Voici une question qui revient fréquemment. En termes d’engagements et de responsabilités vis-à-vis des documents confiés, qu’est-ce qui fait la différence entre un tiers-archiveur et un logiciel de gestion d’archives accessible chez un hébergeur ? Philippe Delahaye, directeur Commercial & Marketing de CDC Arkhineo, répond à la question
Sur le papier, un hébergeur met à disposition de ses clients une infrastructure informatique sécurisée, constituée d’un ensemble de serveurs, de baies de stockage, de switchs et d’autres équipements informatiques, ainsi que de l’alimentation électrique et des moyens de climatisation. Son engagement porte donc essentiellement sur la qualité du service proposé, notamment en matière de disponibilité (délai de rétablissement en cas de pannes correspondant à des niveaux de service, etc.), mais aussi de performances (temps de réponse lié à la capacité réseau et à la bande passante, etc.) et de sécurité du service et des accès aux serveurs (et éventuellement le chiffrement des données sensibles). L’éditeur, quant à lui, que son modèle soit basé sur un coût « one shot » ou sur un abonnement, vend une licence d’utilisation du logiciel et fournit la maintenance corrective et évolutive du logiciel (et le support téléphonique).
Une obligation de moyens
L’hébergeur s’engage à mettre en place les mesures techniques et organisationnelles de nature à empêcher tout accès non autorisé aux serveurs et logiciels ou utilisation frauduleuses des données. Comme dans la plupart des contrats de service, l’obligation pesant sur l’hébergeur est une obligation de moyens, la charge de la preuve du manquement incombant au client. Le client pourra certes réclamer le paiement des pénalités prévues dans la SLA (engagements de qualité de service) au cas où le niveau de service promis ne serait pas conforme, mais s’il souhaite être indemnisé d’un quelconque préjudice (ce qui, en droit, est différent des pénalités qui compensent une mauvaise qualité de service) c’est lui qui devra prouver le comportement fautif de l’hébergeur et le rechercher en responsabilité (et éventuellement vis à vis de l’éditeur).
Éditeur chez un hébergeur : une responsabilité floue
Il conviendra également d’être vigilant dans le cas où un éditeur installe son logiciel pour son client chez un hébergeur et laisse supposer qu’il est ainsi “riers-archiveur”, mais sans aucun engagement sur les données, ni sur le respect des contraintes normatives en matière de conservation des données numériques. Par ailleurs, dans le cas où les documents ainsi archivés sont susceptibles de contenir des données personnelles, il convient d’être attentif à la localisation des données et la nationalité de l’hébergeur (dans le cas où celui-ci hébergerait les données hors du territoire de l’UE et/ou s’il n’est pas de « nationalité » européenne, il sera indispensable d’obtenir une dérogation de la CNIL). L’éditeur n’est ainsi responsable que du support, de la maintenance corrective et évolutive de son logiciel, et l’hébergeur de la mise à disposition de moyens techniques. Ce qui peut être à l’origine de grosses déconvenues pour le client qui, d’une part, pourrait perdre des données (avec toutes les conséquences qui en découlent) et d’autre part, ne disposerait d’aucun recours en responsabilité ni contre l’éditeur, ni contre l’hébergeur.
Le “tiers-archiveur” doit montrer “patte blanche”
En matière d’archivage électronique, tout l’enjeu réside dans la fourniture d’un service destiné à garantir le maintien de la valeur probante des documents et leur conservation dans le temps. Le tiers-archiveur doit donc offrir des garanties supplémentaires par rapport à un simple hébergeur. Peu importe les temps de réponse ou la nature des supports de stockage, l’important ici c’est bel et bien la pérennité des documents, à laquelle s’ajoutent d’autres notions comme l’intégrité, l’intelligibilité, la traçabilité, la confidentialité, l’identification et la localisation des données. La faute sera donc présumée du seul fait de la non réalisation de l’objectif fixé, principe même de l’obligation de résultat. Cette dernière obligation naît du rôle de tiers dans son sens légal.
Une confiance renforcée avec eIDAS ?
Ainsi, quel que soit le service offert (authentification, signature, horodatage, archivage, preuve…), la notion de tiers impose une véritable reconnaissance. Et de ce côté-là, le principe de la certification constitue un bon moyen de consolider l’environnement de confiance dont l’économie numérique a besoin. La certification NF461 (basée sur un audit réalisé par des auditeurs agréés utilisant un même référentiel agréé à cette fin) permet au client de s’assurer que le tiers-archiveur réalise sa prestation selon les « bonnes pratiques » définies dans les normes AFNOR NF Z42-013 et ISO 14641-1. Le règlement eIDAS de juillet 2016 tient compte de ce principe et introduit un certain nombre de nouvelles règles, parmi lesquelles la reconnaissance du document électronique en tant que preuve devant la justice, mais aussi la création d’une « qualification » des prestataires. Afin d’aider à la transparence, chaque Etat membre se voit dans l’obligation d’établir des listes des prestataires de services de confiance qualifiés (PSCO) et des services de confiance offerts, qui pourront dès lors se prévaloir du « label de confiance de l’Union » et pourront être repérés grâce à son logo.
Sécurité renforcée
Pour être qualifiés PSCO, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, respect des normes de référence (NF Z 42-013, ISO 14641-1 et ISO 27001) etc. L’interopérabilité technique des systèmes passe donc par la coopération des pays membres. Précisons enfin que pour obtenir cette fameuse « qualification », les prestataires de services de confiance devront se soumettre à des audits attestant du respect des mesures définies dans les standards adossés au règlement.
Moralité : avant de se lancer dans l’archivage électronique, les organisations ne doivent pas regarder uniquement la face émergée de l’iceberg, mais aussi tenir compte de tout le reste et plus particulièrement des certifications/qualifications, engagements et responsabilités du prestataire choisi.