La Commission nationale de l’informatique et des libertés, précise sa position sur les services dits de « coffre-fort numérique ou électronique » et leurs règles de fonctionnement notamment dans le cadre de la future Directive relative aux données personnelles.
Publiée dans le journal officiel de la République Française, du 9 octobre 2013, la recommandation défini les services concernés, le champ d’application ainsi que l’ensemble des formalités à mettre en oeuvre.
La CNIL précise que le fournisseur de coffre-fort numérique avant sa mise en œuvre doit faire l’objet d’une déclaration normale. « En revanche, les catégories de données stockées par les utilisateurs n’ont pas à être mentionnées dans la déclaration« .
Elle estime que les opérations de récupération automatique de documents dématérialisés ne sont pas des interconnexions de fichiers issus de traitements dont les finalités principales sont différentes, dès lors que les documents ne sont pas utilisés par le fournisseur du service mais seulement introduits à un coffre-fort numérique.
La recommandation
Elle recommande cependant que les données permettant d’identifier de façon certaine les utilisateurs et les données de connexion au fonctionnement de son service, figurent dans la déclaration du traitement.
Le traitement de certaines catégories de données est, selon les cas, interdit ou réglementé. « Ainsi, le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, c’est-à-dire le numéro de sécurité sociale, ne peut être utilisé pour le routage d’un document dématérialisé vers un coffre-fort numérique, y compris lorsqu’il s’agit de router des bulletins de paye. Les utilisateurs peuvent néanmoins stocker leurs bulletins de paye dans leurs coffres-forts électroniques ».
Par ailleurs, l’hébergement de données de santé est soumis à un régime juridique spécifique.
Les destinataires
Lorsqu’un service de stockage numérique est présenté comme un service de coffre-fort numérique, le contenu doit ainsi être protégé par des mesures techniques les rendant incompréhensibles aux tiers non autorisés.
Les durées de conservation
Lorsqu’un utilisateur souhaite supprimer l’un des documents de son espace personnel, cette opération doit être immédiatement prise en compte.
Lorsqu’un service de stockage numérique est présenté comme un service de coffre-fort numérique, le fournisseur du service s’engage quant à la pérennité du stockage. Par conséquent, la fermeture de ce type de service nécessite d’en informer les utilisateurs suffisamment en avance afin de leur laisser le temps nécessaire pour récupérer les documents stockés.
S’agissant de l’information des personnes :
Les utilisateurs de coffres-forts numériques doivent être clairement informés du type d’espace mis à leur disposition et de ses conditions d’utilisation.
Par ailleurs un nombre de mesures relatives à la sécurité et à la restitution des données sont décrites et intègrent l’esprit de la future Directive européenne relative aux données personnelles.
