Découvrez L'Archiviste Augmenté, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des archives et du patrimoine !
Le 26 mars 2024 restera comme une date fondatrice pour la filière du numérique de confiance. Ce jour-là, le projet de révision du règlement eIDAS était adopté par le Conseil de l’Union européenne (UE), près de dix ans après sa première version et au terme de plusieurs années de discussions. Cette V2 vise à renforcer les services de confiance au sein de l’UE et porte sur de nouveaux services de confiance, notamment l’archivage électronique.
L’article 3.48 de la V2 d’eIDAS (electronic IDentification, Authentication and trust Services) définit l’archivage électronique comme "un service assurant la réception, le stockage, la récupération et la suppression de données électroniques et de documents électroniques afin d’en garantir la durabilité et la lisibilité, ainsi que d’en préserver l’intégrité, la confidentialité et la preuve de l’origine pendant toute la période de préservation".
Pour Sandrine Hilaire, responsable de la Commission Confiance numérique et Archivage chez eFutura et présidente de la Commission de Normalisation 171 de l’Afnor Archivage électronique, "cette définition repose sur une définition du cycle de vie du document et des données électroniques bien connue des éditeurs de solutions d’archivage électronique".
Lire aussi : Dans les coulisses du règlement eIDAS 2
Les effets d’eIDAS 2 portent sur plusieurs segments de l’archivage électronique :
La réception :
- vérification de l’origine, de l’intégrité et de la lisibilité des documents,
- versement dans le système d’archivage électronique,
- intégration des éléments garantissant la confidentialité attendue,
- horodatage de la réception.
Le stockage :
- localisation au sein de l’UE,
- redondance géographique multiple,
- sécurité physique et cyber,
- restauration et gestion des incidents,
- gestion de l’obsolescence technique (migration),
- séparation des données par abonné,
- traçabilité des opérations liées au stockage.
La récupération :
- restitution des documents et données avec intégrité garantie,
- génération d’un rapport prouvant l’intégrité depuis de la conservation.
La suppression :
- élimination sécurisée en fin de période de conservation,
- production d’un rapport confirmant l’intégrité jusqu’à l’extraction de l’archive.
Lire aussi : Le cadre juridique de la signature et du coffre-fort électroniques
Prestataire de services de confiance qualifié
La filière de l’archivage électronique va désormais être confrontée au choix de satisfaire (ou pas) aux obligations d’eIDAS 2 afin de devenir un SAEQ (service d’archivage électronique qualifié). Celui-ci est spécifiquement défini comme "un service d’archivage électronique qui est fourni par un prestataire de services de confiance qualifié et qui satisfait aux exigences prévues à l’article 45" du règlement européen.
Pour Sandrine Hilaire, "un prestataire de services de confiance qualifié est un prestataire ayant obtenu le statut qualifié de l’organe de contrôle et fournissant un ou plusieurs services de confiance qualifiés". Mais, selon elle, le règlement eIDAS 2 concerne également les prestataires qui proposent des services d’archivage non qualifiés : "tout prestataire de service d’archivage électronique va devenir un prestataire de service de confiance, qualifié ou non".
Présomption de fiabilité
Sans surprise, eIDAS 2 comporte un important volet juridique qui change la donne par rapport aux services d’archivage présents en France. Les données électroniques et les documents électroniques préservés à l’aide d’un service d’archivage électronique qualifié bénéficient désormais d’une présomption quant à leur intégrité et à leur origine pendant la durée de la période de préservation par le prestataire. "C’est l’intérêt majeur de la qualification", précise Sandrine Hilaire : "apporter une fiabilité démontrable justifiant cette présomption. En cas de litige, c’est à la partie adverse de démontrer que les documents et les protocoles ne sont pas préservés de manière intègre, pérenne et sécurisée".
Et ce n’est pas parce qu’un SAE n’est pas qualifié que les éléments qu’il produit peuvent être écartés comme preuve en justice : "il est important de le comprendre", ajoute Sandrine Hilaire : "l’article 45 decies 1 prévoit que les données et documents électroniques archivés par un SAE ne peuvent être privés d’effet juridique ou écartés comme preuve de justice au seul motif qu’ils sont électroniques ou non archivés par un service qualifié."
Lire aussi : eIDAS 2.0 : vers un portefeuille d’identité numérique européen
Une chose est sûre, le règlement eIDAS 2 et la norme NF 461 vont cohabiter pendant un certain temps et cette dernière ne disparaîtra pas du jour au lendemain. Le scénario le plus probable est la coexistence des deux textes, que les prestataires choisiront en fonction des besoins et des attentes des clients.
Des turbulences sur le marché français des prestataires
Un service qualifié en France sera donc reconnu en Allemagne et inversement, une reconnaissance mutuelle qui sera déclinée à l’échelle des 27 États membres de l’UE. "Cela devrait entraîner une ouverture du marché, une diversification des acteurs et une homogénéisation des pratiques", fait remarquer un observateur du marché.
Qui dit ouverture du marché, dit parts de marché à conquérir, mais pas seulement… Lors d’une réunion organisée par l’association e-Futura, un prestataire n’a pas hésité à mettre les pieds dans le plat : "je ne vais pas me payer une double certification NF 461 et eIDAS 2 ! Cela coûte des jours et des jours de modification de documentation, c’est stérile !" D’autres, désireux de s’installer en Espagne ou en Lettonie, n’auront d’autre choix que la certification eIDAS 2.
Pour Noureddine Lamiri, directeur product marketing chez l’éditeur Everteam, ce marché pourrait connaître des turbulences : "la réglementation eIDAS V2 sera très probablement un formidable catalyseur du déploiement de solutions d’archivage électronique en Europe. Cependant, une redistribution du marché semble inévitable, et cela risque de se faire au détriment des PME françaises du secteur". À ses yeux, la nouvelle version d’eIDAS vient en effet "perturber un marché français jusqu’ici relativement stabilisé et sanctuarisé grâce à l’adoption de la marque NF 461, qui faisait office de référence nationale".
Selon lui, le flou persiste aujourd’hui quant à la cohabitation entre les exigences d’eIDAS V2 et celles de la certification NF 461, "ce qui n’envoie pas un signal favorable aux acteurs français". Par ailleurs, il estime qu’eIDAS V2 va décloisonner les marchés nationaux, ouvrant la voie à de nouveaux concurrents européens. "Les plus optimistes diront que cela permettra de faciliter l’exportation des offres françaises sur l’ensemble du territoire européen… Ce qui reste à démontrer".
Autre volet, celui des procédures de certification au sein des pays membres de l’UE : le processus de certification restera piloté par les autorités compétentes de chaque pays (comme l’Anssi en France), ce qui soulève une question cruciale : l’harmonisation réelle des procédures de certification entre États membres.
"À ce jour, le doute demeure", indique Noureddine Lamriri, qui craint qu’en l’absence d’une véritable harmonisation, les règles du marché reprennent leurs droits. "Même si la réglementation est harmonisée sur le papier, la commercialisation des services d’archivage ne le sera probablement pas dans les faits. Ce sera, comme toujours, une question d’offre et de demande. L’essentiel est que les clients ne soient pas dupés par des offres non conformes ou trompeuses".
Lire aussi : Éclairage juridique : avec eIDAS 2.0, l’archivage électronique est enfin reconnu au plan européen !
Acte d’exécution d’eIDAS 2
Pour être en mesure de se prévaloir de la qualité de "qualifiés", les services d’archivage électronique devront satisfaire aux exigences de l’article 45 undecies du règlement eIDAS 2. Ils sont présumés respecter ces exigences lorsqu’ils respectent les normes, spécifications et procédures qui seront fixées par la Commission européenne dans un acte d’exécution.
Pour autant, les planètes ne sont pas encore parfaitement alignées. L’acte d’exécution d’eIDAS 2 (qui autorise sa mise en œuvre) était attendu pour le 21 mai dernier. Au moment de la rédaction de cet article (fin juin 2025), le "draft" de l’acte d’exécution sur ce service de confiance n’est pas encore publié ni ouvert à commentaires. Après une période de trois semaines de commentaires publics, une version finale est prévue pour le troisième trimestre 2025.
