Projet de loi République numérique
Direction de la Séance
N°423
25 avril 2016
(1ère lecture)
(PROCÉDURE ACCÉLÉRÉE)
(n° 535 , 534 , 524, 525, 526, 528)
AMENDEMENT
C | Favorable |
---|---|
G | Favorable |
Adopté |
présenté par
MM. ROME, CAMANI, SUEUR et LECONTE, Mme Dominique GILLOT, MM. François MARC, ASSOULINE et GUILLAUME, Mme CONWAY-MOURET
et les membres du groupe Socialiste, Écologiste et Républicain et apparentés
ARTICLE ADDITIONNEL APRÈS ARTICLE 40 AA
Après l’article 40 AA
Insérer un article additionnel ainsi rédigé :
I. – Le titre Ier du livre III du code des postes et des communications électroniques est complété par un article L. 137 ainsi rédigé :
« Art. L. 137. – Un service de coffre-fort numérique est un service qui a pour objet :
« a) la réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;
« b) la traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur ;
« c) l’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant les dispositions de l’article L. 136 du présent code ;
« d) de garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers, autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au bénéfice seul de l’utilisateur ;
« e) de donner la possibilité pour l’utilisateur de récupérer les documents et données stockées dans un standard ouvert et aisément réutilisable, c’est-à-dire lisible par une machine, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret.
« Le service de coffre-fort numérique peut également proposer des services de confiance au sens du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
« Un coffre-fort numérique peut bénéficier d’une certification établie selon un cahier des charges proposé par l’Agence nationale de la sécurité des systèmes d’information après avis de la Commission nationale de l’informatique et des libertés et approuvé par arrêté du ministre en charge de l’économie.
« Les modalités de mise en œuvre du service de coffre-fort numérique et de sa certification par l’État sont définies par décret en Conseil d’État après avis de la Commission nationale de l’informatique et des libertés. »
II. – Après la section 10 bis du chapitre 1er du titre II du livre 1er du code de la consommation, est insérée une section 10 ter ainsi rédigée :
« Section 10 ter : Appellation de coffre-fort numérique
« Art. L. 121-82-... – Le fournisseur qui se prévaut d’une offre de service de coffre-fort numérique tel que défini à l’article L. 137 du code des postes et des communications électroniques aux a) à e) et qui ne respecte pas les obligations qui y sont énoncées est passible des sanctions prévues à l’article L. 121-6 du présent code. »
Objet
De nouveaux services dits de « coffre-fort numérique » se sont développés et permettent aujourd’hui à des particuliers ou à des entreprises de stocker en ligne des documents et données sous format numérique. Un certain nombre d’offres de marché existent aujourd’hui et la CNIL a mis en place un label.
Une certaine part des offres de marché dites de « coffre-fort numérique » ne répondent cependant pas aux véritables caractéristiques d’un coffre-fort et ne s’astreignent pas notamment au respect de l’inviolabilité et du secret du contenu déposé dans le coffre-fort par le titulaire.
A l’instar du secret bancaire respecté dans le domaine des coffres forts « physiques » mis à disposition par les établissements de crédit, il importe que le développement de ces nouveaux services de coffre-fort numérique se déploie en toute loyauté vis-à-vis des attentes légitimes des utilisateurs (particuliers comme entreprises) et dans un cadre de confiance qui puisse être interopérable à l’échelle européenne notamment en vertu du règlement n°910/2014 du Parlement européen et du Conseil sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, adopté le 23 juillet 2014 (règlement dit eIDAS).
Cet amednement propose donc une définition du service de coffre-fort numérique et prévoit des sanctions en cas de mésusage de l’appellation « coffre-fort numérique », notamment via le marketing de ces services.
Il prévoit également que les coffres forts puissent bénéficier d’une certification sur la base d’un cahier des charges établi par l’ANSSI après avis de la CNIL, et approuvé par le ministre en charge de l’économie, qui permette d’attester la robustesse des fonctions qui la composent. Cette certification n’est toutefois pas rendue obligatoire par la loi afin de permettre aux acteurs vertueux de pouvoir disposer d’une certification attestant de la qualité et de la sécurité de leur service sans toutefois imposer une telle certification pour permettre à une offre de se prévaloir de l’appellation de coffre-fort numérique.