vendredi 29 novembre 2013

La CNIL définit le « coffre-fort numérique »

A lire sur: http://www.linformaticien.com/actualites/id/31142/la-cnil-definit-le-coffre-fort-numerique.aspx

Pour utiliser le terme de « coffre-fort numérique ou électronique », il faudra désormais apporter de réelles garanties en termes de sécurité, explique la CNIL. 
Prenant acte de la démocratisation des services de stockage en ligne pour les professionnels et les particuliers, la CNIL a publié une recommandation sur les usages des coffres-forts numériques. Pour proposer un tel service aux particuliers, il faudra donc répondre à certains critères, principalement en termes de sécurité informatique donc… et elles sont nombreuses ! 
La recommandation publiée par la CNIL a surtout pour but de mieux informer les consommateurs. Car un « coffre-fort numérique » doit effectivement être robuste et répondre à des critères tels que l’impossibilité d’accéder aux fichiers déposés par le fournisseur lui-même, une clé de chiffrement unique à disposition de l’utilisateur, le chiffrement des données lors de transfert pour les back-ups par exemple, etc. 
A qui s’adressent ces contraintes techniques ? « A l’ensemble des services de coffres-forts numérique proposés aux particuliers par des sociétés établies sur le territoire français », répond la CNIL. Mais pas seulement : aux entreprises « établies en dehors du territoire de l’Union européenne » également, « dès lors qu’elles utilisent des moyens de traitement en France ». 

Les mesures de base 

« Le contenu d’un coffre-fort numérique doit ainsi être protégé par des mesures techniques les rendant incompréhensibles aux tiers non autorisés », débute la CNIL. De plus, « les copies répliquées en ligne du document supprimé doivent également être supprimées sans délais ». De plus, lorsqu’on parle de coffre-fort numérique, « le fournisseur du service s’engage quant à la pérennité du stockage ». 
Concernant les mécanismes cryptographiques, ils doivent être conformes au référentiel général de sécurité de l’ANSSI, et en l’occurrence à l’annexe B1 de ce dernier. D’ailleurs, dans la mesure du possible, les produits cryptographiques doivent être certifiés par l’ANSSI ; mécanismes qui doivent être le plus transparent possible. 
Toutes les mesures sont détaillées dans la recommandation de la CNIL disponible en cliquant ici, dans le paragraphe 5 notamment. 

Aucun commentaire:

Enregistrer un commentaire