Le fournisseur d'un service de coffre-fort numérique est tenu à une obligation d'information claire, loyale et transparente sur les modalités de fonctionnement et d'utilisation du service, préalable à la conclusion d'un contrat.

Avant que l'utilisateur ne soit lié par un contrat de fourniture de service de coffre-fort numérique, le fournisseur du service lui communique, de manière lisible et compréhensible, les informations suivantes :

1° Le type d'espace mis à sa disposition et les conditions d'utilisation associées ;

2° Les mécanismes techniques utilisés ;

3° La politique de confidentialité ;

4° L'existence et les modalités de mise en œuvre des garanties de bon fonctionnement ;

5° Son engagement sur la conformité du service aux exigences fixées aux 1° à 5° de l'article L. 103.

Ces informations sont également mises à disposition en ligne et, le cas échéant, mises à jour.

Le fournisseur du service de coffre-fort numérique expose dans un dossier technique la façon dont il assure le respect des exigences fixées aux 1° à 5° de l'article L. 103, telles que précisées dans la présente section.

L'intégrité, la disponibilité et l'exactitude de l'origine des données et documents stockés dans le coffre-fort numérique sont garanties par des mesures de sécurité adaptées et conformes à l'état de l'art.

La traçabilité des opérations réalisées sur les données et documents stockés dans le coffre-fort numérique et la disponibilité de cette traçabilité pour l'utilisateur requièrent au minimum la mise en œuvre des mesures suivantes :

1° L'enregistrement et l'horodatage des accès et tentatives d'accès ;

2° L'enregistrement des opérations affectant le contenu ou l'organisation des données et documents de l'utilisateur ;

3° L'enregistrement des opérations de maintenance affectant les données et documents stockés dans les coffres-forts numériques.

Les durées de conservation de ces données de traçabilité constituent une mention obligatoire du contrat de fourniture de service de coffre-fort électronique.

L'identification de l'utilisateur lors de l'accès au service de coffre-fort numérique est assurée par un moyen d'identification électronique adapté aux enjeux de sécurité du service.

La garantie, telle que prévue au 4° de l'article L. 103, de l'exclusivité d'accès aux documents et aux données de l'utilisateur ou aux données associées au fonctionnement du service requiert au minimum la mise en œuvre des mesures suivantes :

1° Un mécanisme de contrôle d'accès limitant l'ouverture du coffre-fort numérique aux seules personnes autorisées par l'utilisateur ;

2° Des mesures de sécurité destinées à garantir la confidentialité des documents et données stockés ainsi que des métadonnées correspondantes ;

3° Le chiffrement par le service de coffre-fort numérique de l'ensemble des documents et données stockés par le coffre-fort numérique ou transférés vers ou depuis celui-ci. Ce chiffrement doit être effectué à l'aide de mécanismes cryptographiques conformes à l'état de l'art et permettre une évolution de la taille des clés et des algorithmes utilisés. La conformité à l'état de l'art est présumée lorsque les mécanismes impliqués dans ces opérations de chiffrement sont conformes aux règles et recommandations de l'Agence nationale de sécurité des systèmes d'information concernant le choix et le dimensionnement des mécanismes cryptographiques.