L’archivage numérique probant
A l’occasion de la publication par la Fédération Nationale des Tiers de Confiance de la 2ème édition du Vade-mecum juridique de la dématérialisation des documents ; Moreq 2 et archivage sécurisé (collection les formations de la FNTC), faisons le point sur la notion d’archivage numérique probant dans Moreq2.
Dans un contexte réglementaire où les besoins de traçabilité des documents numériques sont croissants, les entreprises et collectivités doivent s’appuyer sur les recommandations de Moreq 2 (Modèle d’exigences pour l’organisation de l’archivage électronique), qui définissent un cadre pour l’archivage électronique.
Moreq2 reprend les éléments fonctionnels de la norme de gestion des documents d’archives ISO 15489. Le texte et la description de la norme sont disponibles en anglais sur le site web de la Commission Européenne et depuis peu en français sur le site de la DAF.
En matière d’archivage numérique probant, la signature électronique par l’émetteur est indispensable a un document qui doit à la fois être dématérialisé et avoir une valeur légale.
La définition légale de la signature électronique est fixée par l’article 1316-4 du Code Civil : elle « consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ». Elle est définie dans Moreq2 par le chapitre 10.7 : « La signature électronique (parfois appelée signature numérique) consiste en une information qui est attachée ou logiquement reliée à une autre information, par exemple un document électronique à archiver, et qui sert de moyen d’authentification. »
La signature résulte donc de l’association de trois éléments : un document daté, un cryptage et un certificat.
- Le cryptage permet de protéger les informations, de chiffrer des fichiers ou des zones de fichiers et de désigner les utilisateurs qui ont les droits d’accès à ces zones. Il est généré par la combinaison de deux clés : une « privée » spécifique au signataire, et une « publique » fournie par un tiers certificateur. Il revient au signataire de garder sous son contrôle le dispositif de création de sa signature électronique, au risque de voir sa responsabilité engagée.
- Le certificat établit une correspondance entre une personne, une identité et une clé publique; il permet de vérifier la probité de la clé publique envoyée par un correspondant employant une signature électronique. L’entreprise ou la collectivité émettrice garde la maîtrise juridique et administrative de délivrance des certificats numériques, établit le lien entre une personne et un certificat. L’agent certifié peut alors effectuer des téléprocédures : TéléTVA, URSSAF …
- Enfin, un jeton d’horodatage va dater le document en liant de façon indissociable une heure, une date et une empreinte.
Certaines lois exigent la conservation intégrale d’une signature pour être probante, tandis que d’autres exigent seulement la conservation des métadonnées de signature.
Ainsi, une des exigences de Mored2 dans la mise en place d’un système d’archivage électronique dit « SAE » consiste dans le respect des normes nationales concernant l’admissibilité en preuve des documents électroniques. Le SAE doit aussi réserver les fonctions système et les actions associées aux seuls administrateurs. Il doit enfin interdire toute modification de document signé et produire une alerte si quelqu’un tente de capturer un document incomplet ou incohérent.
Si Moreq2 est un bon outil pour le choix d’un SAE dans le cadre de l’archivage numérique probant, il conviendra aussi au record manager de s’appuyer sur la norme NF Z 42-01, qui énonce un ensemble de spécifications concernant les mesures techniques et organisationnelles à mettre en œuvre pour l’enregistrement, le stockage et la restitution de documents électroniques…