L’appellation "coffre-fort électronique" est désormais contrôlée

Les recommandations de la Cnil concernant l'utilisation de services permettant de stocker des données de manière sécurisée ont été publiées. L'utilisation du terme « coffre-fort électronique » est ainsi soumise à certaines conditions.

En novembre dernier, la Cnil publiait une documentation concernant l'utilisation des services tels que les coffre-forts électroniques. Elle recommandait alors de suivre plusieurs conseils aux utilisateurs de ce type d'offres et proposait également des préconisations à l'attention des professionnels.

Ces recommandations sont désormais publiées au Journal Officiel. Dans ce document, la Cnil demande par exemple à ce que les données stockées soient chiffrées de bout en bout, c'est-à-dire lors d'un transfert vers et depuis un coffre mais également lors du stockage à proprement parler. Aussi, ces mécanismes d'authentification des utilisateurs et des tiers mandatés « doivent garantir une authentification forte mots de passe à usage unique, envoi de codes par SMS, etc.... ».

Autre point, la délibération précise que seul l'utilisateur ou les personnes mandatées par celui-ci (notaire, conjoint...) doivent pouvoir avoir accès aux données conservées. De même, si un service est fermé, son utilisateur doit en être averti un mois avant sa clôture.

Enfin, un service de coffre-fort numérique doit être en mesure d'effacer « les documents supprimés définitivement par l'utilisateur, ainsi que leurs métadonnées, de tous les endroits où ils sont stockés ». Cette suppression doit se faire sans délai aucun pour les espaces de stockage courants et les éventuelles copies répliquées en ligne ou dans un délai maximum d'un mois pour les sauvegardes.