FEUILLE DE ROUTE_SAE_EF

Le référentiel général de sécurité (RGS) connaît une version 2.0 avec l’arrêté du Premier ministre du 13 juin 2014 (remplace la version du 6 mai 2010). Il définit les règles que les administrations et collectivités doivent respecter en matière de sécurité des systèmes d’information, notamment pour la signature électronique.La signature électronique d’une administration n’est valable que si l’on recourt à un procédé « qui permette l’identification du signataire, garantisse le lien de la signature avec la décision à laquelle elle s’attache et assure l’intégrité de cette décision » (article L212-3, Code des relations entre le public et l’administration)

L’encadrement de la signature électronique s’appuie sur le règlement européen Electronic IDentification Authentication and trust Services ou eIDAS du 28 août 2014 et applicables depuis le 1er juillet 2016 (règlement sur l’identification électronique et les services de confiance).Sont reconnus trois niveaux de signature :- La signature électronique simple : « données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer » ;- La signature électronique avancée :Elle satisfait aux exigences suivantes : être liée au signataire de manière univoque, permettre d’identifier le signataire, avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif, et être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.- La signature électronique qualifiée : Signature électronique avancée basée sur un certificat qualifié (recours à une autorité de certification) et créée au moyen d’un dispositif de signature qualifié (certificat, cryptographique de la signature).

La norme NF Z 42-013 est une norme française (Afnor) qui précise de nombreuses mesures techniques et organisationnelles autour du fonctionnement d’un système d’archivage électronique (SAE).Cette norme déclarative met l’accent sur la traçabilité de tous les processus autour du SAE (enregistrement, stockage, restitution de documents électroniques au sein du SAE…). L’objectif est de garantir l’intégrité des documents, autrement dit un archivage électronique qui peut être à vocation probante.La nouvelle version inclut le modèle OAIS (Iso 14721 en tant de modèle de référence) comme l’intégration dans les nouvelles architectures type Saas ou cloud.La NF Z 42-013 révisée a été traduite en anglais et a donné naissance à la norme Iso 14641-1, devenue, en 2018, Iso 14641:2018 : « Archivage électronique — Conception et exploitation d’un système informatique pour la conservation intègre de documents électroniques — Spécifications »

Si les normes NF Z 42-013 et Iso 14641:2018 sont des normes déclaratives, le référentiel de certification NF 461 concerne les organismes qui ont mis en place et maintiennent en état de fonctionnement leur SAE selon la NF Z 42-013 et son équivalent Iso. La certification NF 461 – Système d’archivage électronique est délivrée par Afnor Certification et prouve la conformité d’un SAE.

La norme OAIS (système ouvert d’archivage de l’information), enregistrée depuis 2003 puis révisée en 2012 sous le nom de norme Iso 14721:2012 décrit le modèle pour la conception et la mise en place d’un SAE pour que ce dernier soit pérenne peu importe les évolutions numériques. Cette norme explique et décrit la structure de l’archivage et du fonctionnement d’un SAE. Elle propose un schéma conceptuel du SAE.>Lire aussi : Archivage électronique : comment (bien) archiver des données sensibles ou confidentielles ?

La norme Iso 19005-1 est une norme internationale qui définit le format PDF/A-1 (basé sur le format PDF1.4 de Adobe System) comme format de fichier de documents électroniques placés dans un SAE devant être conservés sur du long terme.Ce format est fidèle au document original (image, police et taille d’écriture par exemple), ce qui permet de consulter un document sans que le logiciel sur lequel il a été créé ne soit installé sur le terminal utilisé.Cette norme a été déclinée en 2011 (Iso 19005-2 PDF/A-2) et en 2012 (Iso 19005-3 PDF/A-3) pour faire évoluer les formats vers des améliorations techniques et fonctionnelles (couleur, fichiers ou collections de données embarqués dans les fichiers PDF, etc.). Citons également la norme Iso 32000-1, année 2008

La série de normes Iso 30300 définit les principes des systèmes de gestion des documents d’activité (SGDA). Elle décrit également la mise en œuvre et le fonctionnement des SGDA.Les normes Iso 30300 et Iso 30301 datent de l’année 2011. En 2014, le sous-comité de normalisation TC46/SC11 consacrée à la gestion des documents d’activité a publié la dernière (pour le moment) de la série des normes déclaratives du records management (RM) : la norme Iso 30302.Cas par cas, la norme Iso 30300 « définit les termes et définitions qui s’appliquent aux normes relatives aux SGDA », précise le site de l’Iso.La norme Iso 30301 définit les exigences d’un SGDA (principes, rôles de la direction…). C’est cette norme qui constitue le référentiel phare pour le management d’un SGDA.Enfin, la norme Iso 30302 est consacrée à la mise en œuvre du SGDA et comprend également la liste des documentations à élaborer pour le bon fonctionnement d’un SGDA et sa mise en état d’auditabilité

Ce service protège les données contre les risques de pertes liés à un incident technique (panne informatique), un virus, ou un incendie… Il permet en outre à ses utilisateurs autorisés d’y accéder en permanence en ligne, via une connexion internet.L’article 87 de la loi pour une République numérique du 7 octobre 2016 a défini le coffre-fort numérique (art. 137 du Code des postes et communications électroniques) en énonçant les fonctions qu’il remplit :Réception, stockage, suppression et transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;Traçabilité des opérations réalisées sur ces documents ou données et disponibilité de cette traçabilité pour l’utilisateur ;Identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L 136 ;Garantie d’un accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service, à cet utilisateur ou à des tiers autorisés après avoir recueilli l’accord express de l’utilisateur conformément à la loi sur la protection des données personnelles ;Possibilité pour l’utilisateur de récupérer les documents et les données stockés dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données.Le coffre-fort numérique peut prévoir en outre des services de confiance au sens du Règlement européen n° 910/2014 EIDAS du 23 juillet 2014 sur l’identification électronique et les services de confiance, tels que la signature électronique ou l’envoi recommandé électroniqueLe coffre-fort numérique va beaucoup plus loin : il permet de conserver des documents dématérialisés sur un support informatique, mais son accès est limité à un certain nombre d’utilisateurs identifiés par un mécanisme d’authentification. L’intégrité des documents est garantie par un horodatage et des scellés. Les modalités d’archivage s’inscrivent dans la durée, en fonction des obligations règlementaires notamment.

L’article 87 de la loi pour une République numérique Il complète le Code des Postes et des communications électroniques avec l’article L. 137 qui définit précisément la nature d’un coffre-fort numérique1. Les fournisseurs qui proposent des services de coffre-fort doivent respecter la définition et les obligations listées ci-dessous, sous peine de sanctions.   La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine.  La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur. L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L. 136. De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret.  Le règlement européen n° 910/2014 (EIDAS) du 23 juillet 2014 Ce règlement a pour objectif de renforcer la confiance dans les transactions électroniques entre les citoyens, les entreprises et les autorités publiques. Il porte principalement sur l’identification électronique, mais aussi sur la confiance des services numériques grâce à la mise en place de procédures sécurisées : signature, cachet, horodatage et envoi recommandé électroniques, mais aussi authentification de sites internet. Vous avez maintenant toutes les clés en main pour comprendre le principe de l’archivage électronique et le mettre en place selon des procédures en conformité avec la loi. Faire appel à un tiers reste la solution la plus adaptée pour les petites et moyennes structures comme le sont généralement les cabinets d’expertise-comptable. Aidez-vous de ce guide pour faire le bon choix de prestataire et lancez-vous !