Dématérialisation et systèmes d’archivage à valeur probante : vers une gestion sécurisée de la preuve numérique ?

La confiance numérique continue à faire parler d’elle et s’invite à la Commission Européenne. En effet, l’Union Européenne  a récemment décider d’harmoniser ses pratiques en matière de signature électronique par la mise en place de « cross-border signature » (cf. article SecurIDNews du 12/06).

Si la  signature électronique conquiert peu à peu ses lettres de noblesse, les tenants et aboutissants d’un de ses usages clés, l’archivage à valeur probante, sont encore à éclairer.

Aujourd’hui, la dématérialisation des documents et des processus est ancrée dans les projets de transformation des SI et représente une véritable priorité pour les DSI.

L’archivage électronique à valeur probante ou « légal » se distingue de l’archivage « classique » par sa capacité à authentifier de manière absolue des documents. Il permet d’utiliser ces documents nativement numériques comme preuves dans le cadre de procédures pénales ou administratives. Mais à quels besoins de sécurité répond la mise en place d’un tel système d’archivage ? Quelles sont les réponses techniques pour construire cette gestion de la preuve numérique ?

Deux piliers de l’archivage : garantir la pérennité et l’intégrité des données de l’entreprise

Encadré par le Code civil et le Code du commerce, l’archivage des documents est un devoir pour les entreprises françaises. Pour respecter le droit à l’oubli imposé par la CNIL, la durée de conservation des documents est limitée dans le temps et varie en fonction de leurs valeurs administratives. Confronté à ces longues durées, il est donc nécessaire de conserver ces documents sous un format pérenne (XML, PDF/A, etc.) dans un Système d’Archivage Électronique (SAE). Durant toute la durée de conservation, le SAE doit également garantir l’intégrité des documents par un stockage fidèle, sans altération ni destruction (ou modification) possible. Vous l’avez compris, c’est la signature électronique qui permet de répondre à ce besoin.

Signature électronique et horodatage – deux réponses techniques à la gestion de la preuve numérique

L’article 1316 du Code civil (13/03/2000) stipule que « l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane ». Pour répondre à ces besoins d’authenticité et de traçabilité, les solutions techniques retenues par les SAE à valeur probante sont respectivement :

  • la signature électronique, préférée à un stockage sur support physique WORM (Write Once Read Many) ;
  • l’utilisation de contremarques de temps signées : les jetons d’horodatage.

L’archivage d’un document dans ces SAE consiste donc à signer électroniquement ce document d’une part et d’y apposer un jeton d’horodatage d’autre part. Ainsi, la signature permet de garantir l’intégrité du document mais aussi l’identité de la personne ayant réalisé l’archivage. Le jeton, quant à lui, permet d’attester la date à laquelle a eu lieu l’archivage.

Un cadre normatif (toujours !) : la NF Z42-013

La norme NFZ42-013 est le référentiel pour tous acteurs du marché, intégrateurs comme fournisseurs en mode SaaS. Cette dernière, très contraignante, spécifie les mesures techniques et organisationnelles à respecter pour concevoir et mettre à disposition un SAE à valeur probante. Cette norme met notamment en exergue la méthodologie à suivre pour un projet : de la création d’une politique d’archivage aux réponses techniques.

En France, les solutions du marché des SAE à valeur probante sont arrivées à maturité et les projets d’archivage sont florissants depuis 2009. Catalysés par les institutions publiques qui montrent l’exemple et le boom de la dématérialisation, le secteur privé a emboité  le pas permettant ainsi de se conformer au cadre réglementaire en vigueur, mais aussi d’optimiser leurs processus et de réaliser des économies.

Ce respect du cadre réglementaire, à l’échelle nationale (et bientôt à l’échelle européenne ?) n’est pas le seul facteur-clé de réussite d’un projet d’archivage. Il est tout aussi crucial d’impliquer les responsables métiers dès la ligne de départ et d’anticiper la peur du changement utilisateurs lors de la prise en main de l’outil. Une fois ces éléments en tête, il n’y a plus qu’à…

 

 

Back to top