La conservation de l’information en entreprise est essentielle. Elle répond, d’une part, à des exigences réglementaires soumises aux contrôles des autorités publiques et protège, d’autre part, l’entreprise en cas de contentieux.
L’information existe aujourd’hui massivement sous forme numérique. Tous les bénéfices en matière de partage et de communication, de rapidité de production ont également engendré des contraintes techniques particulières liées notamment à la cybersécurité.
Lire aussi : Archivage électronique : comment mettre en place et gérer son système numérique
Par ailleurs, depuis 20 ans et la publication de la loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique, les réglementations encadrant l’information numérique ont grandement évolué en France et en Europe, notamment avec les réglementations eIDAS et RGPD.
Rappel :
- eIDAS : Electronic identification authentication and trust services, règlement de l’Union européenne sur l’identification électronique et les services de confiance pour les transactions électroniques du 23 juillet 2014
- RGPD : Règlement général sur la protection des données, règlement de l’Union européenne du 27 avril 2016, en application à compter du 25 mai 2018.
Dans ce contexte, l’archivage électronique est un outil central de la sécurité et de l’agilité numérique de l’entreprise. Il permet de conserver les informations numériques et de démontrer l’intégrité de celles-ci.
Lire aussi : Archivage électronique : comment (bien) archiver des données sensibles ou confidentielles ?
Une révision nécessaire de la NF Z 42-013
La mise en œuvre d’un système d’archivage électronique étant une entreprise complexe, la norme NF Z 42-013 propose depuis sa dernière révision en 2009 d’en exposer les bonnes pratiques afin de construire une solution robuste, qui assurera la conservation des actifs informationnels de l’entreprise en toute sécurité.
Cette norme représente sans nul doute l’état de l’art en la matière, et fait référence. C’est pourquoi il était nécessaire qu’un tel outil soit révisé pour répondre efficacement aux nouvelles problématiques réglementaires, techniques et fonctionnelles.
Les enjeux de la conservation des actifs numériques n’ayant pas divergé, cette norme a été réécrite sans rupture conceptuelle par rapport à ses versions antérieures, mais sous une forme plus claire et adaptée à un public de non-spécialistes.
Moins technique et ouvrant des possibilités plus souples à l’usage de technologies variées, elle s’attache aujourd’hui à décrire un service d’archivage électronique, qui peut être opéré par une entreprise publique ou privée, pour ses propres besoins ou par un prestataire de service.
Lire aussi : Archivage hybride : quel logiciel choisir pour ses archives électroniques et papier ? (avec tableau comparatif)
Exigences et recommandations de la nouvelle NF Z42-013 de 2020
Le service d’archivage électronique est donc présenté comme un ensemble complet et cohérent, proposant des fonctionnalités inscrites dans une infrastructure technique, et pilotée de façon rationnelle. La délivrance du service est conditionnée au respect d’exigences explicitement inscrites dans le texte, mais propose aussi des recommandations, pour aller plus loin, selon le contexte à satisfaire.
Toujours dans un esprit de simplification d’accès pour l’ensemble des acteurs, la norme est un texte autonome, réelle synthèse de la version de 2009 du guide d’application NF Z42-019 (GA Z42-019, juin 2010 : guide d’application de la NF Z42-013) et intégrant les principes de sécurité de la norme Iso 27001 (norme internationale de sécurité des systèmes d’information de l’Iso, titre « Technologies de l’information - techniques de sécurité - systèmes de gestion de sécurité de l’information - exigences » publiée en octobre 2005 et révisée en 2013).
Lire aussi : Archivage électronique : entrez dans le système !
L’usage de la terminologie du modèle OAIS (Open archival information system ou "système ouvert d’archivage d’information" : modèle conceptuel destiné à la gestion, à l’archivage et à la préservation à long terme de documents numériques. Enregistré comme norme Iso 14721:2012) permet d’unifier les concepts et de découper clairement les étapes de l’archivage, clarifiant ainsi les responsabilités des différents acteurs, notamment dans un contexte d’interopérabilité.
Par ailleurs, l’usage de modèle OAIS, de portée internationale, sera un atout indéniable pour étendre cette norme dans une perspective européenne. Ce modèle OAIS couvre tout le périmètre du service d’archivage depuis la prise en charge des documents jusqu’à la fin de leur cycle de vie, en passant par leur communication ou consultation, le management des outils de recherche et de description, le pilotage de la confidentialité et des accès, le management de la démonstration de la preuve, etc.
Lire aussi : Comment l’archivage électronique facilite la conformité au RGPD
Expérience utilisateur et exigences back office
Tout cet écosystème est décrit tant du point de vue de l’expérience utilisateur que des exigences back office et des développements nécessaires notamment à la performance et la sécurité du service.
Il en résulte un nombre important d’exigences qui doivent toutes être respectées pour que le service soit pleinement rendu en conformité avec la norme. Afin de préciser le domaine d’application, chaque exigence et recommandation est qualifiée selon sa nature : fonctionnelle, organisationnelle ou d’infrastructures.
Le contexte numérique étant par essence très évolutif, la nouvelle norme s’est attachée à ouvrir le périmètre technologique pouvant être utilisé. Ainsi, alors que le principe de chaînage des journaux pour garantir la démonstration de l’intégrité des archives reste toujours un élément central de la norme, les moyens technologiques pour y parvenir sont laissés libres, comme par exemple l’usage de « blockchains ».
Le texte intègre également des dispositions concrètes pour répondre aux problématiques d’actualité que sont, par exemple, le chiffrement des données archivées ou l’authentification des utilisateurs au moyen de référentiels externes.
La norme étant concentrée sur le service d’archivage, les opérations en amont, telles que la création des documents au moyen de la numérisation d’originaux ou leur chiffrement, ne font l’objet que de recommandations et de renvoi à des textes existant par ailleurs, comme la norme NF Z42-026 pour les prestations de numérisation fidèle.
Obsolescence du référentiel de certification NF461
Sa révision rend obsolète le référentiel de certification NF461 de la norme NF Z42-013. La version 2020 de la norme sera la matière première du nouveau référentiel de certification NF461 pour tout le système d’archivage électronique et ses composants. La structure de la norme sous la forme d’exigences explicites permet une lecture aisée, et certaines recommandations pourraient être élevées au stade d’exigences. Ainsi ces exigences complémentaires pourraient valoriser les opérateurs d’archivage électronique.
Notre avis :
La nouvelle NF Z42-013, modernisée, représente le nouvel état de l’art en matière de conservation pérenne et intègre de l’information. L’ouverture technologique permet à ce texte de s’inscrire dans le temps et anticipe les évolutions techniques que le système devra nécessairement subir.
La maîtrise de sa mise en œuvre et de son exploitation sont garanties par le respect de toutes ses exigences, et les recommandations permettent d’aller encore plus loin si le contexte le nécessite.
Nicolas Roy
Directeur études et développements de Docaposte-Arkhineo
Séverine Denys
Directrice du pôle conformité de Docaposte