Le "coffre-fort numérique", appellation réglementée par la CNIL

La CNIL a publié lundi une "recommandation" qui s'impose aux fournisseurs d'espaces de stockage en ligne, pour limiter l'appellation "coffre-fort numérique" aux hébergeurs de fichiers qui apportent de réelles garanties de confidentialité et de pérennité.
La recommandation de la CNIL sur le "coffre-fort numérique" a été publiée vendredi au Journal officiel.
Alors que les révélations sur le programme PRISM et les pratiques de la NSA ont mis en lumière les problèmes de confidentialité des données hébergées sur Internet, la CNIL a publié lundi une recommandation datée du 19 septembre 2013 sur les "coffres forts électroniques" (ou "cyberlockers"), pour leur imposer une réglementation spécifique. 
"En analysant les solutions de coffre fort disponibles sur le marché, la CNIL a constaté que la majorité des services de coffre-fort numérique n'étaient pas suffisamment sécurisés", justifie la Commission Nationale de l'Informatique et des Libertés, qui juge que les utilisateurs peuvent être induits en erreur par l'utilisation d'une dénomination qui n'était jusque là sujette à aucune condition.
Désormais, du fait de l'obligation de déclarer auprès de la CNIL les traitement de données personnelles, les prestataires qui exercent en France et qui veulent se prétendre "coffre-fort numérique" devront se conformer à la recommandation de la CNIL. 
Ainsi dans sa recommandation, la CNIL demande que "l'appellation " coffre-fort numérique ", ou " coffre-fort électronique ", soit réservée à une forme spécifique d'espace de stockage numérique, dont l'accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier". Même l'hébergeur ne doit pas pouvoir lire en clair les données stockées, y compris en présence d'une clause contractuelle d'autorisation — de quoi conforter les critiques contre Dropbox.
"Le contenu d’un coffre-fort numérique doit être protégé par des mesures techniques les rendant incompréhensibles aux tiers non autorisés".
La Commission demande donc que pour utiliser une telle appellation de "coffre-fort", les services d'hébergement de fichiers puissent garantir que les données sont chiffrées de bout en bout(depuis leur envoi jusqu'à leur lecture, en passant par leur stockage) avec un protocole de chiffrement et une longueur de clé conforme aux recommandations de l'Agence nationale de sécurité des systèmes d'information (ANSSI), telles que décrites en Annexe B1 (.pdf) du référentiel général de sécurité. Les clients doivent être informés des mesures mises en oeuvre, et des outils doivent être mis à disposition pour détecter d'éventuelles intrusions par des tiers.
Néanmoins, "lorsqu’un coffre-fort numérique a vocation à conserver des données à long terme, une copie de sauvegarde de la clef de déchiffrement doit être confiée à un tiers de confiance, afin de permettre à l'utilisateur d’accéder à ses données en cas de perte de sa clef", et le prestataire doit alors assurer "une traçabilité" de l'utilisation de clé.
"Un service qui ne répondrait pas à ces critères (...) est un simple espace ou service de stockage numérique", et non un coffre-fort, prévient la CNIL.
Entre autres préconisations, "les mécanismes d'authentification des utilisateurs et des tiers mandatés doivent garantir une authentification forte (mots de passe à usage unique, envoi de codes par SMS, etc....)", et "les fournisseurs doivent rendre accessible, sans surcoût, un outil permettant aux utilisateurs derécupérer l’intégralité du contenu de leur coffre-fort de façon simple, sans manipulation complexe ou répétitive, et ce, afin de faciliter le changement de fournisseur".
Par ailleurs, pour tout service de stockage (coffre-fort ou non), il sera interdit de conserver des copies répliquées de données, dès lorsque l'utilisateur a décidé de leur suppression, et les sauvegardes de sécurité devront être nettoyées tous les mois. Ceux qui se disent "coffre-fort" ont une obligation supplémentaire d'informer suffisamment en avance les utilisateurs de leur éventuelle fermeture, pour permettre aux clients de récupérer à temps les données stockées.
Enfin, réagissant au scandale PRISM, la CNIL rappelle que "à défaut d’obtention d’une autorisation préalable de la Commission nationale de l’informatique et des libertés, les données collectées dans le cadre d’un service de coffre-fort numérique doivent rester sur le territoire de l’Union européenne, ou sur le territoire d’un État non membre de l’Union européenne garantissant aux données un niveau de protection suffisant au sens de l'article 68 de la loi du 6 janvier 1978 modifiée".

Posts les plus consultés de ce blog

Numericable affirme son désir d'acheter SFR

Image
Source : Numerama Numericable et SFR, bientôt main dans la main ? Le PDG du câblo-opérateur n'a pas caché son désir de se rapprocher de la filiale de Vivendi, mettant en avant la complémentarité des deux groupes. Cependant, la situation financière difficile de Numericable et la valeur actuelle de SFR sont des obstacles de taille. Ces derniers mois, plusieurs scénarios de fusion dans le secteur des télécommunications ont été envisagés. L'un d'eux a évoqué le rapprochement entre SFR et Free Mobile . Cependant, pour des raisons réglementaires , cette perspective est hautement improbable. En revanche, l'hypothèse d'une union entre Numericable et SFR paraît plus plausible. En tout cas, le PDG du câblo-opérateur lui donne du crédit. Dans un entretien donné au Figaro , Eric Denoyer raconte que le scénario du rachat de SFR par Numericable " a été étudié car il répond à une vraie logique industrielle ". Les deux firme
En savoir plus >>

Sélection de 69 sites incontournables

Image
Internet regorge d’outils en ligne essentiels à votre quotidien. Des services en ligne généralement gratuits qui vous proposent de retoucher une photo, raccourcir des liens, stocker des fichiers, ou encore partager des documents. A force de tourner sur le Web, j’ai rencontré de nombreux sites. Afin de créer une liste propre et utile, j’ai gardé les principaux. Voici mes 69   meilleurs sites indispensables   sur   Internet …
En savoir plus >>