Vous avez franchi le cap de la dématérialisation et vous réfléchissez maintenant à une solution d’archivage électronique à valeur probante. Philippe Delahaye, directeur commercial et marketing CDC Arkhineo liste les 6 critères à prendre en compte pour être certain de faire le bon choix.
1. Ne pas confondre GED et SAE
Si un Système d’Archivage Electronique (SAE) gère et contrôle des documents numériques, les indexe et les stocke comme le ferait une Gestion Electronique de Documents (GED), il répond à une logique de conservation et de conformité légale/réglementaire (et même de préservation au sens strict du terme) de documents électroniques et dispose donc d’un certain nombre de fonctions complémentaires couvrant ces aspects. Un SAE doit, en premier lieu, garantir et maintenir l’intégrité des documents électroniques (qu’ils ne puissent être modifiés ou involontairement altérés durant leur conservation), afin de disposer de preuves recevables en cas de contentieux (et justifier des contrôles effectués durant la conservation et les résultats obtenus). C’est à dire maintenir leur valeur probatoire. Ce qui n’est pas le cas d’une GED.
2. Choisir une solution en conformité avec les normes en vigueur
S’il s’agit d’un SAE, c’est la norme AFNOR NF Z 42-013 qui fait foi si le projet est exclusivement français et c’est son équivalent ISO 14641-1 qui prévaut si le projet est international. La certification se fait sur la base d’un audit réalisé par un prestataire indépendant agréé pour cela par le Cofrac (Comité français d’accréditation) et sur la base d’un référentiel officiel AFNOR/ISO, et non sur la base d’une déclaration du prestataire. Ce qui n’est pas du tout la même chose. Deux autres agréments font office de références : l’agrément SIAF (Service Interministériel des Archives de France) pour les archives courantes et intermédiaires des collectivités publiques et l’agrément HDS (Hébergeur de Données de Santé) délivré par l’ASIP (après validation de la Cnil) pour les documents contenant des données de santé à caractère personnel.
3. Savoir précisément où sont localisées les documents et données archivées
Pour les documents à destination fiscale (factures, tickets de caisse, bons de commandes, bons de livraison, états comptables, FEC, etc.), la localisation doit se faire sur le territoire français ou dans un pays de l’Union Européenne. Mais attention à la nationalité de la société assurant l’hébergement ! Si celle-ci est d’origine américaine, alors les données restent accessibles aux différentes autorités US (police, FBI, douanes, administration fiscale, FDA, etc.). En ce qui concerne l’hébergement des documents contenant des données à caractère personnel (nom, adresse, mail, téléphone, etc.), la localisation hors France et UE est encadrée par la Cnil. Certains pays sont, en effet, considérés comme inadéquats et beaucoup nécessitent une autorisation préalable de la Cnil.
4. Connaître en détails les engagements pris par le prestataire
Le prestataire s’engage-t-il uniquement sur une maintenance corrective et évolutive du logiciel (et son partenaire hébergeur sur la disponibilité du logiciel en termes d’accès) ? Ou s’engage-t-il sur les documents confiés eux-mêmes (non perte, intégrité) ? Et de quels moyens financiers, humains et techniques dispose-t-il pour rassurer quant à sa capacité à assurer les engagements pris ? Notamment en termes de performances (rapidité d’accès, disponibilité, etc.), d’autonomie énergétique, d’indépendance vis à vis des autres clients de l’hébergeur ou encore d’assurance Les questions méritent d’être posées et les réponses doivent pouvoir lever toute ambiguïté.
5. Avoir des garanties quant aux moyens de sécurité mis en œuvre
Il est impératif de choisir une solution en conformité avec les normes en vigueur relatives à la sécurité. S’il s’agit d’un SAE en mode SaaS délivré par un prestataire de type tiers-archiveur grâce à une solution cloud, la norme ISO/IEC 27001, qui expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI), est un sérieux gage de confiance. L’obtention d’un “label” lié à la cybersecurité (France Cybersecurity par exemple) ou la fourniture de résultats de tests d’intrusion périodiques attestant d’un bon niveau de sécurité sont nécessaires pour assurer cette confiance. Enfin, il convient de s’assurer que le prestataire a bien mis en œuvre une redondance du SAE afin que le service soit disponible sans coupure et limiter ainsi les risques de pertes de données en cas de défaillance matérielle.
6. S’assurer de la réversibilité
Le prestataire est-il en mesure de fournir, en cas de rupture de contrat, et pour chaque archive, à la fois le document archivé, mais aussi tous les éléments de traçabilité (horodatage d’archivage, empreintes, journal du cycle de vie de l’archive, journal des événements, journal des accès) ? Même chose en cas de contentieux nécessitant la fourniture d’éléments à la justice : le prestataire peut-il fournir, pour l’archive concernée, un dossier de preuve contenant l’archive, son horodatage, son empreinte, son scellement un contrôle d’intégrité, l’algorithme utilisé afin de permettre à l’éventuel expert commis par le juge d’effectuer une vérification d’intégrité, la validation de la signature apposée sur le scellement, etc. La remise d’un dossier de preuve complet est essentielle.
En tenant compte de ces 6 critères, vous pourrez ainsi vous orienter vers des solutions pérennes, fiables, robustes, conformes et performantes. Et non vers des solutions à bas coût qui vous causeront tôt ou tard un important préjudice.