Dans une récente recommandation, la CNIL (1) propose d’encadrer le secteur naissant des coffres-forts électroniques, service déjà proposé par plusieurs enseignes bancaires, en réservant cette appellation à des services suffisamment sécurisés.

Garante de la protection des données personnelles, la CNIL intervient de temps à autre dans le domaine des services fournis par les banques. L’institution a, par exemple, appelé récemment à la vigilance sur la sécurité des cartes bancaires avec fonction NFC, ou encore sur les services d’agrégation de données bancaires, qui permettent d’assembler dans une seule interface les opérations issues de différents comptes.

Cette fois, la Commission s’est intéressée à un autre service émergent, le coffre-fort électronique, qui permet de stocker en ligne les versions dématérialisées de documents sensibles (pièces d’identité, déclarations d’impôts, relevés de compte, factures, etc.) récupérés éventuellement de manière automatique. Plusieurs enseignes de banque de détail, engagées dans une démarche de diversification, proposent déjà ce service, qui nécessite une déclaration auprès de la CNIL, à leurs clients. Mais ce marché intéresse également des acteurs émergents, comme MoneyDoc.

Lire aussi : Finances personnelles : « Il y a des places à prendre aux côtés des banques »

Conséquence de ce foisonnement d’initiatives : on retrouve actuellement, sous le nom « coffre-fort numérique » ou « coffre-fort électronique » des services hétérogènes en terme de sécurisation des données. « A ce jour, n’importe qui peut proposer un tel service du jour au lendemain », explique la CNIL sur son site internet. « Il est apparu nécessaire à la CNIL d’adopter une recommandation (…) pour informer les utilisateurs et proposer aux fournisseurs des bonnes pratiques en matière de sécurité ». Au terme de ce travail, l’appellation « coffre-fort électronique » doit être réservée aux services mettant en œuvre certaines bonnes pratiques en matière d’« intégrité », de « disponibilité » et de « confidentialité des données stockées », explique-t-elle dans un communiqué publié sur son site internet.

Chiffrement et authentification forte

Quels sont ces critères ? Tout d’abord, les données doivent être chiffrées « à toutes les étapes du processus », explique la CNIL : quand elles sont stockées, bien sûr, mais aussi au moment de leur transfert. Ensuite, l’accès aux données doit être protégé par un système d’authentification forte, qui ne se contente pas d’un mot de passe, mais lui ajoute par exemple un code à usage unique, envoyé par SMS.

Autre impératif : la confidentialité des données, même à l’égard des fournisseurs du service. « [Ils] ne doivent pas être techniquement en mesure d’accéder au contenu d’un coffre-fort (…) sans le consentement exprès de l’utilisateur concerné ». De ce point de vue, la simple acceptation par l’utilisateur des conditions d’utilisation du service ne suffit pas.

Enfin, la CNIL rappelle qu’il faut un agrément spécifique, délivré par le ministère concerné, pour héberger des données de santé. En son absence, le fournisseur du service doit déconseiller à ses utilisateurs de stocker ce type d’informations. Elle demande également de ne pas utiliser le numéro de sécurité sociale pour identifier l’utilisateur, mais « de recourir à un système basé sur l’attribution d’un numéro unique non signifiant, à l’image de ce que font les banques avec les relevés d’identité bancaire. »

(1) La Commission nationale Informatique et libertés est une autorité administrative indépendante chargée de veiller à la protection des données personnelles dans le contexte d’évolution des techniques informatiques et des usages qui l’accompagnent.