Traitement de l'information - Une nouvelle norme pour les systèmes d'archivage électronique
La nouvelle version de la norme française NF Z 42-013, homologuée par le directeur général d'Afnor le 4 février 2009, est entrée en vigueur le 4 mars 2009. Cette nouvelle version constitue "le" référentiel permettant d'évaluer la force probante des systèmes d'archivage électronique, a fortiori pour les collectivités territoriales, dans la mesure où le Code des marchés publics oblige les pouvoirs adjudicateurs à spécifier leurs exigences, notamment par référence aux normes (art. 6, modifié par le décret 2008-1334). Cette nouvelle version était très attendue car elle est largement utilisée pour auditer la conformité des systèmes d'archivages électronique aux exigences techniques et juridiques, d'une part, de copie fidèle et durable, issue de la loi du 12 juillet 1980 et, d'autre part, d'identification et d'intégrité, issue de la réforme du droit de la preuve du 13 mars 2000. En l'absence de texte général portant sur la preuve administrative électronique, le Conseil d'Etat a rendu, le 31 mai 2008, un avis sur les exigences génériques auxquelles la signature, en l'occurrence fac-similée, doit répondre, à savoir l'identification de l'autorité ainsi que le contrôle et l'autorité que cette dernière doit conserver sur les informations contenues dans l'acte. L'arrêté du 27 juin 2007 relatif à la dématérialisation des opérations en comptabilité publique, pris en application du Code général des collectivités territoriales, vise expressément les dispositions du Code civil issues de la réforme du 13 mars 2000.
Historiquement, la première version de la norme NF Z 42-013 de juillet 1999, visait à définir les conditions techniques et organisationnelles permettant de répondre aux exigences de durabilité, définie par la loi, et de fidélité, non définie par la loi. Ainsi, la norme NF Z 42-013 définit la fidélité comme l'aptitude à reconstituer toute l'information nécessaire aux usages auxquels le document d'origine était destiné. Compte tenu de l'adaptation du droit de la preuve à l'électronique et de l'introduction de l'équivalence de la signature électronique à la signature manuscrite, issues de la loi du 13 mars 2000, la norme NF Z 42-013 fût modifiée en décembre 2001 pour prendre en compte la signature électronique. Outre les nombreuses options, complexifiant l'application de la norme NF Z 42-013, la norme NF Z 42-013 privilégiait le support physique "Worm" (Write once ready many), non-réinscriptible. La généralisation des baies de stockage, comprenant des supports (disques) réinscriptibles, sous réserve de protection logique des fichiers de toute suppression ou modification pour la durée de conservation initialement arrêtée, se heurtait à l'obsolescence de la norme NF Z 42-013 ne reconnaissant que le support physique Worm.
La nouvelle version de la norme NF Z 42-013 arrive à point nommé pour les organisations qui souhaitent disposer d'un référentiel de conformité et mesurer la conformité des systèmes d'archivage électronique basés sur le Worm logique aux exigences de copie fidèle et durable ainsi que d'identification et d'intégrité. La norme NF Z 42-013 ne limite pas l'option au Worm physique ou logique, mais admet le recours aux supports réinscriptibles, sous réserve du recours à la cryptologie, dont l'usage est totalement libéralisé, voire à la signature électronique, selon le niveau de sécurisation recherché. La conformité du système d'archivage électronique repose, non seulement sur le système informatique, mais également des politiques d'archivage et de sécurité, auxquelles la norme NF Z 42-013 renvoie. Concernant le secteur public, la norme NF Z 42-013 fait expressément référence aux référentiels suivants :
- P2A (politique et pratiques d'archivage) publiée par les services du Premier ministre (SGDN/DCSSI Archivage électronique sécurisé - P2A - Politique et pratiques d'archivage (sphère publique), 24 07 2006) ;
- RGS (référentiel général de sécurité), qui comporte des exigences organisationnelles et techniques ;
- RGI (référentiel général d'interopérabilité), notamment sur les formats de fichiers et de documents.
Autant dire que la conception du système d'archivage ne peut être limitée au seul système informatique, sans avoir identifié au préalable les pré-requis, notamment réglementaires, qui déterminent la politique d'archivage d'une organisation. La norme NF Z 42-013 contient un avertissement sur la prise en compte des exigences liées à la législation sur la protection des données à caractère personnel, faute de quoi, le système d'archivage électronique se heurterait à une impossibilité juridique de mise en oeuvre, voire au rejet des preuves en résultant. A l'instar des archives publiques, pour lesquelles les tiers archiveurs relèvent d'un régime d'agrément instauré par la réforme du 15 juillet 2008, la norme NF Z 42-013 impose de nouvelles exigences aux prestataires d'archivage et précise les clauses contractuelles minimales devant figurer dans les contrats liant ces fournisseurs à leurs clients. Ces exigences, auxquels fournisseurs et clients devront se conformer à l'avenir impliquent, pour ces derniers, d'auditer les solutions et contrats en vigueur afin d'identifier les écarts en résultant et s'assurer de leur mise en conformité.
Philippe Ballet, avocat / Cabinet Alain Bensoussan