archivage à valeur probante : outils et prestataires pour mieux sécuriser

 

Pour servir à des fins de preuve devant un tribunal, le document numérique doit respecter un certain nombre de règles de manière à en garantir l'authenticité, l'intégrité et la traçabilité. Certaines entreprises, devant la complexité de mise en œuvre, préfèrent confier cette activité à un prestataire extérieur. D'autres, au contraire, choisissent de devenir leur propre tiers-archiveur.

Suturex, entreprise spécialisée dans la création d'aiguilles de chirurgie médicale, innove en permanence. Pour la protection de sa propriété industrielle, elle stocke, sur des serveurs en interne, les différents textes de son travail dans un coffre-fort électronique communiquant *. Elle dispose ainsi de preuves d'antériorité de ses travaux de recherche et développement dans la phase qui précède les dépôts de brevets. En cas de litige avec un tiers, les documents électroniques déposés serviront à des fins de preuve devant un tribunal. D'autres entreprises choisissent de dématérialiser leurs factures, bulletins de salaire, contrats ou autres documents confidentiels en les confiant à des spécialistes du tiers-archivagei électronique sécurisé. En cas de différend, de contestation ou de contrôle administratif, leur prestatairei leur garantit une restitutioni en ligne ou une extraction, sous quarante-huit heures, de copies certifiées. En effet, depuis la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'informationi et relative à la signature électronique, le document numérique a la même valeur juridique que le document papier, à condition que son auteur soit dûment identifié et que le document soit établi et conservé dans des conditions de nature à garantir son intégrité. Pourtant, à tort, le support numérique a encore bien mauvaise réputation, trop souvent considéré comme peu fiable et peu pérenne. " On vit une véritable révolution culturelle autour de la preuve qui, jusqu'à présent, était souvent sur papier. On est en train de basculer sur un support électronique avec des milliers d'expériences de plantages de systèmes d'information. Jusqu'à présent, on s'en remettait bien parce que les documents étaient également conservés sous un format papier. Or, de plus en plus, les documents n'existent plus qu'en version électronique, il faut donc être particulièrement vigilant à l'identification et la sécurisation de cette information, sinon elle risque d'être rejetée par un tribunal ", explique Charles Du Boullay, directeur général de CDC Arkhinéo, la célèbre filiale de la Caisse des Dépôts et Consignations. C'est cette entreprise, appelée alors CDC Zantax, qui a, dès 2001, déposé le concept de coffre-fort électronique, une solution technologique de signature électronique en mode ASPi (Application Service Provider) permettant l'archivage sécurisé de n'importe quel type de document ou de flux métiers susceptibles de servir de preuve légale.
 
démarche de traçabilité
 
 
Un robot de gravure de la société Asterion, dans son centre de stockage des supports gravés, à Carcassonne. Le coffre-fort, en sous-sol, occupe 400 m2.
 
Pour qu'un document numérique soit à force probante, son auteur doit être identifié et son archivage réalisé dans des conditions de nature à garantir son intégrité. Aujourd'hui, sur le marché, deux offres coexistent. L'archivage électronique à valeur légale peut, au choix, être déployé en interne, ou externalisé chez un tiers-archiveur. Dans le premier cas, l'entreprise doit faire l'acquisition d'une solution logicielle d'archivage à valeur probante, comme, par exemple, le " Coffre-fort électronique communicant " de l'éditeur Cecurity.com. Elle devient alors son propre tiers-archiveur. A elle de mettre en place sa propre solution de stockage en suivant les spécifications techniques liées à la conservationi du document et en assurant la protection physique de ses données électroniques archivées. Dans le deuxième cas, l'entreprise choisit de sous-traiter l'intégralité des processus de sécurisation des documents en les confiant à un tiers-archiveur tel CDC Arkhinéo, Asterion, Aspheria ou encore Orsid, parmi d'autres. En réalité, ces deux offres sont complémentaires et non concurrentes, ce qui explique, d'ailleurs, qu'elles soient toutes deux membres  de la Fédération Nationale des Tiers de Confiancei (FNTC). En effet, l'archivage électronique sécurisé à valeur probante n'est pas une démarche de stockage, mais plutôt une démarche de traçabilité et de signature électronique du document. Un tiers-archiveur peut ainsi très bien faire appel à Cecurity.com pour garantir l'authenticité, la traçabilité et l'intégrité des documents. Le logiciel est d'ailleurs déjà utilisé dans les chaînes de traitement de plusieurs plates-formes du marché. " Le coffre-fort électronique communiquant ne couvre pas tout le cycle de vie de l'information. Il n'est qu'un maillon de la chaîne ", explique Alain Borghesi, de Cecurity.com. " Le coffre-fort électronique, c'est la boîte noire de votre système d'information ", continue-t-il, pour illustrer son propos. Ce que le directeur de système d'information d'une entreprise achète en faisant l'acquisition d'une technologie de signature électronique, c'est le principe que la date et l'heure d'enregistrementi du document ne puissent être altérés, que son auteur sera clairement identifié et qu'à chaque modification de document correspond un scellement, exactement comme s'il était déposé dans un coffre-fort blindé.
 
 
garanties supplémentaires sur les infrastructures

" Recourir à un tiers-archiveur est une garantie supplémentaire de sécurisation des informations. Nous avons travaillé un an et demi sur l'ensemble des processus de sécurisation, nous suivons l'intégralité de la normei Afnori NF Z 42-013 et nous avons mis un an et demi de plus à mettre en place l'ensemble des processus ", affirme Xavier Guillet, directeur marketing d'Asterion, entreprise filiale de la poste belge. Elaborée par l'Association Française de Normalisation, cette norme technique sur l'archivage électronique crée un état de l'art en la manière en attendant que le projet international de norme Iso porte ses fruits. Si elle n'a pas force de loi, respecter les dispositions de cette norme, applicable indifféremment aux documents dématérialisés et aux documents natifs électroniques, permet d'asseoir la conviction d'un juge en cas de litige sur la valeur probante d'un document. Si la norme NF Z 42-013 regroupe tout un ensemble de spécifications techniques et organisationnelles pour l'enregistrement, le stockage et la restitution de données électroniques, respecter les procédures décrites d'archivage électronique sécurisé est complexe et représente une mise en œuvre technique et organisationnelle qui, souvent, dépasse les capacités des services internes à l'entreprise. Confier cette tâche à des prestataires externes est un bon moyen de s'appuyer sur des spécialistes, experts dans leur domaine. Chez Asterion, par exemple, les équipes ont développé des outils et des procédures pour garantir à 100 % la sécurité et la confidentialité des informations : outils de chiffrement pour le transfert des documents entre le client et le tiers-archiveur (cryptage via une technologie de signature électronique issue de Certipost, filiale à 50 % de la poste belge), signature et horodatagei dans le centre de traitement à la réception des archivesi (scellement) et stockage sur disque optique, support recommandé par la norme. Chez CDC Arkhinéo, les processus de traitement sont identiques : calcul d'empreinte (il permet de s'assurer que le document confié n'a pas été altéré), indexationi, horodatage (horloge GPS sur trois satellites), puis mise en place d'une bi-clé publique-privée (qui garantit l'impossibilité de reprise et de modification du document), scellement.
Si ces procédures peuvent être déployées en interne, via un procédé de signature électronique, un tiers-archiveur a l'avantage de gérer les infrastructures et la maintenance sécuritaire des infrastructures de stockage des données : conservation dans des locaux protégés physiquement contre les risques majeurs (incendies, dégâts des eaux, vols, etc.), pérennité et mise à jour des supports de stockage. Chez Asterion, par exemple, on garantit à 100 % la pérennisation des archives. Pour ce faire, le stockage est dupliqué dans deux centres distants en des lieux sécurisés par accès biométrique, à température et humidité optimales de conservation des supports optiques. Tous les ans, les CD sont vérifiés et Asterion s'engage à faire évoluer les supports si les technologies recommandées sont amenées à changer. CDC Arkhinéo, quant à lui, conserve quatre copies du document dès la création de l'archive : archivage dans trois sites distincts plus une sauvegarde quotidienne. Ce tiers archiveuri s'engage aussi à faire évoluer ses supports de manière à en garantir la parfaite conformité avec les normes et les évolutions technologiques.
 
neutralité juridique

" Choisir une solution de signature électronique comme celle de Cecurity.com ou décider de confier l'archivage sécurisé à un tiers-archiveur dépend, surtout, du type d'information et de la taille de l'entreprise. Certaines entreprises, pour des questions de sécurité, refuseront d'archiver des bulletins de salaire en interne et les confieront à un tiers-archiveur pour éviter que d'autres membres du personnel puissent y avoir accès ", explique Marc Chédru, directeur général d'Orsid  récemment nommé vice-président de la FNTC. Mais, surtout, internaliser l'archivage à valeur probante demande la disponibilité de plusieurs sites, soit de lourds investissements tant techniques que humains. Ceci qui explique, aujourd'hui, une tendance lourde à l'externalisationou Outsourcing. L'externalisation désigne la délégation d'une fonction secondaire à un prestataire extérieur, fonction qui pourrait potentiellement être réalisée en interne. L'externalisation concerne les tâches liées au fonctionnement de l'organisation, intervenant beaucoup plus indirectement que les activités opérationnelles sur la production finale de l'entreprise. L'externalisation se distingue de la sous-traitance, qui concerne les opérations contractuelles par lesquelles un entrepreneur confie tout ou partie d'un travail destiné à ses propres clients.">i. Les tiers-archiveurs assurent, aussi, qu'avoir recours à leur services et une garantie supplémentaires de neutralité juridique. Il est peut-être vrai, que devant un juge, qu'une suspicion supplémentaire est levée : l'archive n'a vraiment pu être modifiée et l'horodatage, comme la signature électronique, sont réalisés par des structures qui n'ont aucun intérêt à falsifier ce type de documents.
 
comparatif archivage en interne

 
les +
 les -
 
Solution logicielle interne.
 Le système de stockage et sa sécurisation sont gérés en interne (maintenance technique en interne relevant de professionnels de l'informatique).
 
Complexité technique gérée par le logiciel.
 Investissement préalable important sur les équipements nécessaires pour archiver sur de longues durées et assurer la pérennité des données.
 
Garantie d'intégrité des données déposées.
 Grande complexité de mise en œuvre.

 
tiers-archiveur

 
les +
 les -
 
Garantie de neutralité juridique : le prestataire qui archive est indépendant de son client.
 Activité non réglementée. La mission relève de la liberté contractuelle.
 
Garantie de compétence : assure les évolutions des systèmes pour assurer la pérennité des données.
 Facture à la volumétrie et à la durée de conservation : plus elle est longue et plus le nombre d'archives est important, plus les coûts associés seront élevés.
 
Garantie des procédures d'exploitation adéquates, la sécurité des données et de leur accès.
 Augmentation du nombre d'intervenants.
 
" L'intérêt d'externaliser un document, c'est de vous affranchir de la suspicion que vous avez altéré le document. Ce qu'un tiers-archiveur est à même de prouver, c'est que l'information est là depuis trois jours, par exemple, et que vous n'avez pas pu la modifier. Il est alors facile, pour un expert, de retrouver la traçabilité ", explique Charles Du Boullay, directeur général de CDC Arkhinéo. cet avis n'est, bien entendu, pas partagé par les producteurs d'outils et de technologies de signature électronique.
 

Le Mag

Tout Archimag, à partir de 9,50 €
tous les mois.

Le chiffre du jour

48
C'est le pourcentage des entrepreneurs qui craignent des risques d'erreur administrative liés à la dématérialisation des procédures de création d'entreprise.

Recevez l'essentiel de l'actu !