Actualité Une nouvelle norme pour les systèmes d’archivage électronique La nouvelle version de la norme française NF Z 42-013 (1), homologuée par le Directeur général d’AFNOR le 4 février 2009, vient d’entrer en vigueur le 4 mars 2009. Cette nouvelle version constitue «Le» référentiel permettant d’évaluer la force probante des systèmes d’archivage électronique. Cette nouvelle version était très attendue, dans la mesure où elle est largement utilisée pour auditer la conformité des systèmes d’archivage électronique aux exigences techniques et juridiques, d’une part, de copie fidèle et durable, issue de la loi du 12 07 1980 (2) et, d’autre part, d’identification et d’intégrité, issue de la réforme du droit de la preuve du 13 03 2000 (3). Historiquement, la 1ère version de la norme NF Z 42-013 (4) visait à définir les conditions techniques et organisationnelles permettant de répondre aux exigences de durabilité, définie par la loi et de fidélité, non définie par la loi. Ainsi, la norme NF Z 42-013 définit la fidélité comme l’aptitude à reconstituer toute l’information nécessaire aux usages auxquels le document d’origine était destiné. Compte tenu de l’adaptation du droit de la preuve à l’électronique et de l’introduction de l’équivalence de la signature électronique à la signature manuscrite, issues de la loi du 13 mars 2000, la norme NF Z 42-013 fût modifiée en décembre 2001 pour prendre en compte la signature électronique. Outre les nombreuses options, complexifiant l’application de la norme NF Z 42-013, la norme NF Z 42-013 privilégiait le support physique «Worm», Write Once Ready Many. La généralisation des baies de stockage, comprenant des supports (disques) réinscriptibles, sous réserve de protection logique des fichiers de toute suppression ou modification pour la durée de conservation initialement arrêtée, se heurtait à l’obsolescence de la norme NF Z 42-013, ne reconnaissant que le support physique Worm. Le principe du consensus et l’enquête probatoire des normes officielles, comme la norme NF Z 42-013, ont entretenu, trop longtemps, ce décalage entre l’offre du marché et les exigences normatives et ce, bien que certaines solutions de stockage n’utilisant pas le Worm physique répondaient déjà à des exigences particulièrement contraignantes pour le secteur financier (5). La nouvelle version de la norme NF Z 42-013 arrive à point nommé pour les organisations qui souhaitent disposer d’un référentiel de conformité et mesurer la conformité des systèmes d’archivage électronique basés sur le Worm logique aux exigences de copie fidèle et durable, ainsi que d’identification et d’intégrité. La norme NF Z 42-013 ne limite pas l’option au Worm physique ou logique, mais admet le recours aux supports réinscriptibles, sous réserve du recours à la cryptologie, dont l’usage est totalement libéralisé (6), voire à la signature électronique (7), selon le niveau de sécurisation recherché. Les nouvelles exigences organisationnelles contenues dans la norme NF Z 42-013 impliqueront d’auditer la conformité des systèmes d’archivage électronique existant à ces nouvelles exigences, même dans le cas d’utilisation de Worm physique (8). La conformité du système d’archivage électronique repose, non seulement sur le système informatique, mais également sur des politiques d’archivage (9) et de sécurité (10) auxquelles la norme NF Z 42-013 renvoie. La conception du système d’archivage ne peut être limitée au seul système informatique, sans avoir identifié, au préalable, les pré-requis, notamment réglementaires, qui déterminent la politique d’archivage d’une organisation (11). La norme NF Z 42-013 contient un avertissement sur la prise en compte des exigences liées à la législation sur la protection des données à caractère personnel (12), faute de quoi, le système d’archivage électronique se heurterait à une impossibilité juridique de mise en oeuvre, voire au rejet des preuves en résultant. A l’instar des archives publiques, pour lesquelles les tiers archiveurs relèvent d’un régime d’agrément instauré par la réforme du 15 07 2008 (13), la norme NF Z 42-013 impose de nouvelles exigences aux prestataires d’archivage et précise les clauses contractuelles minimales devant figurer dans les contrats liant ces fournisseurs à leurs clients. Ces exigences, auxquels fournisseurs et clients devront se conformer à l’avenir, impliquent, pour ces derniers, d’auditer les solutions et contrats en vigueur afin d’identifier les écarts résultant de ces nouvelles exigences et s’assurer de leur mise en conformité. (1) NF Z 42-013 Mars 2009 Archivage électronique – Spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes (2) C. civ., art. 1348 al.2 (3) C. civ., art. 1316-1 (4) NF Z 42-013 Juillet 1999 Archivage électronique – Recommandations relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes (5) Rule 17 a4 f), Records to be preserved by certain exchange members, brokers and dealers, Security exchange commission (6) Loi n°2004-575 du 21 juin 2004, art. 30 I (7) C. civ., art.1316-4 et décret n°2001-272 du 30 mars 2001 (8) Voir https://www.lexing.law/pages/3253/ (9) Voir, notamment, NF ISO 15489-1 Avril 2002 Records management – Principes directeurs (10) NF ISO/CEI 27001 Décembre 2007 Techniques de sécurité — Systèmes de gestion de la sécurité de l’information (11) Voir www.fedisa.eu Chronique juridique, Compliance d’un SAE. (12) Loi n°78-17 du 06 janvier 1978, dite Loi Informatique et libertés ; C. pén., art. 226-16 à 226-24 (13) Loi n°2008-696 du 15 juillet 2008, art. 5 II (Mise en ligne Mars 2009) Philippe Ballet Avocat, directeur du département Dématérialisation philippe-ballet@lexing.law