Décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique


JORF n°0123 du 31 mai 2018
texte n° 36




Décret n° 2018-418 du 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique

NOR: ECOI1801826D
ELI: https://www.legifrance.gouv.fr/eli/decret/2018/5/30/ECOI1801826D/jo/texte
Alias: https://www.legifrance.gouv.fr/eli/decret/2018/5/30/2018-418/jo/texte


Publics concernés : particuliers, professionnels, administrations.
Objet : modalités de mise en œuvre par l'Etat du service de coffre-fort numérique prévu par l'article L. 103 du code des postes et des communications électroniques.
Entrée en vigueur : le décret entrera en vigueur au 1er janvier 2019 .
Notice : l'article 87 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique prévoit de compléter le titre Ier du livre III du code des postes et des communications électroniques par des dispositions relatives au coffre-fort numérique. Ces dispositions établissent la définition légale, l'objet et les critères de fonctionnement du service de coffre-fort numérique.
Le décret vient préciser les modalités de mise en œuvre du coffre-fort numérique. A cette fin, il insère de nouvelles dispositions au sein du titre Ier du livre III du code des postes et des communications électroniques, dans sa version résultant du décret n° 2018-347 du 9 mai 2018 relatif à la lettre recommandée électronique.
Références : le décret est pris pour l'application de l'article L. 103 du code des postes et des communications électroniques, dans sa rédaction issue de l'article 87 de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique et de l'article 1er de l'ordonnance n° 2017-1426 du 4 octobre 2017 relative à l'identification électronique et aux services de confiance pour les transactions électroniques. Le décret et les dispositions du code des postes et des communications électroniques qu'il modifie peuvent être consultés sur le site Légifrance (http://www.legifrance.gouv.fr).


Le Premier ministre,
Sur le rapport du ministre de l'économie et des finances,
Vu la directive (UE) 2015/1535 du Parlement européen et du Conseil du 9 septembre 2015, prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information, et la notification n° 2017/184/F adressée le 10 mai 2017 à la Commission européenne ;
Vu le code de la consommation, notamment ses articles L. 111-1 et L. 122-22 ;
Vu le code des postes et des communications électroniques, notamment ses articles L. 102 et L. 103 ;
Vu le décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;
Vu l'avis de la Commission nationale de l'informatique et des libertés en date du 1er juin 2017 ;
Le Conseil d'Etat (section des travaux publics) entendu,
Décrète :


Dans le titre Ier du livre III de la partie réglementaire-décrets en Conseil d'Etat du code des postes et des communications électroniques, après le chapitre Ier, sont insérés des chapitres II et III ainsi rédigés :


« Chapitre II
« Service d'identification électronique


[Ce chapitre ne comporte pas de disposition réglementaire.]


« Chapitre III
« Service de coffre-fort numérique


« Section 1
« Mise en œuvre du service de coffre-fort numérique


« Art. R. 55-1.-Le fournisseur d'un service de coffre-fort numérique est tenu à une obligation d'information claire, loyale et transparente sur les modalités de fonctionnement et d'utilisation du service, préalable à la conclusion d'un contrat.
« Avant que l'utilisateur ne soit lié par un contrat de fourniture de service de coffre-fort numérique, le fournisseur du service lui communique, de manière lisible et compréhensible, les informations suivantes :
« 1° Le type d'espace mis à sa disposition et les conditions d'utilisation associées ;
« 2° Les mécanismes techniques utilisés ;
« 3° La politique de confidentialité ;
« 4° L'existence et les modalités de mise en œuvre des garanties de bon fonctionnement ;
« 5° Son engagement sur la conformité du service aux exigences fixées aux 1° à 5° de l'article L. 103.
« Ces informations sont également mises à disposition en ligne et, le cas échéant, mises à jour.


« Art. R. 55-2.-Le fournisseur du service de coffre-fort numérique expose dans un dossier technique la façon dont il assure le respect des exigences fixées aux 1° à 5° de l'article L. 103, telles que précisées dans la présente section.


« Art. R. 55-3.-L'intégrité, la disponibilité et l'exactitude de l'origine des données et documents stockés dans le coffre-fort numérique sont garanties par des mesures de sécurité adaptées et conformes à l'état de l'art.


« Art. R. 55-4.-La traçabilité des opérations réalisées sur les données et documents stockés dans le coffre-fort numérique et la disponibilité de cette traçabilité pour l'utilisateur requièrent au minimum la mise en œuvre des mesures suivantes :
« 1° L'enregistrement et l'horodatage des accès et tentatives d'accès ;
« 2° L'enregistrement des opérations affectant le contenu ou l'organisation des données et documents de l'utilisateur ;
« 3° L'enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques.
« Les durées de conservation de ces données de traçabilité constituent une mention obligatoire du contrat de fourniture de service de coffre-fort électronique.


« Art. R. 55-5.-L'identification de l'utilisateur lors de l'accès au service de coffre-fort numérique est assurée par un moyen d'identification électronique adapté aux enjeux de sécurité du service.


« Art. R. 55-6.-La garantie, telle que prévue au 4° de l'article L. 103, de l'exclusivité d'accès aux documents et aux données de l'utilisateur ou aux données associées au fonctionnement du service requiert au minimum la mise en œuvre des mesures suivantes :
« 1° Un mécanisme de contrôle d'accès limitant l'ouverture du coffre-fort numérique aux seules personnes autorisées par l'utilisateur ;
« 2° Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes ;
« 3° Le chiffrement par le service de coffre-fort numérique de l'ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci. Ce chiffrement doit être effectué à l'aide de mécanismes cryptographiques conformes à l'état de l'art et permettre une évolution de la taille des clés et des algorithmes utilisés. La conformité à l'état de l'art est présumée lorsque les mécanismes impliqués dans ces opérations de chiffrement sont conformes aux règles et recommandations de l'Agence nationale de sécurité des systèmes d'information concernant le choix et le dimensionnement des mécanismes cryptographiques. »


Le présent décret entre en vigueur le 1er janvier 2019.


Le ministre de l'économie et des finances et le secrétaire d'Etat chargé du numérique sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.


Fait le 30 mai 2018.


Edouard Philippe

Par le Premier ministre :


Le ministre de l'économie et des finances,

Bruno Le Maire


Le secrétaire d'Etat chargé du numérique,

Mounir Mahjoubi