Réponse de l’ACFN à la recommandation de la CNIL sur les coffres-forts électroniques

À l’issue d’une concertation avec des acteurs du domaine, la CNIL a adopté une recommandation relative aux services de coffres-forts numériques destinés aux particuliers. Publiée le 19 septembre 2013, elle propose notamment des bonnes pratiques en matière de sécurité à l’attention des fournisseurs de ces solutions.

 L’A-CFN, en tant qu’association d’acteurs visant à promouvoir les usages des coffres-forts numériques auprès des utilisateurs finaux, ne peut que saluer les avancées de la CNIL sur le rôle et les apports d’un coffre-fort numérique.

L’A-CFN partage l’ensemble des points plaçant l’internaute au centre de la relation, avec un choix exprès et éclairé pour l’usage des services au sein d’un coffre-fort, et fait écho à sa position présentée plusieurs fois à la CNIL.

Cette protection de l’internaute est une demande forte de l’A-CFN, car les espaces de stockage sur Internet sont nombreux et pour la plupart, sans respect de la vie privée de l’internaute. L’A-CFN a publié dès 2012 une charte formulant ses convictions profondes sur ces sujets.

 En revanche, l’A-CFN ne partage pas les limitations apportées par la CNIL sur le terme de « coffre-fort », sans tenir compte d’une réalité que le marché a fixé depuis plus de 10 ans. L’A-CFN a alerté plusieurs fois la CNIL sur ce sujet et s’étonne donc du rôle pris par la CNIL pour réglementer cette terminologie et la réserver uniquement à certains types de service. En effet, dans le monde « physique », il existe de nombreux types de coffres-forts, avec des niveaux de protection différents jusqu’aux coffres-forts des banques … Il n’y a pas de raison que cela soit différent pour le coffre-fort numérique et l’A-CFN recommande plutôt de réfléchir à des niveaux de services de coffres-forts numériques avec la mise en place de labels co-élaborés avec les parties prenantes, et tenant compte des réflexions et travaux en cours (FNTC, A-CFN, Association de consommateurs…).

 Les recommandations de la CNIL sur les mesures de sécurité doivent être revues à l’aune de cette catégorisation de service, entre des services de coffres-forts ne permettant aucun traitement des documents, uniquement leur dépôt et leur consultation, avec par exemple un chiffrage complet et une clef de chiffrage maitrisée uniquement par l’utilisateur ; et des services de coffres-forts « intelligents », permettant de traiter et gérer ses documents automatiquement, de les partager facilement et d’accompagner l’internaute dans son quotidien.

 L’A-CFN, convaincue de la pertinence d’une industrie construite sur la confiance et sur le respect de l’internaute, mais avec de véritables services pour faciliter la gestion de son fonds documentaire, souhaite que le débat soit élargi aux internautes et que les préconisations soient revues en prenant ainsi en compte leurs attentes.