Le 14 octobre dernier s’est tenu à la Maison de l’Amérique Latine l’évènement eFutura dédié à l’eIDAS V.2 et l’archivage électronique. Résumé des temps forts :
Au programme, 3 tables rondes avec en introduction une présentation d’eFutura qui fête ses 10 ans cette année. Association professionnelle regroupant les acteurs du numérique autour du document et de la data, eFutura participe à plusieurs comités au sein de l’AFNOR pour la France, de l’ETSI et du CEN au niveau européen et de l’ISO pour l’international. L’association organise régulièrement des événements comme celui du jour et des réunions-débat comme la Journée (annuelle) de la Transition Numérique et publie des livres blancs pour sensibiliser au niveau COMEX.
TABLE RONDE 1 : Futura et institutionnels
Les intervenants rappelle que la V1 de l’eIDAS remonte à 2014. Son objectif : construire un socle commun de confiance numérique dans les échanges entre états membres de l’UE.
Dans sa V2 entrée en vigueur en 2024, le règlement s’enrichit d’un bloc sur l’identité numérique avec le PEIN (Portefeuille Electronique d’Identité Numérique) et renforce son bloc sur les services de confiance avec le service d’archivage qualifié (« SAQ » ci-après). Avec cette introduction, l’archivage acquière ses lettres de noblesse. L’UE a pris conscience que la confiance numérique devait aller plus loin que l’acte en lui-même et inclure sa conservation. Ainsi en créant un référentiel pour l’archivage qualifié, le service se dote d’une reconnaissance juridique et bénéficie (comme c’est la cas déjà pour les signatures/cachets électroniques qualifiés) du renversement de la charge de la preuve (Entendez : si l’on vous attaque, ce n’est plus à vous d’apporter la preuve du bon archivage de vos informations. Mais à l’autre de démontrer que vos informations ne peuvent être retenues comme preuve à cause de la non-conformité de SAQ.
Point d’avancement : les actes d’exécution sont en cours de rédaction/validation.
Quels seront les impacts ?
- Pour les PSCQ (prestataires de confiance qualifiés) ce ne sera plus la marque AFNOR NF 461 qui fera foi de la conformité du SAQ mais la qualification par l’ANSSI. Cette qualification reconnue dans toute l’UE permettra aux PSCQ, aujourd’hui certifiés au niveau national seulement, de franchir leurs frontières pour vendre leurs services.
- Pour les clients présents dans plusieurs pays de l’UE, cela signifie qu’ils pourront ne retenir qu’un unique PSCQ là où aujourd’hui ils doivent choisir des archiveurs conformes dans chaque pays où ils opèrent.
- Pour l’AFNOR, c’est beaucoup de travail à venir pour s’harmoniser avec le nouvel environnement réglementaire : révision de la norme NF 2 42-013 ou rédaction d’une nouvelle norme ? Quel devenir pour la marque NF 461 face à un agrément porté par l’ANSSI ?
Bref, l’eIDAS V.2, va permettre de passer d’une logique nationale à l’Europe pour tous (citoyens, administrations, entreprises) et ouvrir le marché à la concurrence européenne. Ce qui permet d’augurer une augmentation de la qualité du service dans un premier temps puis dans un second temps des manœuvres de fusion/acquisition dans le secteur.
TABLE RONDE 2 : Donneurs d’ordre/utilisateurs
Une remarque introduit cette deuxième table ronde : si les parties de règlement consacrées au service d’archivage qualifié sont particulièrement courtes, les implémentations qui se cachent derrière seront complexes.
Cette table ronde fut l’occasion de réunir les différents points de vue en fonction des secteurs. A retenir :
Le secteur privé y voit la possibilité d’avoir enfin une stratégie d’archivage européenne (à défaut d’une stratégie monde) et non plus locale et l’avantage juridique du renversement de la charge de la preuve conféré au nouveau service.
Le secteur public rappelle que le patrimoine est hors scope comme le précise le considérant 67 (le considérant est le texte qui précède et motive le(s) article(s) qui suivent). Pour le reste les prestataires d’archivage sont aujourd’hui agréés par les préfets qui ont toute confiance dans la NF 641. Le secteur public espère que le processus d’agrément restera aussi simple avec l’apparition d’une nouvelle qualification ANSSI pour le SAQ.
Les experts comptables, y voient un véritable outil contre la fraude, eux qui, quotidiennement, ont beaucoup de mal à vérifier l’authenticité des pièces justificatives de leurs nouveaux clients. Ils en profitent d’ailleurs pour souligner la quasi-inexistence d’une prise de conscience des enjeux liés à l’archivage par les TPE et PME pour lesquels ils opèrent, victimes elles-aussi de multiples fraudes et cyberattaques.
Le juriste nous rappelle que, tout comme pour la signature électronique, quels que soient les textes, une convention de preuve jointe aux documents contractuels et décrivant le service d’archivage utilisé et reconnu par les parties reste un très bon moyen d’éluder le problème devant un juge. De plus, le juriste y voit également un avantage non négligeable pour son client qui recoure au SAQ et qui se garantit ainsi contre de potentielles fuites de données et par conséquent contre les éventuelles amendes CNIL qui pourraient en découler.
Le prestataire de confiance quant à lui reconnaît que la SEQ (Signature Electronique Qualifiée) n’a jamais pris sur le marché car à la fois trop complexe d’usage et trop coûteuse pour le besoin. Il reste cependant confiant qu’avec l’arrivée du PEIN, qui devra disposer d’une véritable confiance numérique dans la durée, le SAQ devrait rapidement trouver sa place et son intérêt.
TABLE RONDE 3 : les opérateurs de SA
Les opérateurs, bien entendu, se préparent déjà, ne pouvant pas se permettre de manquer cette opportunité. Même s’ils constatent que côté clients rares sont ceux qui leur posent des questions sur leurs orientations futures les esprits étant encore naturellement tournés vers la NF 461. En revanche, les clients réclament plus largement la qualification SecNumCloud (Note F. DELION : est-ce un signe que le principal interlocuteur des opérateurs serait un DSI ?).
Dans l’attente des décrets d’application, les opérateurs commencent donc à se préparer et mesurent les écarts et l’effort à réaliser pour passer de la NF 461 au SAQ. Si ceux-ci semblent faibles au niveau fonctionnel, ils sont largement plus conséquents sur le plan cyber même pour un opérateur ISO 27.001. À ces difficultés s’ajoute la prise en compte du volet juridique inexistant à ce jour visant à assurer la continuité de service même après la disparition du PSCQ.
Une question reste cependant en suspens : combien de temps leur faudra-t-il pour arriver à un ROI sur la charge fixe de la qualification dans un monde où le client le met au défi sur le coût du stockage en non sur celui des solutions (Note F. DELION : encore un signe que le principal interlocuteur des opérateurs serait un DSI ?) ?
En conclusion
Le SAQ est une véritable opportunité :
- Pour les utilisateurs d’envisager une stratégie d’archivage niveau Europe ;
- Pour les opérateurs d’élargir leur territoire de conquête ;
- Pour les archivistes que nous sommes de l’utiliser comme un levier de prise de conscience des enjeux liés à l’archivage à l’attention des dirigeants, petits ou grands ;
- Pour le juriste qui ne doit pas remettre en cause l’usage des conventions de preuve dans les documents contractuels.
L’AFNOR quant à elle, semble le parent pauvre cette V2 qui devrait entraîner une répercussion sur son chiffre d’affaires à plus ou moins long terme avec un inévitable désintérêt pour la marque NF 461 au profit de la qualification européenne de l’ANSSI.
Mais au bout du compte ce que la salle aura retenu, c’est que « si c’est (encore une fois) trop compliqué, ça ne marchera pas ! »
