Le futur article L 137 du Code des postes et communications électroniques, mis en place par la loi du 7 octobre 2016 et applicable à compter du 1er juillet 2018, donne une définition juridique du « coffre-fort numérique », jusque là uniquement reconnu par la CNIL.
Le « coffre-fort numérique » est un service qui permet de stocker en ligne des documents et données sous format numérique. Il tend à se développer mais n’avait été jusqu’à présent reconnu que par la CNIL, qui a mis en place un label afin d’attester du respect de la disponibilité et de la confidentialité des données qui y sont stockées. La loi du 7 octobre 2016 le fait entrer dans notre ordre juridique en le définissant, dans le futur article L.137 du Code des postes et communications électroniques, applicable à compter du 1er juillet 2018 (et dans des conditions fixées par décret en Conseil d’Etat pris après avis de la CNIL) comme « un service qui a pour objet :
1° La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;
2° La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ;
3° L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L. 136 ;
4° De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
5° De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret.
L’opérateur qui ne respecterait pas les obligations liées au service de coffre-fort numérique encourt les sanctions prévues au titre des pratiques commerciales trompeuses (articles L.132-2 et L.132-3 du Code de la consommation), à savoir une peine de 2 ans d’emprisonnement et 300 000 euros d’amende, qui peuvent être augmentés en fonction des avantages tirés du délit, outre la condamnation à des peines complémentaires.
Enfin, il est prévu que le service de coffre-fort numérique pourra bénéficier d’une certification établie selon un cahier des charges proposé par l’ANSSI (Autorité nationale de la sécurité des systèmes d’information) après avis de la CNIL et approuvé par arrêté du ministre chargé du numérique.
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 27/01/2017