des mesures aient été prises pour minimiser le risque que l'identité de la personne ne soit pas l'identité alléguée (en tenant compte du risque de perte, de vol ou de suspension du moyen d'identification électronique par exemple). Enfin, l'existence de l'identité alléguée doit être connue d'une source faisant autorité.
Celui-ci revient donc à exclure l'ouverture d'un « coffre-fort numérique » sous une identité déclarative, un nom d'usage ou un pseudonyme.
La commission remarque que l'exigence d'un tel niveau d'identification est difficilement compatible avec les pratiques actuelles des acteurs du secteur qui cherchent à faciliter l'accès et l'usage de leurs services. La commission observe à cet égard qu'exiger un tel niveau d'identification risquerait de détourner des utilisateurs des services de coffre-fort numérique, sans apport particulier pour le niveau de sécurisation de l'accès à ces services, en termes d'authentification des utilisateurs.
En outre, la commission rappelle préconiser, de manière générale, que soit privilégié le niveau minimum d'identification nécessaire. Elle relève que l'article 87 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique (article L. 137 [5°] du CPCE) prévoit qu'un service de coffre-fort peut proposer des services de confiance qui nécessitent une identification répondant à un tel niveau de garantie substantiels (5).
Elle estime, en conséquence, que le projet de décret ne devrait pas exiger plus que le niveau d'identification minimal prévue par la loi dans le cas général, correspondant, a priori, au niveau « bas ». Un niveau d'identification substantiel pourrait cependant être exigé pour offrir un service spécifique, tel qu'un service de confiance ou la récupération automatique de documents électrohiques auprès de services tiers exigeant un haut niveau d'identification.
Sur l'accès des tiers au contenu du coffre-fort :
L'article R. 55-6 (1°) du code des postes et des communications électroniques tel que projeté dans l'article ler du projet de décret relatif aux modalités de mise en œuvre du service de coffre-fort numérique prévoit que la garantie d'exclusivité d'accès aux documents stockés requiert la mise en place d'un « mécanisme de contrôle d'accès sécurisant l'ouverture au coffre-fort numérique aux seuls tiers autorisés ».
La commission estime que l'utilisation de la notion de « tiers autorisés » peut porter à confusion et que le projet de décret devrait être modifié afin de préciser de manière explicite qu'il s'agit ici des tiers autorisés « par la personne concernée » à accéder au contenu du coffre-fort.
La commission souligne à cet égard que l'article L. 137 (4°) du CPCE prévoit que le prestataire de service de coffre-fort numérique ne peut accéder aux documents et données contenus dans le coffre-fort que sur autorisation de l'utilisateur et pour réaliser un traitement au seul bénéfice de celui-ci.
Sur l'information qui doit être fournie par le fournisseur d'un service de coffre-fort numérique préalablement à la conclusion d'un contrat :
L'article ler du projet de décret relatif aux modalités de mise en œuvre du service de coffre-fort numérique prévoit que le fournisseur d'un service de coffre-fort numérique est tenu à une obligation d'information sur les modalités de fonctionnement et d'utilisation du service.
Il est prévu que les informations portent spécifiquement sur le type d'espace mis à disposition, les mécanismes techniques utilisés, la politique de confidentialité et les garanties mises en œuvre.
La commission estime que l'information transmise doit être adaptée au périmètre du service dont il s'agit.
La commission rappelle en effet que l'hébergement de données de santé est conditionné par l'obtention d'un agrément ministériel spécifique. De ce fait, la commission observe que les fournisseurs de service de coffre-fort numérique qui n'auraient pas été agréés à héberger des données de santé devraient être tenus de déconseiller à leurs utilisateurs de stocker des données relatives à la santé.
De plus, certains services de coffre-fort numérique proposent à leurs utilisateurs un service de récupération de documents auprès de services tiers. Cette prestation peut nécessiter la collecte des identifiants et mots de passe de l'utilisateur pour que le service de coffre-fort numérique puisse accéder en son nom à ces services tiers.
Outre les risques qu'un tel service présente, du fait de la transmission d'éléments d'authentification devant rester confidentiels, une telle collecte peut s'avérer contraire aux dispositions des conditions générales d'utilisation des services tiers. De ce fait, la commission considère qu'il serait opportun de prévoir que les fournisseurs d'un service de coffre-fort numérique et de telles offres ne puissent intentionnellement inciter les utilisateurs à enfreindre les conditions d'utilisation des services dont ils proposent de fédérer l'information et soient tenus d'alerter leurs utilisateurs de ces inconvénients.
Sur les durées de conservation :
La commission relève que le projet de décret relatif aux modalités de mise en œuvre du service de coffre-fort numérique ne comporte pas de disposition relative aux durées de conservation des données et documents stockés par l'utilisateur sur le coffre-fort numérique.
La commission considère que ces mesures sont pourtant essentielles au contrôle par les personnes concernées des données à caractère personnel les concernant.
La commission estime que le projet de décret devrait explicitement prévoir que la suppression de données par l'utilisateur à partir de son espace personnel doit être immédiatement prise en compte (sous réserve d'une conservation brève permettant de neutraliser une erreur de manipulation). Une telle opération doit de plus conduire à la suppression, dans un délai raisonnable (un mois maximum), des éventuelles sauvegardes.
Sur la chaîne contractuelle et les transferts de données hors de l'Union européenne :
L'article R. 55-3 du code des postes et des communications électroniques tel que créé par le projet de décret porte sur l'obligation du fournisseur de service de garantir la sécurité des données stockées au sein du coffre-fort numérique. La commission relève qu'il n'y est pas fait mention d'éventuelles chaînes contractuelles qui peuvent pourtant générer de forts risques en la matière.
La commission estime que cette disposition pourrait utilement être complétée d'une prescription aux fournisseurs de service de reporter dans les contrats de sous-traitance ultérieure qu'ils concluraient l'ensemble de leurs obligations en matière de sécurité des données et documents stockés.
Par ailleurs, la commission rappelle que ces services de coffre-fort numérique peuvent être des services d'informatique en nuage (cloud computing) ou, simplement, impliquer des transferts de données vers des pays tiers. Or, à défaut de chiffrement des données avec une clef connue du seul utilisateur, ces transferts engendrent des risques pour la confidentialité des données, les autorités de pays tiers pouvant notamment être en mesure d'y accéder le cas échéant.
Compte tenu de ces risques et de l'obligation de tout fournisseur de service d'encadrer de tels transferts vers un pays ne présentant pas un niveau adéquat de protection des données, la commission estime que le décret devrait être complété d'une disposition appelant les fournisseurs à la vigilance sur ce point.
Sur l'obligation de notifier les violations de données :
L'article R. 55-8 du code des postes et des communications électroniques tel que projeté par les textes soumis à avis de la commission dispose que « sans préjudice des dispositions qui lui sont, le cas échéant, applicables au titre de la loi n° 78-17 du 6 janvier 1978 modifiée […] » le fournisseur du service de coffre-fort numérique est tenu de notifier tout incident de sécurité à l'Agence nationale de la sécurité des systèmes d'information.
Or, une telle obligation de notification des violations de données étant prévue par le Règlement général relatif à la protection des données qui entrera en vigueur le 25 mai 2018, la commission invite le ministère à modifier cette disposition pour ajouter une référence à « la réglementation en vigueur en matière de protection des données » et non à la loi n° 78-17 du 6 janvier 1978 modifiée.
En conclusion, la commission émet le souhait d'être associée au plus tôt dans l'élaboration de ce cahier des charges afin d'assurer qu'y soient incluses des considérations de protection des données.


La présidente,

I. Falque-Pierrotin

(1) L'article L. 136 du CPCE prévoit que : « La preuve de l'identité aux fins d'accéder à un service de communication au public en ligne peut être apportée par un moyen d'identification électronique. Ce moyen d'identification électronique est présumé fiable jusqu'à preuve du contraire lorsqu'il répond aux prescriptions du cahier des charges établi par l'autorité nationale de sécurité des systèmes d'information, fixé par décret en Conseil d'Etat. Cette autorité certifie la conformité des moyens d'identification électronique aux exigences de ce cahier des charges. » (2) Elle prévoit qu'un cahier des charges établi par l'Autorité nationale de sécurité des systèmes d'information, adopté par décret en Conseil d'Etat, fixera les prescriptions applicables aux moyens d'identification électronique. (3) Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE. (4) « Art. R. 55-5. - L'identification de l'utilisateur lors de l'accès au service de coffre-fort numérique est assurée par un moyen d'identification électronique répondant aux spécifications techniques et procédures minimales du niveau de garantie substantiel, tel que défini par le règlement d'exécution (le) 2015/1502 du 8 septembre 2015 portant sur les niveaux de garantie des moyens d'identification électronique visés l'article 8. paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014. » (5) Voir supra.