LE COFFRE-FORT NUMERIQUE EN DIX QUESTIONS

décembre 18, 2013

Quelle définition retenir pour le coffre-fort numérique ? Quels en sont les principaux usages et les différentes modalités de mises en œuvre ? Quels bénéfices permet-il d’obtenir ? Tour d’horizon avec les réponses à dix questions concrètes.

***

Coffre-fort numérique : effet de mode ou tendance de fond ?

La visibilité actuelle du coffre-fort numérique (certification NF Logiciel, recommandation CNIL) est le résultat d’un mouvement de fond entamé il y a plus de 10 ans. Le terme de coffre-fort électronique est, semble-t-il, apparu pour la première fois dans le débat public dès l’été 2001 en liaison avec l’annonce officielle d’un projet gouvernemental d’e-administration. Le concept de Composant coffre-fort numérique a fait l’objet d’une norme (AFNOR NF Z42-020) publiée en juillet 2012.

Coffre-fort numérique : conservation sécurisée ou stockage en ligne ?

Un coffre-fort numérique repose sur la mise en œuvre de mécanismes cryptographiques : empreinte d’intégrité, signature électronique, contremarque de temps et outils de chiffrement. A la différence de services de stockage distant, les coffres-forts numériques n’ont pas pour vocation d’assurer la synchronisation entre différents terminaux. Autre différence, le contenu du coffre-fort numérique est sous le contrôle des utilisateurs. La recommandation de la CNIL de septembre 2013 et la Norme AFNOR NF Z42-020 se rejoignent sur ce point.

Coffre-fort numérique : intégrité ou confidentialité ?

Le coffre-fort numérique garantit l’intégrité des contenus aves des mécanismes cryptographiques et, dans certains cas, la confidentialité par le chiffrement. Ainsi, les évènements de jeux issus des sites des opérateurs des jeux et paris en ligne, archivés obligatoirement dans des coffres-forts électroniques, doivent être chiffrés. La CNIL recommande le recours au chiffrement par l’utilisateur pour les services de coffre-fort numérique ou électronique destinés aux particuliers. D’autres dispositifs contribuent à la confidentialité des contenus : le contrôle d’accès par l’authentification, la limitation des actions par la définition des profils, la traçabilité des actions comme dispositif d’alerte.
Les personnes en charge de l’archivage électronique envisagent souvent le chiffrement des contenus avec réticence. D’une part, le fait même de chiffrer un document représente une forme d’altération de son intégrité. D’autre part, si la clé de déchiffrement est perdue, le document devient inaccessible ce qui est en contradiction avec les objectifs de l’archivage électronique.

Coffre-fort numérique : labélisé ou certifié ?

Il est facile de prétendre disposer d’un coffre-fort numérique. L’essentiel est que le produit soit reconnu comme tel par une autorité indépendante.
Depuis août 2013, il existe la certification NF Logiciel Coffre-fort numérique d’AFNOR Certification qui atteste de la conformité des produits avec la norme AFNOR NF Z42-020. La Fédération des Tiers de Confiance (FNTC) délivre par ailleurs un label Coffre-fort électronique avec des exigences qui portent notamment sur l’interopérabilité de la solution auditée. Enfin, les coffres-forts électroniques utilisés pour l’archivage des évènements de jeux des opérateurs de jeux et paris en ligne sur internet doivent être certifié CSPN par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Coffre-fort numérique : documents ou données ?

Documents, courriers, déclarations, images, son, logs, logiciels : tout « objet numérique » critique ou de valeur a vocation à être conservé dans un coffre-fort numérique. Le coffre-fort numérique a naturellement pour objet de conserver les documents électroniques qu’il s’agisse de documents nativement électroniques ou de copies numérisés de documents imprimés. Les logs ont également vocation à être conservés de façon intègre dans un monde qui est à la fois de plus en plus numérique et dans lequel les enjeux de traçabilité deviennent de plus en plus importants.

Coffre-fort numérique : grand public ou professionnel ?

Les coffres-forts numériques professionnels et ceux destinés aux particuliers diffèrent par les usages même si les technologies mises en œuvre sont les mêmes. En matière d’usage, la vision du professionnel repose le plus souvent sur la conservation des preuves pour être à même de faire face à des contrôles, litiges ou contentieux. Pour les particuliers, il s’agit également de conserver ce qui a de la valeur mais il s’agira plutôt de la préservation du patrimoine numérique personnel.
Le domaine d’usage du bulletin de paie électronique met en évidence le caractère partiellement artificiel de la stricte séparation entre les coffres-forts professionnels d’archivage et les services de coffres-forts électroniques destinés au grand public. Avec ce type de dématérialisation, la DRH de l’entreprise disposera dans le coffre-fort numérique de l’entreprise d’un double électronique de tous les bulletins de paie alors que les salariés volontaires accèderont à leurs bulletins de salaire électroniques via leurs coffres-forts électroniques personnels.

Coffre-fort numérique : archivage ou communication ?

Les coffres forts numériques sont aussi, et peut-être avant tout, des dispositifs techniques qui rendent possible la communication des originaux numériques. Le terme de « coffre-fort » ne permet sans doute pas d’appréhender le véritable potentiel de communication sécurisée qui doit lui être associé. Au-delà de la seule conservation sécurisée, les services de coffre-fort numérique doivent également intégrer des fonctionnalités de transfert et de partage.
Les professions réglementées telles que les Greffiers des Tribunaux de Commerce ou les Huissiers de Justice sont en pointe pour ce type d’usage où le coffre-fort électronique doit d’abord être envisagé comme une boîte aux lettres électronique sécurisée.

Coffre-fort numérique : composant ou solution autonome ?

Le coffre-fort numérique peut-être piloté par un Service d’Archivage Electronique (SAE). Bénéficiant de sa dimension de composant, il peut être tout aussi bien être connecté à d’autres dispositifs technologiques qu’il s’agisse de PGI/ERP (progiciel de gestion intégré), de CRM (Customer Relationship Management), de SIRH (Système d’Information Ressources Humaines) ou encore d’ECM (Enterprise Content Management).
Le coffre-fort numérique peut être également envisagé comme la brique de conservation sécurisée à vocation probatoire d’une plate-forme métier de dématérialisation ou d’un téléservice déployé par la sphère publique. Enfin, il peut être mis en œuvre de façon autonome.

Coffre-fort numérique : progiciel ou service externalisé ?

Le recours à un tiers de confiance spécialiste du coffre-fort numérique ne signifie pas que l’externalisation soit une obligation. Un composant coffre-fort numérique peut être externalisé ou mis en œuvre en interne. Le recours au tiers de confiance se fera alors soit par le choix d’un prestataire de tiers-archivage, soit par le choix d’une technologie développée par un éditeur reconnu et implémentée de façon conforme par un service interne spécialisé.
L’interopérabilité et la réversibilité de la solution permet une mise en œuvre initiale en externe avant une ré-internalisation ultérieure.

Coffre-fort numérique : réduction des coûts ou création de valeur ?

Un archivage électronique sécurisé réalisé sur la base d’un coffre-fort numérique assure des économies en termes d’espaces et surtout de temps pour l’accès aux archives. Il permet également d’éviter les coûts de sinistres liés à la non disponibilité de preuves essentielles (condamnations, amendes, atteintes à l’image de marque, etc.).
Le coffre-fort numérique doit surtout être envisagé comme le socle des nouveaux services de dématérialisation – comme par exemple les contrats en ligne – qui permettent aux organisations de se différencier et de réussir leur transformation numérique.

Arnaud Belleil

Publicités

DEMATERIALISATION, CE QUI VA TOUT CHANGER

janvier 2, 2013

A l’occasion de la parution de la newsletter n°100 de Cecurity.com, en décembre 2012, Eric Barbry, Directeur du Pôle « Droit du numérique »Alain Bensoussan Avocats – Lexing®, a eu la gentillesse de produire un article exclusif sur le droit de la dématérialisation qui, pour lui, devient une obligation légale. Une lecture chaudement recommandée.

Lire l’article : http://www.cecurity.com/site/PubArt201207.php

 


La Cnil revendique le contrôle de la vidéosurveillance

mai 10, 2008

 

Il faut clarifier le régime juridique de la vidéosurveillance « complètement incompréhensible, flou et aléatoire pour les concitoyens et les juristes » a déclaré Alex Türk, le Président de la Cnil, lors d’une conférence de presse où a été rendue publique une note de la Commission adressée au ministère de l’intérieur. Aujourd’hui la vidéosurveillance dans les lieux publics nécessite l’autorisation de la Préfecture alors que les autres dispositifs, comme ceux qui concernent les espaces de travail, relèvent de la Cnil. Et encore, le rôle des Préfectures ne s’exerce que pour les dispositifs analogiques alors que la Cnil a une compétence complète pour les systèmes numériques de plus en plus répandus. Au moment où le gouvernement envisage de tripler le nombre de caméras, la Commission plaide pour une clarification et revendique le rôle de contrôleur unique. La Cnil insiste également sur les nouveaux risques liés aux innovations en matière de vidéosurveillance avec les logiciels de détection automatique de « comportements suspects » ou l’usage des drones de surveillance en milieu urbain.

 

 La note de la Cnil au ministre de l’intérieur : http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/CNIL-Notevideosurveillance.pdf

 

 

 

 


La Cnil lance un groupe de travail sur l’offshore

mars 26, 2008

 

L’avocate Merav Griguer commente pour le Journal du Net le lancement par la Cnil d’un groupe de travail consacré à la délocalisation des données à caractère personnel. Le processus d’autorisation de ces traitements par la Cnil y est décrit comme « un parcours du combattant » auquel les entreprises qui souhaitent recourir à l’offshoring doivent se soumettre. Il s’agit bien pourtant d’une tendance lourde dans la mesure où la Cnil est décrite dans l’article comme « submergée par les dossiers qui lui sont soumis ».

 

Source : Le Journal du Net – Date : 25 mars 2008 – Auteur : Merav Griguer

 Lien de l’article : http://www.journaldunet.com/solutions/expert/dsi/24747/l-externalisation-et-la-delocalisation-face-a-la-cnil-le-parcours-du-combattant.shtml

 


Alex Türk, Président du Groupe article 29

février 23, 2008

Alex Türk, Président de la Cnil, a été élu le 19 février 2008 Président du groupe de l’article 29, organisme qui rassemble toutes les autorités européennes de protection des données à caractère personnel. Il succède à ce poste à l’allemand Peter Schaar. L’une des premières tâches d’Alex Türk pourrait être de trouver une appellation plus communicante que le très abscons et technocratique « groupe de l’article 29 » ou « G29 ». Sur son site la Cnil utilise la formule « groupe des « CNIL » européennes » ce qui a le mérite d’être plus clair pour le public français. Cependant, même avec des guillemets, la formule ne va pas forcément être adoptée en l’état par nos partenaires européens. Vous avez peut-être des suggestions à formuler ? N’hésitez pas à nous les communiquer.

 

Source : ZDNet – Date : 20 février 2008 – Auteur : Estelle Dumout

 Lien de l’article : http://www.zdnet.fr/actualites/internet/0,39020774,39378801,00.htm

 Le communiqué de la Cnil : http://www.cnil.fr/index.php?id=2399&news[uid]=523&cHash=7b08d7a317

 


L’anonymisation des « whois »

février 5, 2008

Dans une rubrique pour le Journal du Net, Lionel Thoumyre analyse les conséquences de la possibilité désormais offerte aux particuliers par l’AFNIC de déposer un nom de domaine en .fr en bénéficiant de l’anonymat. Cela participe à la protection de la vie privée des internautes mais dans le même temps, c’est « une gêne pour ceux qui espèrent stopper rapidement une situation préjudiciable », par exemple les propriétaires d’une marque. Rappelons que l’ICANN, organisme qui gère les .com ou .org ne permet pas le recours à l’anonymat mais ne vérifie pas non plus l’exactitude des informations transmises. Résultat, il est possible de mentir sur son identité. Pour Nathalie Dreyfus, conseil en propriété intellectuelle le meilleur compromis consiste « à maintenir l’anonymat mais d’offrir aux ayants droit des processus de levée d’anonymat efficace, rapide et peu onéreux ».

 

Source : Le Journal du Net – Date : 29 janvier 2008 – Auteur : Lionel Thoumyre

 Lien de l’article : http://www.journaldunet.com/expert/22185/fr-conflit-entre-l-anonymat-des-particuliers-et-le-droit-des-marques.shtml

 

Source : Juriscom – Date : 17 janvier 2008 – Auteur : Nathalie Dreyfus

 Lien de l’article : http://www.juriscom.net/actu/visu.php?ID=1010


Le Comité Balladur pour un « défenseur des droits fondamentaux »

janvier 18, 2008

Le Comité de réflexion et de proposition sur la modernisation et le rééquilibrage des institutions de la Vème République (ou Comité Balladur) a rendu son rapport au Président de la République le 29 octobre 2007. Parmi le 77 propositions formulées par le Comité celle qui porte le numéro 76 mérite d’être soulignée. Elle concerne l’institution d’un « Défenseur des droits fondamentaux reprenant notamment tout ou partie des attributions (…) de la CNIL ». Toujours selon la proposition du Comité il serait élu pour six ans par l’Assemblée nationale à la majorité des trois cinquièmes. Réagissant à cette idée, Alex Türk, Président de la Cnil, a exprimé ses « inquiétudes ».

 

 Lire la proposition 76 du Comité : http://www.comite-constitutionnel.fr/actualites/?mode=details&id=48

 

Source : News.fr – Date : 17 janvier 2008

 Lien de l’article : http://www.news.fr/actualite/societe/0,3800002050,39377494,00.htm