La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 11 (3°, c) et 13 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la CNIL ;

Vu la délibération n° 2013-270 du 19 septembre 2013 portant recommandation relative aux services dits de « coffre numérique ou électronique » destinés aux particuliers ;

Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

L'article 11 (3°, c) de la loi du 6 janvier 1978 modifiée dispose qu' « à la demande d'organisations professionnelles ou d'institutions regroupant principalement des responsables de traitements, [...la CNIL] délivre un label à des produits ou à des procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, après qu'elle les a reconnus conformes aux dispositions de la [loi du 6 janvier 1978 modifiée] ».

Une demande de création d'un label relatif aux services de coffre-fort numérique a été faite par une organisation professionnelle. La Commission estime que cette demande correspond à un besoin des acteurs de ce secteur.

Ce besoin des professionnels et la volonté de la CNIL de voir protéger les données personnelles que des particuliers stockent dans un coffre-fort numérique ont conduit la commission à accepter de délivrer des labels en la matière.

L'article 33 du règlement intérieur de la commission précise « sur proposition du comité, la commission adopte des référentiels définissant les caractéristiques que doivent présenter des produits ou des procédures pour permettre la délivrance d'un label individuel. Ceux-ci précisent les modalités d'appréciation de la conformité à la loi et, le cas échéant, les particularités relatives aux vérifications subséquentes à la délivrance du label ».

Par conséquent, la présente délibération fixe le référentiel d'évaluation des coffres-forts numériques tendant à la protection des personnes à l'égard du traitement des données à caractère personnel.

Décide que le référentiel permettant l'évaluation des demandes de labels relatifs aux services de coffre-fort numérique figure en annexe de la présente délibération, qui est publiée au Journal officiel de la République française.

La présidente,

I. Falque-Pierrotin