Deux décrets récents ont permis de préciser le cadre juridique applicable aux services de coffre-fort numérique. Un décret du 30 mai dernier porte sur les obligations à la charge des prestataires lors de la mise en oeuvre du service, tant sur le plan juridique que technique. Un autre décret du 5 octobre dernier porte sur les conditions de récupération des documents et données stockés par un service de coffre-fort numérique. Ces décrets entreront en vigueur au 1er janvier 2019.

Mathias Avocats vous présente ces nouveaux décrets ainsi que leurs impacts sur les services de coffre-fort numérique.

Qu’est-ce qu’un service de coffre-fort numérique ?

Pour rappel, l’article L.103 du Code des postes et des communications électroniques définit le service de coffre-fort numérique comme permettant :

  • La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions assurant leur intégrité et de l’exactitude de leur origine.
  • La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur. Cette traçabilité nécessite a minima les mesures énoncées à l’article R55-4 du Code des postes et des communications électroniques. A noter que les durées de conservation de ces données de traçabilité devront être expressément indiquées dans le contrat conclu entre le fournisseur de service de coffre-fort numérique et l’utilisateur.
  • L’identification de l’utilisateur lors de l’accès au service.
  • L’accès exclusif à l’utilisateur, que les documents soient déposés par ce dernier ou issus du fonctionnement du service, aux tiers explicitement autorisés par l’utilisateur ainsi qu’au prestataire de service qui aura préalablement recueilli son accord exprès. Cette exclusivité est assurée conformément à l’article R55-6 du Code des postes et des communications électroniques.
  • De récupérer les éléments stockés dans un « standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données », exception faite de l’hypothèse dans laquelle ils ont été déposés dans un format non ouvert ou non aisément réutilisable.

Quant à cette dernière hypothèse et plus particulièrement concernant l’exception, nous sommes toujours dans l’attente d’un décret précisant les conditions de restitution des documents initialement déposés dans un « format non ouvert » ou « non aisément réutilisable ».

Comment récupérer les éléments stockés dans le coffre-fort numérique ?

Deux obligations sont imposées aux prestataires:

  • La récupération est effectuée par voie de communication électronique, « par une requête unique, de façon simple et sans manipulation complexe ou répétitive ».
  • Les documents et données sont récupérés « dans un format électronique ouvert, structuré, couramment utilisé, aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert qui peuvent être restitués dans leur format d’origine ». Cette seconde obligation nous paraît redondante avec l’alinéa 5 de l’article L.103 précité.

Par ailleurs, le fournisseur de service de coffre-fort numérique prend toutes mesures nécessaire à la récupération « complète, intègre et dans un délai raisonnable » des documents et données stockés. Pour ce faire, il ne peut demander la transmission d’informations confidentielle ou de données à caractère personnel concernant l’utilisateur du service, sauf à justifier de leur caractère indispensable à la bonne exécution de l’opération de récupération.

Sur le modèle du droit à la portabilité, l’utilisateur doit pouvoir exercer à tout moment et à titre gratuit son droit à la récupération des documents et données. Ce n’est que dans l’hypothèse où les demandes sont manifestement excessives, notamment du fait de leur caractère répétitif, que le fournisseur peut exiger le paiement de frais raisonnables ou refuser de donner suite.

Sur le plan technique, le fournisseur assure un niveau d’intégrité et de confidentialité au moins équivalent à celui des fonctions permettant la réception, le stockage, la suppression et la transmission de données prévues à l’article L.103 précité.

Quelles informations pour l’utilisateur de services de coffre-fort numérique ?

Le nouvel article D.539 du Code des postes et des communications électroniques prévoit que l’utilisateur d’un service de coffre-fort numérique doit être informé, préalablement à la conclusion du contrat, des modalités de récupération de ses document ou données. Etant précisé que l’information doit être lisible et compréhensible. Cette obligation d’information fait écho à celles prévues par le droit de la consommation. Au titre des informations à fournir, le prestataire précisera notamment les frais éventuels pouvant être exigés lorsque les demandes de récupération des documents et donnés stockés sont manifestement excessives.

Par ailleurs, en cas de suspension ou de fermeture du service de coffre-fort numérique, il conviendra d’informer l’utilisateur dans un délai ne pouvant être inférieur à trois mois. Si cette obligation n’est pas respectée, les fonctionnalités de récupération des documents et données devront être accessibles pendant une durée minimale de douze mois à compter de la date de cessation du service.

Outre les informations relatives à  l’opération de récupération en tant que telle, le fournisseur de service devra également informer l’utilisateur de manière « claire, loyale et transparente » sur le fonctionnement et l’utilisation du service, avant qu’un contrat ne soit conclu. Le décret du 30 mai 2018 précise notamment que ces informations concernent :

  • le type d’espace mis à disposition;
  • les mécanismes techniques utilisés;
  • la politique de confidentialité;
  • l’existence et les modalités de mise en oeuvre des garanties de bon fonctionnement;
  • l’engagement sur la conformité du service aux exigences de l’article L.103 précité (1° à 5°), qui doit également faire l’objet d’un dossier technique.

L’utilisateur doit pouvoir y accéder en ligne, postérieurement à la conclusion du contrat. Le cas échéant, ces informations seront mises à jour.