Coffre-fort électronique : la Cnil délivre désormais un label aux hébergeurs les plus sûrs

Stocker ses factures, bulletins de salaires, pièces d’identité et autres justificatifs en ligne ? Face aux nombreuses offres de services proposant d’héberger ces documents dans un coffre-fort électronique, la Cnil a créé un label certifiant les acteurs proposant les « coffres-forts numériques » les plus sûrs.

En novembre dernier, la Commission nationale de l’informatique et des libertés (Cnil) annonçait avoir adopté une recommandation sur les coffres-forts électroniques.

Lire : La Cnil publie ses bonnes pratiques en matière de coffre-fort électronique

A l'époque, l'institution déclarait notamment avoir « constaté que la majorité des services de coffre-fort numérique n'étaient pas suffisamment sécurisés ». Hier, la Cnil a annoncé le lancement d’un label dédié. L’appellation choisie est donc « coffre-fort numérique », une formule par ailleurs reprise dans la délibération relative à ce référentiel parue vendredi 7 février au Journal officiel (1). Ce nouveau label permettra selon la Cnil « d’identifier et de privilégier les services de coffre-fort numérique qui garantissent un haut niveau de protection de leurs données personnelles ».

Un espace de stockage non partagé

Sur quels critères se base la Cnil pour labelliser les hébergeurs ? Ses exigences portent notamment sur les données traitées, leur durée de conservation, qui se doit d’être limitée, ou sur la gestion des risques informatiques et autres mesures de sécurité. La Cnil demande par ailleurs aux hébergeurs d’informer clairement le titulaire du coffre-fort numérique « de tout transfert de données personnelles à destination d’un État non membre de la Communauté européenne ».

Mais l’institution insiste surtout sur l’accès aux données : « Le coffre-fort numérique se distingue du simple espace de stockage par le fait que les données conservées ne sont accessibles qu’au seul titulaire du coffre (…) », précise la Cnil dans l’article publié sur son site internet. L’autorité administrative ouvre la porte à un partage des données mais uniquement si le titulaire a « spécifiquement » habilité une tierce personne.

La Cnil précise par ailleurs que ce label, qui constitue sa première certification d’un produit, a déjà été demandé par une cinquantaine d’acteurs. Une trentaine de labels, reconnaissables au « c » rouge surplombant un rectangle bleu où est inscrit « label Cnil », ont déjà été délivrés. L’institution n’a cependant pas encore précisé quels hébergeurs ont ainsi été adoubés.

(1) Délibération n° 2014-017 du 23 janvier 2014 portant adoption d'un référentiel pour la délivrance de labels en matière de services de coffre-fort numérique.