CET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N°375
Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !
Le règlement eIDAS (Electronic identification and trust services), adopté le 23 juillet 2014, avait pour ambition d’accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il se proposait de traiter plusieurs questions, dont deux essentielles :
- la définition et l’opposabilité juridiques de certains outils liés à la dématérialisation (signature électronique, document électronique, certificat électronique, horodatage, etc.) ;
- la définition d’un statut juridique des prestataires de services de confiance (PSCO).
Mais ce règlement avait ignoré un pan entier de la dématérialisation, celui de l’archivage électronique, laissant aux États membres le soin de s’en charger, ce qui n’a pas manqué de créer des distorsions juridiques et rendu une reconnaissance mutuelle des prestations et des prestataires dans ce secteur quasiment impossible.
Ainsi, les prestataires de services d’archivage électronique présents à l’échelle européenne devaient jusqu’ici s’adapter aux différentes exigences imposées par les normes et/ou réglementations en vigueur dans le pays de leurs clients. De plus, les entreprises qui étaient présentes dans plusieurs pays, devaient de facto, adapter le système d’archivage électronique de chacun de leurs sites européens aux exigences nationales.
Les rédacteurs du règlement eIDAS version 2 souhaitent corriger cette hérésie juridique en intégrant dans le règlement à venir la question de l’archivage électronique. L’exposé des motifs est de ce point de vue révélateur de la situation : la nouvelle section 10 autorise la fourniture de services qualifiés d’archivage électronique au niveau de l’Union européenne (UE). À croire que tant que la nouvelle version du règlement n’est pas adoptée, l’archivage électronique n’a pas d’existence juridique au niveau européen !
Lire aussi : Identité numérique : ce que prévoit eIDAS version 2
L'approche générale d'eIDAS 2
Le réglement eIDAS 2 apporte plusieurs évolutions et ajouts par rapport à son prédécesseur, notamment quatre nouveaux services de confiances qualifiés qui devront satisfaire aux standards les plus élevés en matière de sécurité et de fiabilité, tels que :
- la délivrance d’attestations électroniques d’attributs ;
- la gestion de dispositifs de création de signatures et de cachets électroniques qualifiés ;
- l’archivage électronique ;
- les registres électroniques.
Il prévoit également le déploiement d’un portefeuille européen d’identité numérique, nommé "e-Wallet" ou "Eudi Wallet" qui permettra aux citoyens européens de stocker des données personnelles d’identification cryptographique. Celui-ci devrait être opérationnel d’ici 2026.
Lire aussi : Identité numérique : l’Europe met la main au portefeuille
Focus sur l’archivage électronique
Comme indiqué précédemment, le règlement eIDAS 2 souhaite définir un cadre juridique commun aux prestations et aux prestataires d’archivage électronique. Le considérant (en droit, il s’agit de l’attendu ou du motif d’un jugement ou d’un règlement) n° 33 donne le ton qui précise que : "de nombreux États membres ont introduit des exigences nationales pour les services fournissant un archivage numérique sécurisé et fiable visant à permettre la conservation à long terme des documents électroniques et des services de confiance associés. Pour garantir la sécurité juridique et la confiance, il est essentiel de fournir un cadre juridique pour faciliter la reconnaissance transfrontalière des services qualifiés d’archivage électronique. Ce cadre pourrait également ouvrir de nouveaux débouchés aux prestataires de services de confiance de l’Union".
En revanche, le considérant n° 33 bis du règlement prévoit une exclusion pour l’applicabilité de l’archivage électronique. En effet, le règlement ne s’applique pas aux archives nationales et aux institutions de la mémoire, en leur qualité d’organisations dans l’intérêt public, ne fournissant pas nécessairement de services de confiance au sens du règlement eIDAS V2.
Pour l’heure, cette nouvelle version du règlement eIDAS définit l’archivage électronique comme "un service assurant la réception, le stockage, la suppression et la transmission de données ou documents électroniques afin de garantir leur intégrité, l’exactitude de leur origine et leurs particularités juridiques pendant toute la durée de leur conservation" (Article 3.47 du règlement eIDAS V2).
eIDAS version 2 prévoit également d’ajouter une section 10 intitulée "services qualifiés d’archivage électronique" qui ne comporte que deux articles : les articles 45 (g) et 45 (ga).
L’article 45 (ga) subordonne l’archivage électronique aux exigences suivantes :
- être fourni par un prestataire de services de confiance qualifié ;
- l’utilisation des procédures et des technologies permettant d’étendre la fiabilité du document électronique par ce prestataire ;
- la garantie que les données électroniques soient conservées de manière à être protégées contre les pertes et les altérations, à l’exception des modifications concernant leur support ou leur format électronique ;
- la réception par les parties d’un rapport attestant qu’une donnée électronique extraite d’un service qualifié d’archivage bénéficie d’une présomption d’intégrité depuis son versement dans l’archive jusqu’au moment de son retrait. Par conséquent, ce rapport doit être fourni de façon fiable et efficace et avoir la signature ou le cachet électronique qualifié du fournisseur du service d’archivage qualifié.
L’article 45 (g) prévoit que "les données électroniques et les documents électroniques conservés au moyen d’un service d’archivage électronique ne sont pas privés d’effet juridique et d’admissibilité en tant que preuve dans une procédure judiciaire au seul motif qu’ils sont sous forme électronique ou qu’ils ne sont pas conservés au moyen d’un service d’archivage électronique qualifié". Par ailleurs, un document numérisé qui sera téléversé dans un système d’archivage qualifié pourra bénéficier de la présomption d’intégrité.
Lire aussi : Archivage électronique et cybersécurité : un duo gagnant
Lacune et perspectives
Au rang des perspectives, on notera que la Commission devra, dans un délai de douze mois à compter de l’entrée en vigueur du Règlement, qui devrait être prochainement approuvé par le Conseil européen, déterminer au moyen d’actes d’exécution (sorte de décret d’application d’un règlement) les numéros de référence des normes applicables aux services d’archivage électronique.
Au rang des lacunes, on notera simplement que le texte n’opère pas de distinction entre archivage électronique et coffre-fort électronique, alors que la norme le fait. Mais ne boudons pas notre plaisir de disposer enfin (à court terme) d’un nouveau cadre juridique sur l’archivage électronique.
Il reviendra à chaque autorité de contrôle nationale, comme l’Anssi en France, de certifier la conformité d’un service d’archivage électronique à ces standards afin que celui-ci puisse prétendre du statut qualifié. De ce fait, la certification eIDAS permettra d’identifier les acteurs économiques et les institutions en conformité avec cette réglementation, afin d’assurer non seulement la confiance dans les transactions numériques, mais également d’encourager le commerce électronique et les services administratifs en ligne en réduisant les obstacles réglementaires et techniques.
Pour les utilisateurs, la question se posera nécessairement de savoir vers quelle solution d’archivage électronique se tourner, qualifiée ou non. Du côté des prestataires, ils devront décider de mettre en œuvre, ou pas, les ressources nécessaires pour apparaître comme des prestataires d’archivage électronique qualifiés.
Lire aussi : Comparatif des systèmes d'archivage électronique : un marché soutenu par la digitalisation des processus
Sources
Texte en anglais de la proposition de modification du règlement eIDAS (UE) n° 910/2014
![traitement-donnees-ChapsVision-acquiert-Articque](https://www.archimag.com/sites/archimag.com/files/styles/vignette/public/web_articles/image/traitement-donnees-chapsvision-acquiert-articque.jpg?itok=4b0kf--f ""Cette acquisition permet d'unir deux entreprises, partageant une vision commune de l’excellence technologique et du savoir-faire français en matière de traitement de la donnée", explique ChapsVision dans un communiqué. (freepik/yanalya)")
