Accueil L’archivage à vocation probatoire

L’archivage à vocation probatoire

Alors que les documents numériques sont désormais considérés comme ayant la même légalité que les originaux papier, l’archivage électronique devient un enjeu majeur de la gestion des risques. La norme NF Z42-013 est au cœur des exigences de conformité.

Qu’elles soient engageantes ou patrimoniales, la conservation des données a toujours été un volet essentiel de la gouvernance d’entreprise. L’avènement du numérique n’a pas changé les approches fondamentales, mais les a complexifiées, notamment en raison de l’explosion des contenus. L’arsenal juridique est en effet aujourd’hui conséquent pour garantir la fidélité de l’information par rapport à son support, la valeur probante du document, l’accessibilité aux données et la longévité de l’archivage.

Dans ce contexte, la norme NF Z042-013 s’applique indifféremment aux documents dématérialisés et aux documents électroniques natifs. Cette norme « est un ensemble de spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes », précise l’Afnor. Créée en 2009, la NF Z042-013 en est aujourd’hui à sa 3e version et devrait encore évoluer dans les mois à venir à travers une nouvelle mouture. Cette norme ne renvoie ni à une compatibilité ni à une certification. « La normalisation, c’est l’art de dire ce qu’il faut faire sans dire comment le faire. Une norme a pour objectif de définir des recommandations ou des exigences liées aux règles de l’art d’un métier mais n’a pas pour vocation de définir comment les fonctions décrites doivent être mises en œuvre. La norme NF Z42-013 précise que des attestations électroniques doivent être produites par le système d’archivage électronique mais ne précise pas la manière dont il faut les produire. Il appartient à chaque utilisateur de la norme de définir comment produire les attestations, quel format elles devront avoir, quelles métadonnées elles devront embarquer, quel moyen cryptographique elles devront utiliser pour en préserver l’intégrité et authentifier le producteur de l’attestation »,souligne Christian Dubourg, directeur marketing produit chez Spark Archives.

Christian Dubourg

Il existe toutefois depuis 2012 la marque NF 461, une certification qui atteste qu’une solution visant la dématérialisation et l’archivage électronique de documents respecte les conditions et normes en vigueur permettant de préserver la valeur probatoire des documents traités et d’en archiver une copie électronique fidèle, pouvant conduire à l’abandon de la conservation des originaux papier. « La marque NF 461 apporte la preuve que les performances et le niveau de qualité des produits en place sont conformes à la norme : marque de qualité avec des règles d’usage déposées, délivrée par Afnor Certification, organisme certificateur impartial et indépendant. Elle est attribuée après des contrôles rigoureux. Elle utilise la norme comme document de référence et apporte la preuve que les exigences qualité, de sécurité, de fiabilité qui y sont décrites sont remplies », explique Christian Dubourg,

Peu d’acteurs certifiés sur le marché

Les entreprises certifiées en France ne sont pas nombreuses, qu’elles exploitent cette certification pour elles-mêmes ou, en tant que tiers archiveurs, pour leurs clients. On dénombre AM Trust, CDC Arkhinéo, Corus SAS, Docapost DPS, Edokial, Euro Information, Everteam Software, GIE Archidata, Locarchives, Numen Solutions et Tessi documents services. Les autres acteurs du marché de l’archivage revendiquent quant à eux une conformité à la norme NF Z042-013. Cette dernière n’est toutefois pas obligatoire pour fournir aux contenus archivés une vocation probatoire. Pas plus que la marque NF 461, qui démontre qu’un SAE (système d’archivage électronique) est conforme à la norme NF Z42-013. « La valeur probatoire repose sur des fonctionnalités d’horodatage, d’intégrité, d’imputabilité et de traçabilité. Ces quatre éléments sont intimement liés au fonctionnement du logiciel. Une GED ou un système collaboratif sont mis à disposition de l’utilisateur final. Un SAE non, il est mis en place pour servir des besoins métiers, des règles définies dans l’entreprise, elle-même définie pour être en conformité », explique Dominique Lhopital, directeur général d’Arcsys Software. Ces règles sont contenues dans la fameuse politique d’archivage qui garantit l’objectif principal du SAE : conserver des données pour pouvoir les restituer à terme, tout en assurant une chaîne de confiance tout au long de la vie des archives.

De l’éligibilité du document à sa fin

L’archivage à valeur probatoire est vu comme un processus complet qui débute au moment précis où le document devient éligible au statut d’archive (lorsque son contenu est figé) et qui se prolonge jusqu’à ce que cette archive soit périmée. Dans cet intervalle, chaque événement (capture, consultations ou tentatives indues de consultation, destructions, etc.) doit être tracé, de telle sorte qu’aucun doute ne puisse exister quant à la validité du document archivé. L’association des différentes briques technologiques permettant ces contrôles forme le SAE : autour d’une plateforme de conservation, qui correspond à la composante physique du système d’archivage électronique, s’articulent plusieurs dispositifs permettant d’assurer la sécurité, la traçabilité, l’horodatage, le scellement et la pérennisation des documents. « Nos différents modules pré-déploient les configurations attendues par la NF Z42-013. Par exemple, dans le module de traçabilité, plus de 400 des actions possibles dans le SAE sont traçables en cliquant simplement sur un bouton », indique Noureddine Lamriri VP product management chez Everteam.

Le succès des tiers archiveurs

Faire certifier sa propre solution n’est pas à la portée de toutes les entreprises. Les contraintes logicielles sont multiples mais aussi les prérequis d’infrastructure. « La norme NF Z42-013 recommande en termes de support deux sites distants localisés en France. Si on y ajoute toutes les briques logicielles nécessaires à réaliser la vocation probatoire, on comprend que la plupart des PME peuvent avoir des difficultés à mettre elles-mêmes en place cette solution », illustre Charles Du Boullay, PDG de CDC Arkhinéo. Les spécialistes de l’archivage travaillent tous leur argumentaire mais c’est globalement la facilité de l’externalisation qui est mise en avant. « Les entreprises qui possèdent déjà des solutions d’archivage voient dans la NF 461 un tampon permettant d’éviter de se poser la question de la conformité à chaque fois qu’il y a un litige. Si ces entreprises veulent elles-mêmes obtenir la certification, il leur faut franchir un palier, répondre à un cahier des charges lourd. Si l’écart de faisabilité est trop important entre leur système existant et les exigences de la certification, il vaut mieux abandonner la solution en place au profit d’une nouvelle. Lorsque l’entreprise ne part pas de grand-chose en matière d’archivage, le choix de l’externalisation est une réponse rapide et pertinente qui s’appuie sur une plateforme déjà certifiée », souligne Éric Jamet directeur marketing, stratégie et innovation de Tessi documents services.

Quand la blockchain rencontre l’archivage

« Notre système d’archivage électronique est déjà dans une blockchain privée. »
Vincent Jamin, Docapost

Entre le déploiement interne et le recours à un tiers existe-t-il une voie médiane ? La blockchain est peut-être une réponse. Son intérêt pour l’archivage est de permettre de chaîner, partager, horodater et sécuriser toute transaction en préservant son intégrité, sa fiabilité, son authenticité et sa lisibilité. « Lorsqu’on parle de chaînages de journaux et de blockchain, il y a un petit air de famille. La blockchain ne remplace pas l’archivage mais s’en sert au contraire pour s’enrichir. La blockchain chaîne des transactions et garantit leur existence, mais elle ne traite que des transactions alors que l’archivage gère des documents ou des objets qui sont des supports à des transactions. Le couple blockchain et archivage est un ticket gagnant », estime Vincent Jamin, directeur division dématérialisation services de confiance chez Docapost. « Notre système d’archivage électronique est déjà une blockchain privée. Nous journalisons des journaux en permanence, et ces blocs de journaux s’enchaînent les uns aux autres, mais on est sur une technologie de blockchain qui n’est pas distribuée. On peut imaginer passer demain sur les systèmes plus ouverts », renchérit Emmanuel Faure, directeur marketing de Locarchives.

La blockchain ne répond pas à tout

Cette notion qui rapproche une blockchain publique, comme celles qu’utilisent les cryptomonnaies, d’une blockchain privée comme peut l’exploiter un SAE pour chaîner l’ensemble des événements, Laurent Richardeau, directeur général délégué de Numen Solutions, la souligne également. « Il existe toutefois une contrainte en termes de coût de la transaction blockchain, qui peut devenir très vite rédhibitoire si celle-ci est appliquée dans le cadre de l’archivage.
En outre, la blockchain ne peut répondre à une politique d’archivage qui doit porter sur l’évolution du format, la typologie des documents ou encore la durée de conservation. Enfin, l’archivage à valeur probatoire doit s’effectuer dans le respect du RGPD, or la technologie blockchain est dans sa conception incompatible avec les enjeux de droit à l’oubli ou de modification », relève-t-il.

 


Les quatre couches formant le SAE

La structure d’un système d’archivage électronique repose sur différentes couches. La première, constituée d’interfaces d’accès (ou de versement) et de restitution des données, est le front office d’un système d’archivage. Elle couvre elle-même une couche de structuration qui définit notamment comment sont organisées les métadonnées et comment sont sécurisés les accès. On pénètre ensuite dans le back office du système avec deux couches plus basses dédiées à la conservation et au stockage. Les enjeux de la conservation incluent la politique de rétention (durée de conservation, d’usage, sort final, etc.), et les problématiques de valeur probatoire et de pérennité. Quant à la couche dédiée à la gestion des supports de stockage, elle détermine une grande partie des coûts d’usage induits par un SAE. Cette dernière partie accueille en outre le fameux coffre-fort électronique. Dans ce modèle général, l’entreprise conserve la main libre sur les deux couches du front office à partir desquelles elle peut décider de créer et d’organiser les différentes composantes, mais elle n’a aucun accès aux couches du back office qui confèrent à un SAE sa vocation probatoire.