Arnaud Belleil : « Plusieurs points de vigilance dans le règlement eIDAS v2.0 »

  • arnaud-belleil-confiance-numerique-reglement-eidas-archivage-electronique.jpg

    reseau-technologie-connexion-confiance-numerique
    En pleine refonte, le règlement eIDAS devrait reconnaître l’archivage électronique comme service de confiance. (Freepik/rawpixel.com)
  • Lors de la Journée de la Confiance numérique le 10 mai, Arnaud Belleil, Directeur conformité de Cecurity.com, représentera la Fédération des Tiers de Confiance du numérique (FnTC) pour l’atelier « Archivage électronique : la brique indispensable de la conformité ». Il nous détaille le contexte réglementaire de l’archivage électronique.

    Quel est le message que vous aimeriez faire passer pour cet atelier ? 

    Je serai là pour rappeler le cadre réglementaire de l’archivage électronique, et notamment l’articulation entre réglementation, normalisation et certification, qui sont des domaines différents, mais avec des interactions et des complémentarités évidentes. Il faut tout d’abord rappeler qu’il n’existe pas de réglementation à proprement parler pour l’archivage électronique, mais deux textes courts et structurants. Tout d’abord l’article L211-1 du Code du patrimoine dans lequel sont définies les archives, soit « l’ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité ». L’on note que les questions du format et du support ne sont pas excluantes, l’article s’applique donc aussi aux données électroniques. 

    Dans le Code civil, l’article 1366 dispose : « L’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». Il y a bien d’autres articles sur des documents plus spécifiques comme la facture électronique ou le bulletin de salaire, mais ils évoquent principalement les durées de conservation.

    L’on peut noter que ces textes réglementaires restent en général au niveau des principes, ils expliquent l’objectif à atteindre, mais ne détaillent pas comment y arriver. 

    Quels textes détaillent les moyens pour assurer un bon archivage des données et documents ? 

    C’est le rôle des normes, qui contrairement aux lois, sont d’application volontaire et sont rédigées par des experts, et non par le législateur. Les normes décrivent l’état de l’art, l’ensemble des bonnes pratiques nécessaires pour atteindre les buts décrits par les textes législatifs. Dans ce domaine, la norme principale, qui a été mise à jour en octobre 2000, est la norme AFNOR NF Z 42-013, qui concerne les systèmes d’archivage électronique (SAE). On peut aussi citer la NF Z 42-026 sur la numérisation fidèle et la NF Z 42-020 sur le composant coffre-fort numérique. 

    Et il y a ensuite des certifications afférentes à ces normes, que je compare souvent au diplôme du baccalauréat par rapport au programme de Terminale : c’est la preuve apportée par une autorité extérieure que tout a bien été appris, et appliqué. Pour l’archivage électronique, la certification NF 461 correspond à la norme NF Z 42-013, la NF 544 à la NF Z-42-026, et la NF logiciel 203 Composant coffre-fort numérique à la NF Z 42-020. 

    Il y a ainsi trois niveaux complémentaires pour la conformité de l’archivage électronique : la loi qui énonce des principes généraux, dont « garantir l’intégrité », les normes qui détaillent les moyens, notamment cryptographiques comme les empreintes, et la certification qui vérifie que les exigences de la norme sont bien appliquées. Cette complémentarité entre les textes est source de confiance. 

    L’archivage électronique devrait devenir un service de confiance selon le projet de règlement européen eIDAS v2.0. Que cela vous inspire-t-il ? 

    C’est a priori une bonne nouvelle, mais il y a plusieurs points de vigilance auxquels il faudra faire attention. L’archivage électronique, tel qu’il a été défini en France, est basé sur des principes comme l’intégrité, la pérennité, la traçabilité, et ne se résume donc pas au seul stockage de données, comme peuvent par exemple le faire les Gafam. Le règlement eIDAS a pour ambition d’œuvrer pour la souveraineté numérique européenne, il ne faudrait pas qu’un fossé se crée entre l’intention et la mise en pratique… 

    Quelles sont les grandes évolutions du secteur dans les années à venir selon vous ?

    J’ai l’impression que s’opère une forme de convergence entre l’archivage électronique, la protection des données personnelles telle qu’on la connait dans le RGPD, et la sécurité de l’information, au sens de la norme ISO 27001. Ce sont trois domaines de la confiance numérique, historiquement de culture différente, mais qui s’influencent de plus en plus, au niveau des méthodes et des pratiques. 

    Il faut aussi noter que, par nature, l’archivage doit absorber les évolutions, les innovations et éviter les effets de mode pour s’inscrire dans la durée. 

    Quel rôle peut jouer la FnTC pour accompagner le marché de l’archivage électronique et ses utilisateurs ? 

    La FnTC a un positionnement fort et unique grâce à la diversité de ses membres, des éditeurs de logiciels, des tiers archiveurs, des juristes, des experts techniques, des professions réglementées, des institutions, des start-ups… La Fédération est un véritable réceptacle d’expertises, le lieu où se définit l’état de l’art, notamment avec des publications sur les bonnes pratiques, des textes de référence et des groupes de travail. Elle accomplit également une œuvre de communication et de sensibilisation, sans oublier son action dans le domaine de la normalisation. Grâce à l’ensemble de ses activités, la FnTC contribue véritablement à la confiance numérique.

    Inscrivez-vous dès maintenant à la table ronde “Archivage électronique : la brique indispensable de la conformité” en cliquant ici et connectez-vous le 10 mai dès 13h45.

    fntc-logo.png

    Contact
    Fédération des Tiers de Confiance du Numérique (FnTC)

    43, rue DOUAI 75009 Paris
    +33 (0)6 89 84 73 65
    infos@fntc-numerique.com

     

    À lire sur Archimag
    Le chiffre du jour
    1
    est en moyenne signalée toutes les semaines dans les établissements de santé depuis janvier 2021. Les hôpitaux ont subi 27 cyberattaques majeures - qui ont effectué tout ou partie de leurs systèmes d'information - en 2020.

    supplement-confiance-numerique-270500.png