A N N E X E
RÉFERENTIEL AUX FINS DE LABELLISATION DES SERVICES DE COFFRE-FORT NUMÉRIQUE
Introduction
Le coffre-fort numérique, tel qu'entendu dans ce référentiel, vise les offres proposées à des particuliers de services de stockage, dématérialisé et sécurisé, de données, et dont l'objet est de conserver des documents sur un support informatique.
Les services de coffre-fort numérique doivent garantir l'intégrité, la disponibilité et la confidentialité des données stockées et mettre en œuvre les mesures de sécurité appropriées.
Le coffre-fort numérique se distingue du simple espace de stockage par le fait que les données conservées incluant les documents stockés et leurs métadonnées ne sont accessibles qu'au seul titulaire du coffre et, le cas échéant, aux personnes physiques que le titulaire a spécifiquement habilitées à cet effet.
Le présent référentiel décrit les modalités de création et de gestion ainsi que le contenu des coffres-forts numériques. Il définit les critères et les moyens permettant à la commission de déterminer si les services de coffre-fort numérique, objet d'une demande de label, atteignent l'objectif visé, à savoir : la conservation sécurisée et la protection des données à caractère personnel contenues dans un coffre-fort, qui ne seront accessibles qu'à leur utilisateur et aux personnes physiques spécialement mandatées par ce dernier.
Ce référentiel a été essentiellement élaboré par la commission sur la base de ses recommandations, en cohérence avec des processus de labellisation proposés ou en cours de développement par d'autres organismes.
Il comporte vingt-deux exigences, toutes cumulatives, réparties en deux parties correspondant aux deux phases de l'évaluation effectuées par la commission et qui porteront sur :
― la démarche de conformité du demandeur, qui doit, pour l'ensemble des traitements qu'il met en œuvre, veiller à la protection des données personnelles au-delà du seul service objet de la demande de label (deux exigences sur la démarche, notées « ED » dans le chapitre Ier) ;
― la protection des données du service de coffre-fort numérique, objet de la demande de label, reprenant : les données traitées, l'accès aux données, la conservation des données, l'information des personnes, la gestion des risques et les mécanismes cryptographiques (vingt exigences sur le service lui-même, notées « ES » dans le chapitre 2).
Les demandeurs doivent démontrer qu'ils satisfont aux exigences du référentiel en fournissant des justifications argumentées et des éléments de preuves. Ceux-ci pourront prendre la forme d'un extrait d'un référentiel interne, d'un descriptif de fonctionnement du système ou d'une procédure, ou de tout autre document. Pour être valable, la démonstration proposée ne doit pas se contenter de reprendre le contenu des exigences pour indiquer que le service de coffre-fort numérique soumis à l'évaluation est conforme à celles-ci, mais elle doit établir en quoi le service de coffre-fort évalué y répond de manière spécifique et détaillée. La preuve de la conformité aux exigences ES15, ES17 et ES19 peut notamment être apportée par une description des algorithmes utilisés et des dimensionnements choisis ainsi que par des références appropriées aux annexes B1 et B2 du référentiel général de sécurité.
Le demandeur, candidat au label, doit être à la fois opérateur technique du service et fournisseur de ce service auprès des particuliers.
On distingue en effet :
― le fabricant de produit de coffre-fort numérique qui conçoit et développe un produit de coffre-fort numérique ;
― l'opérateur de service de coffre-fort numérique qui met en œuvre un service de coffre numérique. A ce titre, il assure le fonctionnement opérationnel du système et des mesures de sécurité afférentes ;
― le fournisseur de service de coffre-fort numérique qui propose ce service à des utilisateurs, personnes physiques.
Par conséquent, si le demandeur est une personne morale à la fois opérateur technique du service et fournisseur de service auprès des particuliers, il peut déposer une demande de label en son nom.
A contrario, lorsque l'opérateur technique fournit le service à un organisme qui va jouer le rôle de fournisseur auprès des particuliers, ce dernier ne pourra pas être seul demandeur. Dans cette hypothèse, la demande devra être formulée conjointement par les deux personnes morales, l'opérateur et le fournisseur, afin d'apporter ensemble les justifications et preuves de conformité au référentiel nécessaires à la satisfaction totale des exigences.
Espace de stockage numérique |
Service permettant de stocker des documents dématérialisés. |
Service de coffre-fort numérique (synonyme de coffre-fort électronique) |
Forme spécifique d'espace de stockage numérique, dans lequel la disponibilité et l'intégrité des documents dématérialisés stockés est assurée et où seul l'utilisateur (ainsi que, le cas échéant, les personnes physiques spécialement mandatées par ce dernier) peut avoir accès aux documents stockés et à leurs métadonnées. |
Métadonnées |
Données servant à décrire ou à gérer les documents stockés. On distingue deux types de métadonnées : ― les métadonnées créées par l'utilisateur qui sont liées à un document (par exemple, le nom du document, le format du document, la date de création du document, le descriptif du document, les mots clés pour retrouver le document) ; ― les métadonnées créées par l'opérateur du service de coffre-fort numérique, qui sont liées au processus d'archivage (par exemple, la date à laquelle l'archivage a été effectué, la taille du document déposé, une valeur de hachage du document déposé). Dans le présent document, le terme « métadonnées » ne couvre que les métadonnées créées par l'utilisateur. |
Opérateur technique de service de coffre-fort numérique |
Personne morale qui met en œuvre un service de coffre-fort numérique. A ce titre, elle assure le fonctionnement opérationnel du système et des mesures de sécurité afférentes. |
Fournisseur de service de coffre-fort numérique |
Personne morale qui propose un service de coffre-fort numérique à des utilisateurs. |
Utilisateur de service de coffre-fort numérique |
Personne physique qui utilise un coffre-fort numérique. |
1. Référentiel d'évaluation de la démarche de conformité du demandeur
ED01. Le demandeur a mis en place une démarche visant à s'assurer de la conformité à la loi « Informatique et Libertés » de l'ensemble des traitements qu'il met en œuvre pour l'ensemble de ses activités, dont le service de coffre-fort numérique.
ED02. Les traitements du demandeur, incluant sa gestion des utilisateurs du coffre, ont fait l'objet de formalités préalables adéquates auprès de la Commission nationale de l'informatique et des libertés.
2. Référentiel d'évaluation des aspects de protection
des données du service de coffre-fort numérique
2.1. Exigences relatives aux données traitées
ES01. Le service de coffre-fort numérique collecte, dans le cadre de la création d'un compte, des données d'identification pertinentes et proportionnées au regard de la finalité. L'identification du détenteur du coffre ne peut, en aucun cas, être réalisée au moyen du numéro de sécurité sociale (RNIPP).
ES02. En l'absence d'agrément ministériel pour l'hébergement de données de santé, le demandeur informe l'utilisateur de l'interdiction de stocker des données relatives à la santé. Il ne prévoit pas la création par défaut de dossiers relatifs à la santé.
ES03. Le demandeur informe l'utilisateur de l'interdiction de stocker des contenus illicites (exemple : incitation au meurtre, incitation à la haine raciale, pédopornographie...).
2.2. Exigences relatives à l'accès aux données
ES04. Le service de coffre-fort numérique ne permet la consultation des documents dématérialisés stockés que par l'utilisateur concerné et, le cas échéant, par les personnes spécialement mandatées par ce dernier (par exemple un notaire, pour permettre aux ayants droits d'accéder à ses données, le conjoint lorsqu'un espace partagé est créé au sein du coffre-fort numérique...).
2.3. Exigences relatives à la conservation des données
ES05. Le service de coffre-fort numérique efface les documents supprimés définitivement par l'utilisateur, ainsi que leurs métadonnées, de tous les endroits où ils sont stockés :
― sans délai pour les espaces de stockage courants et les éventuelles copies répliquées en ligne (synchronisées en temps réel ou en miroir) ;
― dans un délai maximum d'un mois pour les sauvegardes (incrémentales, complètes... réalisées à fréquence donnée).
ES06. Le demandeur garantit la pérennité du stockage, notamment en informant les utilisateurs au moins un mois avant la date de fermeture du service pour leur permettre de récupérer leurs documents stockés.
ES07. Le demandeur rend accessible, sans surcoût, un outil permettant aux utilisateurs, de récupérer l'intégralité du contenu de leur coffre-fort de façon simple, sans manipulation complexe ou répétitive, et dans un format électronique structuré et couramment utilisé, afin de faciliter le changement de fournisseur, et ce sans collecter d'informations confidentielles (telles que les identifiants bancaires, les mots de passe de service en ligne, etc.).
2.4. Exigences relatives à l'information des personnes
ES08. Le demandeur informe au préalable les utilisateurs :
― de l'identité de l'opérateur du service de coffre-fort numérique et de celle du fournisseur du service ;
― de la ou des finalités poursuivies ;
― de l'absence de destinataire des données conservées incluant les documents stockés et leurs métadonnées ;
― de tout transfert de données à caractère personnel envisagé à destination d'un Etat non membre de la Communauté européenne, en indiquant si cet Etat, sur la base de sa propre législation, pourrait effectuer des demandes visant à accéder directement aux données conservées ;
― des droits d'accès, de rectification et d'opposition des personnes et les modalités d'exercice de ses droits ;
― de la possibilité de mandater des personnes (par exemple pour permettre à l'utilisateur de récupérer ses données en cas de perte de sa clef ou à ses ayants droit en cas de décès) ;
― du type d'espace mis à leur disposition et de ses conditions d'utilisation ;
― des mécanismes techniques utilisés, notamment les mécanismes de chiffrement ;
― des modalités de résiliation du service et de récupération des données stockées ;
― en cas d'offre de service associé de récupération de documents auprès de services tiers, des conséquences de l'utilisation par le demandeur des identifiants et mots de passe des utilisateurs pour se connecter en leur nom à ces services.
2.5. Exigences relatives à la gestion des risques et à la conformité
ES09. Le service de coffre-fort numérique fait l'objet d'une analyse de la conformité aux références applicables au service de coffre-fort numérique, préalablement à sa mise en place puis tous les trois ans. Elle comprend au minimum :
― un recensement des exigences (communautaires, légales, réglementaires, sectorielles, contractuelles...) ;
― un recensement des bonnes pratiques (normatives, référentiels sectoriels, règles internes...) que le demandeur s'engage à respecter ;
― une explication de la manière dont chaque référence applicable est respectée ou une justification du fait qu'elle ne l'est pas.
ES10. Le service de coffre-fort numérique fait l'objet d'une étude des menaces, révisée au moins tous les trois ans. Elle comprend au minimum :
― l'ensemble des menaces auquel le service de coffre-fort numérique est exposé, c'est-à-dire tous les moyens qui rendent possibles des atteintes à la disponibilité, à l'intégrité et à la confidentialité des données stockées, du fait de l'exploitation de vulnérabilités informatiques, physiques, humaines et organisationnelles, par des sources internes et externes, humaines et non humaines, de manière accidentelle et délibérée ;
― les mesures techniques ou non techniques, mises en place ou prévues, pour traiter chacune de ces menaces, en agissant avant, pendant ou après qu'elles se concrétisent ;
― une estimation de la vraisemblance résiduelle de chacune de ces menaces.
ES11. Le service de coffre-fort numérique intègre des outils permettant de bloquer des connexions faites par des robots et de retarder et/ou de bloquer les connexions illégitimes faites par des personnes.
ES12. Le service de coffre-fort numérique intègre des mesures visant à garantir l'intégrité et la disponibilité des données (centre de stockage redondant, sauvegardes régulières...). Le demandeur s'assure des garanties en termes d'indemnisation des personnes en cas d'ineffectivité de ces mesures (par exemple en souscrivant à une assurance dans le but de couvrir les dommages relatifs à ses engagements).
ES13. Le service de coffre-fort numérique intègre des fonctions de traçabilité permettant aux utilisateurs de consulter l'activité récente sur leur coffre-fort (par exemple en journalisant et en horodatant les réussites et échecs de connexion, l'adresse IP et le protocole utilisé, ainsi que les opérations effectuées sur les répertoires et les fichiers, l'utilisateur ayant effectué une opération, l'objet sur lequel une opération est effectuée et la nature de l'opération effectuée).
ES14. Le service de coffre-fort numérique fait l'objet d'une vérification indépendante (par exemple par un auditeur externe, par un service de contrôle interne...) de l'effectivité et de l'efficacité des mesures choisies, au moins une fois tous les trois ans, et le cas échéant des mesures correctives.
ES15. Le demandeur procède à une notification à l'utilisateur en cas d'accès à ses données par un tiers non mandaté par l'utilisateur, même si ces données sont chiffrées.
2.6. Exigences relatives aux mécanismes cryptographiques
ES16. Le service de coffre-fort numérique intègre une fonction de chiffrement/déchiffrement des données conservées, incluant les documents stockés et leurs métadonnées. Cette fonction :
― permet de rendre les données incompréhensibles aux tiers non mandatés par l'utilisateur, y compris au demandeur ; pour ce faire, le demandeur peut par exemple spécifier et/ou fournir un logiciel à mettre en œuvre sur le poste client de l'utilisateur, en précisant les règles de sécurité que ce dernier doit appliquer, pour lui permettre de chiffrer localement des documents et les métadonnées associées, et de les envoyer ensuite sous forme chiffrée au service de coffre-fort numérique, de telle sorte que le demandeur ne soit pas techniquement en mesure de les déchiffrer ;
― permet à l'utilisateur et ses mandataires de déchiffrer et de visualiser les données conservées, incluant les documents stockés et leurs métadonnées ;
― est conforme aux règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques du référentiel général de sécurité de l'Agence nationale de sécurité des systèmes d'information ;
― repose sur des clefs maîtrisées par l'utilisateur et ses mandataires ;
― permet une évolution de la taille des clefs et des algorithmes utilisés, afin de garantir dans la durée la confidentialité des données stockées.
ES17. Le service de coffre-fort numérique intègre une fonction qui facilite la sauvegarde et la récupération des clefs de chiffrement/déchiffrement pour permettre à l'utilisateur de continuer à accéder à ses données en cas de perte de ses clefs :
― soit chez l'utilisateur, de manière sécurisée ;
― soit chez un tiers de confiance, non lié au demandeur et choisi par l'utilisateur ; on note dans ce cas que le tiers de confiance devrait assurer la sécurité de la sauvegarde des clefs, garder une trace de toute utilisation de la sauvegarde des clefs et informer l'utilisateur de toute utilisation de la sauvegardes des clefs.
ES18. Le service de coffre-fort numérique intègre une fonction de chiffrement de tous les transferts d'informations vers et depuis le coffre-fort. Cette fonction est conforme aux règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques du référentiel général de sécurité de l'Agence nationale de sécurité des systèmes d'information.
ES19. Le service de coffre-fort numérique met en œuvre des mécanismes d'authentification pour :
― les utilisateurs ;
― les personnes physiques spécialement mandatées par ces derniers ;
― les tiers auxquels les utilisateurs ont recours pour importer des données depuis un espace de dépôt vers le coffre ;
― ainsi que les administrateurs informatiques pour la seule gestion du coffre.
ES20. Le service de coffre-fort numérique ne permet de s'authentifier que par des mécanismes d'authentification robustes (mots de passe à usage unique, envoi de codes par SMS...). Il assure que l'utilisateur et les personnes physiques spécialement mandatées par ce dernier sont authentifiés par le serveur hébergeant les données. Tous ces mécanismes sont conformes aux règles et recommandations du référentiel général de sécurité de l'Agence nationale de sécurité des systèmes d'information. Si l'authentification comprend l'utilisation de mots de passe, ces règles font l'objet d'une information des utilisateurs (affichage du niveau de sécurité du mot de passe choisi par exemple) et d'un contrôle (système de blocage si insuffisant).