webleads-tracker

Coffre-fort numérique - Définition réglementaire | Spark Archives

Coffre-fort numérique - Définition réglementaire

Retour sur l'arrivée du coffre-fort numérique dans la réglementation en France

Dans la réglementation, il y a des sujets qui  mettent du temps à prendre forme. C'est le cas du coffre-fort numérique. Le saviez-vous, le coffre-fort numérique a fait son entrée dans le code des postes et des communications électroniques en France ? Bien entendu, il est souvent difficile de se réjouir de l'arrivée d'un nouveau texte réglementaire qui vient s'ajouter à de nombreux autres en plus des nombreuses normes déjà présentes. Mais dans le cas du coffre-fort numérique, il a semblé important au législateur de protéger le consommateur au regard des nombreuses offres sur le marché, en définissant précisément ce que le consommateur était en droit d'attendre d'un service de coffre-fort numérique.  Depuis le 1er janvier 2019, la France a clairement mis en place une définition réglementaire qui permet de faire le tri dans les offres du marché. Le coffre-fort numérique a enfin trouvé sa place très orientée vers le service pour le grand public clarifiant également la position du coffre-fort au regard des systèmes d'archivage électronique.  

L'article L103 du code des postes et des communications abrogé en janvier 1992 reprenait naissance le 4 octobre 2017 via l'ordonnance n° 2017-1426  qui consacrait son article 1 sur la nouvelle définition du service de coffre-fort numérique. Cette définition était reprise 3 jours plus tard dans la  LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique. Certains acteurs du marché du coffre-fort numérique venaient de réussir le coup de force de faire apparaitre le service de coffre-fort numérique dans la loi française afin de faciliter les usages des consommateurs autour du numérique. Dans l'article 87 du texte, on apprenait que le titre Ier du livre III du code des postes et des communications électroniques était complété par un article L. 137 qui reprenait les 5 piliers d'un service de coffre-fort numérique :  

  • Le service doit permettre de justifier de l' intégrité et de l'exactitude de l'origine des contenus numériques gérés.
  • Il doit mettre en oeuvre une traçabilité des opérations réalisées sur les documents ou les données et doit assurer la disponibilité de cette traçabilité pour l'utilisateur.
  • Il doit permettre d'identifier  l'utilisateur lors de l'accès au service par un moyen d'identification électronique respectant l'article L. 136.
  • Il doit  garantir l'accès exclusif aux documents électroniques, données de l'utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l'utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l'utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
  • Il doit donner la possibilité à l'utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d'origine.

Le texte ajoutait un article afin de réglementer ce service et pour donner au consommateur le moyen de se retourner vers son fournisseur en cas de non respect des obligations réglementaires. L' article   précisait : "Le fournisseur qui se prévaut d'une offre de service de coffre-fort numérique défini aux 1° à 5° de l'article L. 137 du code des postes et des communications électroniques et qui ne respecte pas les obligations qui y sont énoncées est passible des sanctions prévues aux articles L. 132-2 et L. 132-3 du présent code."

Pour finaliser les travaux réglementaires autour du service de coffre-fort numérique, un décret d'application  n° 2018-418 était publié le 30 mai 2018 relatif aux modalités de mise en œuvre du service de coffre-fort numérique. Ce décret venait ajouter des nouvelles dispositions relatives à la lettre recommandée électronique. Il ajoutait également un article R. 55-1 sur l'obligation d'information claire et loyale du fournisseur sur les modalités de fonctionnement et d'utilisation du service, préalable à la conclusion d'un contrat. L'article R. 55-2  ajoutait également l'obligation pour le fournisseur d'exposer dans un dossier technique la façon dont il devait assurer le respect des exigences réglementaires. Des précisions étaient apportées sur l'obligation de traçabilité des opérations réalisées par le service de coffre-fort à savoir : 

  • L'enregistrement et l'horodatage des accès et tentatives d'accès ; 
  • L'enregistrement des opérations affectant le contenu ou l'organisation des données et documents de l'utilisateur ; 
  • L'enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques. 
  • Les durées de conservation de ces données de traçabilité constituent une mention obligatoire du contrat de fourniture de service de coffre-fort électronique. 

Enfin l'article R55-6 complétait les obligations liées au mécanisme d'accés au service  en rendant obligatoire :

  • Un mécanisme de contrôle d'accès limitant l'ouverture du coffre-fort numérique aux seules personnes autorisées par l'utilisateur ; 
  • Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes ; 
  • Le chiffrement par le service de coffre-fort numérique de l'ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci. Ce chiffrement doit être effectué à l'aide de mécanismes cryptographiques conformes à l'état de l'art et permettre une évolution de la taille des clés et des algorithmes utilisés. La conformité à l'état de l'art est présumée lorsque les mécanismes impliqués dans ces opérations de chiffrement sont conformes aux règles et recommandations de l'Agence nationale de sécurité des systèmes d'information concernant le choix et le dimensionnement des mécanismes cryptographiques. » 

Ce décret est entré en vigueur depuis le 1e janvier 2019.

Christian Dubourg
Directeur marketing produit Spark Archives - Klee Group

 


A lire également

Nous contacter

Adresse :
La Boursidière
BP 159
92357 Le Plessis-Robinson Cedex
 
Téléphone :
+33 (0)1 46 29 25 25
e-mail icon
Twitter icon
Facebook icon
Google icon
LinkedIn icon

Spark Archives, une solution éditée par KLEE GROUP

Contact

Spark Archives
La Boursidière
92357 Le Plessis-Robinson Cedex

+33 (0)1 46 29 25 25

sparkarchives@kleegroup.com

Nous rejoindre

Découvrez nos offres de stages et nos offres d'emploi et postulez en ligne !

Nous suivre