La CNIL réagit par rapport aux services de Coffre-fort numérique – NF Z42-020 !!!

La CNIL a publié au JO une délibération N° 2013-270 le 19 septembre 2013 portant recommandation relative aux services de « coffre-fort numérique ou électronique » destinés aux particuliers.

Dans ce texte, la CNIL précise qu’elle considère que « le terme coffre-fort numérique ou coffre-fort électronique doit être réservé à une forme spécifique d’espace de stockage numérique, dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier« . Elle précise également que « le fournisseur de service ne doit pas être techniquement en mesure d’accéder au contenu d’un coffre-fort, ni a ses éventuelles sauvegardes, sans le consentement exprès de l’utilisateur concerné ».

La CNIL estime qu’un service qui ne répondrait pas à ces critères et aux mesures décrites « est un simple espace ou service de stockage numérique« .  Dans son texte, la CNIL détaille les mesures de sécurité qu’un service « coffre » doit mettre en oeuvre : chiffrement avec clef privée, conservation des clefs par un tiers pour la conservation à long terme, …. 

Avec cette délibération nécessaire de la CNIL, il est possible de confirmer que la norme NF Z42-020 n’a donc aucune légitimité à porter le nom de « composant coffre-fort numérique ». Elle ne traite pas des sujets indispensables liés à la sécurité. Cette norme n’apporte aucune garantie sur les exigences fondamentales précisées par la CNIL dans sa délibération.

Comme nous le disions à plusieurs reprises, la norme NF Z42-020 est une norme de trop. Sans évolution, elle n’a aucun intérêt et ne doit pas être considérée comme représentant les règles de l’Art en matière de coffre-fort numérique.

Espérons qu’avec la lumière faite par la CNIL, les entreprises et les particuliers comprendrons que la norme NF Z42-020 et la certification NF associée n’ont qu’une valeur marchande…