Espace Banque & Droit

Chronique Nouveaux moyens de paiement, banque digitale et protection des données

Nouveaux moyens de paiement, banque digitale et protection des données : Banque et transformation digitale : le coffre numérique bientôt en service

Créé le

03.08.2018

-

Mis à jour le

07.08.2018

Myriam Roussille
  • Agrégée des facultés de droit, professeure Université du Mans, JS Sorbonne Affaires-Finance
  • Directrice Institut d’études judiciaires du Mans

Digitalisation de l’activité bancaire. La construction d’un droit du digital se poursuit, au plus grand bénéfice des acteurs bancaires qui comptent parmi les leaders économiques en ce domaine. La loi pour une République numérique du 7 octobre 2016  [1] complétée par l’ordonnance du 4 octobre 2017 [2] adaptant le droit français au règlement eIDAS de 2014  [3] dessine le cadre légal du droit des services numériques. Après avoir finalisé le régime juridique applicable à la signature électronique  [4] et créé un dispositif de lettre recommandée numérique [5] , le pouvoir réglementaire s’est attaqué au coffre-fort numérique par un décret adopté le 30 mai 2018 [6] .

Le coffre-fort numérique est en effet un outil central dans la digitalisation de l’activité bancaire. Il offre des perspectives en termes d’archivage pour simplifier la gestion des relations avec la clientèle, en évitant le recours à la conservation matérielle des documents papiers et en sécurisant la conservation de documents électroniques [7] . Mais il permet aussi le transfert et, plus largement, la transmission et la réception de données, la fonctionnalité de suppression étant moins supposée servir.

Le coffre numérique a vocation à être proposé comme service aux clients (pour leur permettre par exemple de conserver leurs relevés de compte ou les conventions qu’ils ont signées) ou aux salariés (pour leur offrir la possibilité d’archiver leurs bulletins de salaires). Mais il servira aussi dans le cadre des procédures de conformité pour faciliter la justification des obligations réglementaires par la banque, grâce à la consignation des documents fournis par le client (par exemple dans le cadre du KYC) ou de ceux que la banque a dû elle-même fournir (telles les lettres d’information, de mise en garde ou de relance).

À l’heure où la transformation digitale est l’une des priorités pour les établissements bancaires, la publication des modalités de recours au coffre numérique est donc bienvenue.

Définition et critères de qualification. Le service de coffre-fort numérique a été défini par la loi pour une République numérique du 7 octobre 2016, qui est le creuset d’un certain nombre de dispositifs destinés à accompagner la transformation digitale de l’économie française [8] . L’approche retenue est celle d’une définition par l’objet : il s’agit d’un « service qui a pour objet : 1° La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine  [9] » . C’est le Code des postes et des communications électroniques, que la digitalisation promet à une grande promotion, qui en est le socle. À croire que le jeu de pistes est devenu l’un des sports favoris du législateur, la définition initialement consacrée à l’article L. 137 dudit code a été transférée à l’article L. 103 où elle siège désormais [10] .

Non sans une certaine approximation terminologique, le législateur poursuit cette définition « par l’objet » avec une liste de fonctionnalités que doit inclure le service de coffre-fort numérique : traçabilité des opérations sur les documents ou données archivées  [11] ; identification de l’utilisateur (évidemment !) [12] ; garantie de l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service pour l’utilisateur et les personnes qu’il a explicitement autorisées  [13] ; récupération des documents et données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données [14] .

Ces fonctionnalités ont bien l’allure de critères de qualification (cumulatifs), conditionnant « l’appellation contrôlée » de service de coffre-fort numérique [15] . D’autres services accessoires peuvent lui être adossés « en option » : les services de confiance d’identification électronique et les services de confiance pour les transactions électroniques qui relèvent du règlement eIDAS du 23 juillet 2014 [16] . Enfin, le fournisseur de services de coffre-fort numérique peut se faire certifier, la certification (devenue le Saint Graal de l’économie numérique) imposant le respect d’un cahier des charges  [17] proposé par l’Agence nationale de sécurité des systèmes d’information (ci-après « ANSSI »).

Modalités de mise en œuvre du service : les obligations du fournisseur. Les « modalités de mise en œuvre du service de coffre-fort numérique » sont précisées par un décret adopté le 30 mai 2018. Curieux intitulé pour un texte qui énumère en fait les obligations du fournisseur, dessinant ainsi le contenu des engagements contractuels qu’il devra prendre avec ses clients. Dans le domaine bancaire, les banques seront attentives à ces prescriptions, tant en tant que prestataires proposant ces services à leurs clients, que bénéficiaires de ces services. Comme on peut l’envisager, le service sera sans doute souvent, au moins dans un premier temps, sous-traité (« externalisé »), de sorte qu’il conviendra de s’interroger sur l’applicabilité du régime des Prestations de services essentiels externalisées (« PSEE ») [18] . L’inclusion de ce service dans le périmètre du contrôle interne conduira les services de conformité à se soucier du respect des conditions réglementaires. D’où l’importance du décret du 30 mai.

Intégrité et traçabilité. Sous couvert de préciser les modalités du service, le texte énonce en réalité les obligations du fournisseur : à la traditionnelle obligation d’information précontractuelle (claire, loyale et transparente) sur le fonctionnement et l’utilisation du service, dont le contenu  [19] et les modalités (dossier technique) [20] sont détaillés, s’ajoutent des obligations plus caractéristiques concernant l’intégrité des données et la traçabilité des opérations. Le fournisseur doit ainsi assurer l’intégrité, la disponibilité et l’exactitude de l’origine des données et documents stockés dans le coffre-fort numérique, en adoptant des mesures de sécurité « adaptées et conformes à l’état de l’art  [21] » . La traçabilité est également l’une des obligations essentielles associée au coffre-fort numérique [22] .

Ces obligations caractéristiques du coffre-fort sont aussi évidemment complétées par les obligations élémentaires associées à tout service numérique : celle d’une identification sécurisée de l’ utilisateur  [23] et celle (associée) d’une exclusivité d’accès des documents et données pour ce dernier ou les personnes qu’il a dûment autorisées [24] . Les modalités de cette dernière obligation sont détaillées.

L’avenir sera technologique. Compte tenu de l’importance que le digital est en train de prendre dans le monde des services financiers, l’ANSSI devrait occuper une place de plus en plus centrale, à travers le cahier des charges qu’elle est réglementairement chargée d’ établir [25] , mais aussi compte tenu de tout le socle de « droit mou » qu’elle va être amenée à produire (recommandations et bonnes pratiques). La dépendance aux prestataires de services numériques sera sans doute aussi à terme un sujet et imposera peut-être aux banques de réfléchir à l’opportunité de développer elles-mêmes ces services. Gérant déjà d’énormes systèmes informatiques, les banques sont appelées à devenir, avec la digitalisation de leurs activités, de grands prestataires de services numériques, la confiance que leur donnent leurs clients étant aujourd’hui l’un de leurs principaux atouts.

Au passage, on notera que les garanties en termes d’intégrité, de traçabilité et d’exclusivité que devra offrir tout service de coffre-fort numérique pourraient ouvrir de belles perspectives à la technologie blockchain en ce domaine…

 

Le décret entre en vigueur le 1er janvier 2019.

1 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. 2 Ordonnance n° 2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques. 3 Règl. (UE) n° 910/2014 du Parlement et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS ». 4 Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique. 5 Décret n° 2018-347 du 9 mai 2018 relatif à la lettre recommandée électronique. 6 Décret 2018-418 du 30 mai 2018 relatif aux modalités de mise en oeuvre du service de coffre-fort numérique : JORF n° 0123 du 31 mai 2018, texte n° 36. 7 Sur ce sujet : M. Boccara, « Conformité des contrats supports de commercialisation de produits financiers à distance », Banque et Droit n° 178, mars-avril 2018, p. 33. 8 Article 87 de la loi 2016-1321 du 7 octobre 2016 introduisant un article L 103 dans le code des postes et des communications électroniques. Voir, sur ce texte : E. Jouffin, M. Roussille et P. Storrer, « La loi pour une République numérique : une fâcheuse anticipation des textes européens », Banque et Droit n° 170, p. 56. 9 Code des postes et des communications électroniques, art. 137. 10 Ordonnance n° 2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques, art. 1er. 11 Le service a « pour objet » : « 2° La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur » (C. post. téléc., art. L. 103). 12 Le service a « pour objet » : « 3° L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique » (C. post. téléc., art. L. 103). 13 Le service a « pour objet » : « 4° De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés » (C. post. téléc., art. L. 103). 14 Le service a « pour objet » : « 5° De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret. » 15 L’usage de l’appellation « coffre-fort numérique » par un prestataire qui ne respecte pas les caractéristiques prévues par les textes est passible de sanction pénale (2 ans de prison, 300 000 euros d’amende). 16 Règl. (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique. 17 Le cahier des charges de l’ANSSI devra être établi après avis de la Commission nationale de l’informatique et des libertés et approuvé par arrêté du ministre chargé du numérique. 18 Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution. 19 C. post. tel., art. R. 55-1 : « Avant que l’utilisateur ne soit lié par un contrat de fourniture de service de coffre-fort numérique, le fournisseur du service lui communique, de manière lisible et compréhensible, les informations suivantes : 1° Le type d’espace mis à sa disposition et les conditions d’utilisation associées ; 2° Les mécanismes techniques utilisés ; 3° La politique de confidentialité ; 4° L’existence et les modalités de mise en oeuvre des garanties de bon fonctionnement ; 5° Son engagement sur la conformité du service aux exigences fixées aux 1° à 5° de l’article L. 103. Ces informations sont également mises à disposition en ligne et, le cas échéant, mises à jour. » 20 C. post. tel., art. R. 55-2 : « Le fournisseur du service de coffre-fort numérique expose dans un dossier technique la façon dont il assure le respect des exigences fixées aux 1° à 5° de l’article L. 103, telles que précisées dans la présente section. » 21 C. post. tel., art. R. 55-3. 22 C. post. tel., art. R. 55-4 : « La traçabilité des opérations réalisées sur les données et documents stockés dans le coffre-fort numérique et la disponibilité de cette traçabilité pour l’utilisateur requièrent au minimum la mise en oeuvre des mesures suivantes : 1° L’enregistrement et l’horodatage des accès et tentatives d’accès ; 2° L’enregistrement des opérations affectant le contenu ou l’organisation des données et documents de l’utilisateur ; 3° L’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques. Les durées de conservation de ces données de traçabilité constituent une mention obligatoire du contrat de fourniture de service de coffre-fort électronique ». 23 C. post. tel., art. R. 55-5 : « L’identification de l’utilisateur lors de l’accès au service de coffrefort numérique est assurée par un moyen d’identification électronique adapté aux enjeux de sécurité du service. » 24 C. post. tel., art. R. 55-6 : « La garantie, telle que prévue au 4° de l’article L. 103, de l’exclusivité d’accès aux documents et aux données de l’utilisateur ou aux données associées au fonctionnement du service requiert au minimum la mise en oeuvre des mesures suivantes : 1° Un mécanisme de contrôle d’accès limitant l’ouverture du coffre-fort numérique aux seules personnes autorisées par l’utilisateur ; 2° Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes ; 3° Le chiffrement par le service de coffre-fort numérique de l’ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci. Ce chiffrement doit être effectué à l’aide de mécanismes cryptographiques conformes à l’état de l’art et permettre une évolution de la taille des clés et des algorithmes utilisés. La conformité à l’état de l’art est présumée lorsque les mécanismes impliqués dans ces opérations de chiffrement sont conformes aux règles et recommandations de l’Agence nationale de sécurité des systèmes d’information concernant le choix et le dimensionnement des mécanismes cryptographiques. » 25 Ce cahier des charges sera approuvé par arrêté du ministre chargé du numérique.

Documents à télécharger:
Link
À retrouver dans la revue
Banque et Droit Nº180
Notes :
22 C. post. tel., art. R. 55-4 : « La traçabilité des opérations réalisées sur les données et documents stockés dans le coffre-fort numérique et la disponibilité de cette traçabilité pour l’utilisateur requièrent au minimum la mise en oeuvre des mesures suivantes : 1° L’enregistrement et l’horodatage des accès et tentatives d’accès ; 2° L’enregistrement des opérations affectant le contenu ou l’organisation des données et documents de l’utilisateur ; 3° L’enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques. Les durées de conservation de ces données de traçabilité constituent une mention obligatoire du contrat de fourniture de service de coffre-fort électronique ».
23 C. post. tel., art. R. 55-5 : « L’identification de l’utilisateur lors de l’accès au service de coffrefort numérique est assurée par un moyen d’identification électronique adapté aux enjeux de sécurité du service. »
24 C. post. tel., art. R. 55-6 : « La garantie, telle que prévue au 4° de l’article L. 103, de l’exclusivité d’accès aux documents et aux données de l’utilisateur ou aux données associées au fonctionnement du service requiert au minimum la mise en oeuvre des mesures suivantes : 1° Un mécanisme de contrôle d’accès limitant l’ouverture du coffre-fort numérique aux seules personnes autorisées par l’utilisateur ; 2° Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes ; 3° Le chiffrement par le service de coffre-fort numérique de l’ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci. Ce chiffrement doit être effectué à l’aide de mécanismes cryptographiques conformes à l’état de l’art et permettre une évolution de la taille des clés et des algorithmes utilisés. La conformité à l’état de l’art est présumée lorsque les mécanismes impliqués dans ces opérations de chiffrement sont conformes aux règles et recommandations de l’Agence nationale de sécurité des systèmes d’information concernant le choix et le dimensionnement des mécanismes cryptographiques. »
25 Ce cahier des charges sera approuvé par arrêté du ministre chargé du numérique.
10 Ordonnance n° 2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques, art. 1er.
11 Le service a « pour objet » : « 2° La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur » (C. post. téléc., art. L. 103).
12 Le service a « pour objet » : « 3° L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique » (C. post. téléc., art. L. 103).
13 Le service a « pour objet » : « 4° De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés » (C. post. téléc., art. L. 103).
14 Le service a « pour objet » : « 5° De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret. »
15 L’usage de l’appellation « coffre-fort numérique » par un prestataire qui ne respecte pas les caractéristiques prévues par les textes est passible de sanction pénale (2 ans de prison, 300 000 euros d’amende).
16 Règl. (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique.
17 Le cahier des charges de l’ANSSI devra être établi après avis de la Commission nationale de l’informatique et des libertés et approuvé par arrêté du ministre chargé du numérique.
18 Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution.
19 C. post. tel., art. R. 55-1 : « Avant que l’utilisateur ne soit lié par un contrat de fourniture de service de coffre-fort numérique, le fournisseur du service lui communique, de manière lisible et compréhensible, les informations suivantes : 1° Le type d’espace mis à sa disposition et les conditions d’utilisation associées ; 2° Les mécanismes techniques utilisés ; 3° La politique de confidentialité ; 4° L’existence et les modalités de mise en oeuvre des garanties de bon fonctionnement ; 5° Son engagement sur la conformité du service aux exigences fixées aux 1° à 5° de l’article L. 103. Ces informations sont également mises à disposition en ligne et, le cas échéant, mises à jour. »
1 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.
2 Ordonnance n° 2017-1426 du 4 octobre 2017 relative à l’identification électronique et aux services de confiance pour les transactions électroniques.
3 Règl. (UE) n° 910/2014 du Parlement et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS ».
4 Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique.
5 Décret n° 2018-347 du 9 mai 2018 relatif à la lettre recommandée électronique.
6 Décret 2018-418 du 30 mai 2018 relatif aux modalités de mise en oeuvre du service de coffre-fort numérique : JORF n° 0123 du 31 mai 2018, texte n° 36.
7 Sur ce sujet : M. Boccara, « Conformité des contrats supports de commercialisation de produits financiers à distance », Banque et Droit n° 178, mars-avril 2018, p. 33.
8 Article 87 de la loi 2016-1321 du 7 octobre 2016 introduisant un article L 103 dans le code des postes et des communications électroniques. Voir, sur ce texte : E. Jouffin, M. Roussille et P. Storrer, « La loi pour une République numérique : une fâcheuse anticipation des textes européens », Banque et Droit n° 170, p. 56.
9 Code des postes et des communications électroniques, art. 137.
20 C. post. tel., art. R. 55-2 : « Le fournisseur du service de coffre-fort numérique expose dans un dossier technique la façon dont il assure le respect des exigences fixées aux 1° à 5° de l’article L. 103, telles que précisées dans la présente section. »
21 C. post. tel., art. R. 55-3.