Un nouveau label pour les services de coffre-fort numérique
RSS CNIL - , 11/02/2014
La CNIL a adopté le 23 janvier 2014 un nouveau référentiel lui permettant de délivrer des labels aux services de coffre-fort numérique. Après ses deux labels « formation » et « audit », il s’agit ainsi du premier label relatif à un produit.
De nombreuses offres de services de coffre-fort numérique se développent, proposant aux particuliers de stocker, de manière dématérialisée et sécurisée, leurs documents (bulletins de salaires, factures, pièces d’identités, justificatifs administratifs, photographies, etc.).
Jusqu’à maintenant, les utilisateurs de ces nouveaux services n’avaient pas forcément les moyens de vérifier l’intégrité, la disponibilité et la confidentialité des données stockées.
Afin de proposer un véritable indicateur de confiance en la matière, la CNIL a donc décidé, sur la base de ses recommandations adoptées le 19 septembre 2013, d’élaborer un nouveau référentiel sur les services de coffre-fort numérique. Le label permettra ainsi aux utilisateurs d’identifier et de privilégier les services de coffre-fort numérique qui garantissent un haut niveau de protection de leurs données personnelles grâce notamment à des mesures de sécurité appropriées.
Le nouveau référentiel comporte notamment des exigences sur :
- les données traitées ;
- l’accès aux données ; la CNIL insiste sur le fait que le coffre-fort numérique se distingue du simple espace de stockage par le fait que les données conservées ne sont accessibles qu’au seul titulaire du coffre et, le cas échéant, aux personnes physiques que le titulaire a spécifiquement habilitées à cet effet.
- la durée de conservation limitée des données ;
- l’information détaillée des personnes ; la CNIL demande que le titulaire soit informé de tout transfert de données personnelles à destination d’un État non membre de la Communauté européenne. Le prestataire du service doit aussi indiquer si les autorités de cet État, sur la base de sa propre législation, pourraient effectuer des demandes leur permettant d’accéder directement aux données conservées ;
- la gestion des risques informatiques et les mesures de sécurité nécessaires.