Réunion du Club utilisateurs Arcsys

Le club utilisateurs ARCSYS a tenu sa 12^e réunion le 29 septembre dernier avec les grandes entreprises et administrations clientes de la plateforme de conservation et de pérennisation.

Deux sujets ont été abordés pendant cette séance :

1. Une présentation de la Marque NF 461, faite par un des six certificateurs habilités à procéder à une certification d’un environnement (Gabriel GIL).
2. Une présentation du Règlement européen eIDAS (Electronic identification and trust services), faite par Isabelle RENARD, avocate.

J’y ai participé et propose ce compte rendu aux membres du CR2PA.

[protected]

Marque NF 461

Rappel Norme/Certification

La norme AFNOR NF Z42-013 (qui existe également au niveau de l’ISO sous : ISO 14641-1) est une norme décrivant les exigences qu’un Système d’Archivage Electronique doit suivre.

Il existe également une norme NF 42-020 pour le coffre-fort électronique (CCFN).

Adossées à ces normes, des marques ont été créées pour certifier qu’un système est conforme à une norme.

La marque NF 461 est liée à la NF Z42-013. Elle ne peut pas être obtenue par un éditeur pour certifier son produit car cela concerne l’environnement opérationnel. Elle est donc liée à l’utilisation du système dans un contexte utilisateur.

En revanche, la marque NF 203, liée à la NF 42-020, s’applique à un produit logiciel et peut donc être obtenue par un éditeur.

La certification ne concerne pas que les aspects techniques mais bien tout le système.

Pour être certifié, le processus recommandé est le suivant :

• Bien identifier le périmètre concerné
• Faire un audit interne pour mesurer les écarts
• Se faire auditer par un expert

Un point faible souvent relevé est lié à l’insuffisance de la documentation qui doit décrire le système et les procédures associées. Si on est ISO9001, cela facilite les choses car le sujet doit déjà avoir été traité.

Au niveau du coût, il faut compter 10K€ pour l’audit proprement dit, à ajouter au droit d’utilisation de la marque, indexé sur le CA de l’entreprise.

Questions/réponses

Au cours de l’échange, le sujet d’un archivage d’un document signé électroniquement a été évoqué. Bien qu’une signature ne soit valide que 5 ans environ. Il n’est pas nécessaire de re-signer même si le document a une durée de conservation supérieure à ces 5 ans. Le SAE doit fournir un système d’empreinte permettant de garantir l’intégrité du document. C’est cette empreinte qui doit être éventuellement renouvelée si l’algorithme utilisé est obsolète. TOUS les documents archivés reposant sur cette empreinte devront avoir leur empreinte recalculée ! Mais comme l’annonce de l’obsolescence d’un algorithme se fait longtemps en avance, cette mise à jour est gérable.

Réglement eIDAS

Cette présentation a été faite par Isabelle RENARD, avocate.

Le règlement eIDAS (Electronic identification and trust services)  a pour but de faciliter les transactions électroniques au sein de l’Union Européenne pour les organismes publics (mais les entreprises privées peuvent s’en inspirer).

C’est un règlement qui s’impose à tout état membre de la communauté européenne (pas besoin de directive) et qui s’appliquera dès l’été 2016.

Le règlement présente 2 volets :

• Identifiant électronique: 3 niveaux d’identification sont présentés. Selon le risque sous-jacent, il faudra déterminer le niveau retenu parmi trois niveaux : Faible, Substantiel et Elevé.

Petit rappel sur l’identification vs. authentification

• L’identification est le moyen utilisé pour vous représenter
• L’authentification est un processus pour confirmer l’identification.

• Service de confiance: ce volet précise les différents services rattachés :
  • Signature et cachet : La signature électronique est réservée aux personnes physiques alors que le cachet est dédié aux personnes morales. Le règlement n’évoque pas la possibilité de signer une information avec un cachet mais parle simplement de la notion d’intégrité. En effet, dans certains états, la signature d’une personne morale n’est pas reconnue.
  • Horodatage : ce service permet de dater des données électroniques (utilisation d’une signature/un cachet électronique avancé)
  • Recommandé électronique : pour s’assurer que les données électroniques ont été envoyées et reçues de manière intègre (l’accusé de réception fait partie du service). Ce service a la même valeur que le recommandé physique postal.  .
  • Authentification de Site internet

 

Le service autour de l’« Archivage » n’est pas traité pour l’instant. En revanche, qui dit signature dit engagement sur le contenu et qui dit document engageant dit archivage 🙂

Cela pourrait avoir un impact sur règlements/normes français comme le RGS, la 42-013…

Nouvelle loi luxembourgeoise

Pour information, le Luxembourg vient de promulguer une loi (août 2015) permettant de s’affranchir de l’original papier. Elle décrit la phase de numérisation contrôlée qui doit être suivie pour générer une « copie conforme électronique ». L’original papier pourrait être alors détruit.

Cela repose sur la notion de PSDC (Prestataire de Services de Dématérialisation et de Conservation) : service qui est nommé suivant un processus faisant intervenir un organisme étatique.

A noter qu’une entreprise peut elle-même être PSDC pour ses propres besoins.

En savoir plus : http://www.irenard-avocat.com/fr/actualites/id-97-le-luxembourg-cree-un-ecosysteme-de-confiance-pour-la-dematerialisation-et-la-conservation-des-documents-dans-le-secteur-financier

Pour l’instant, ce sujet n’est pas couvert en France ni au niveau Européen.

[/protected]