En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
Conscio_Bannière

Tiers-archiveur et logiciel d’archivage hébergé, quelle différence?

Jalios_Digital Summit 2017_pave

Voici une question qui revient fréquemment. En termes d’engagements et de responsabilités vis-à-vis des documents confiés, qu’est-ce qui fait la différence entre un tiers-archiveur et un logiciel de gestion d’archives accessible chez un hébergeur ? Philippe Delahaye, directeur Commercial & Marketing de CDC Arkhineo, répond à la question

Sur le papier, un hébergeur met à disposition de ses clients une infrastructure informatique sécurisée, constituée d’un ensemble de serveurs, de baies de stockage, de switchs et d’autres équipements informatiques, ainsi que de l’alimentation électrique et des moyens de climatisation. Son engagement porte donc essentiellement sur la qualité du service proposé, notamment en matière de disponibilité (délai de rétablissement en cas de pannes correspondant à des niveaux de service, etc.), mais aussi de performances (temps de réponse lié à la capacité réseau et à la bande passante, etc.) et de sécurité du service et des accès aux serveurs (et éventuellement le chiffrement des données sensibles). L’éditeur, quant à lui, que son modèle soit basé sur un coût « one shot » ou sur un abonnement, vend une licence d’utilisation du logiciel et fournit la maintenance corrective et évolutive du logiciel (et le support téléphonique).

Une obligation de moyens

L’hébergeur s’engage à mettre en place les mesures techniques et organisationnelles de nature à empêcher tout accès non autorisé aux serveurs et logiciels ou utilisation frauduleuses des données. Comme dans la plupart des contrats de service, l’obligation pesant sur l’hébergeur est une obligation de moyens, la charge de la preuve du manquement incombant au client. Le client pourra certes réclamer le paiement des pénalités prévues dans la SLA (engagements de qualité de service) au cas où le niveau de service promis ne serait pas conforme, mais s’il souhaite être indemnisé d’un quelconque préjudice (ce qui, en droit, est différent des pénalités qui compensent une mauvaise qualité de service) c’est lui qui devra prouver le comportement fautif de l’hébergeur et le rechercher en responsabilité (et éventuellement vis à vis de l’éditeur).

Éditeur chez un hébergeur : une responsabilité floue

Il conviendra également d’être vigilant dans le cas où un éditeur installe son logiciel pour son client chez un hébergeur et laisse supposer qu’il est ainsi “riers-archiveur”, mais sans aucun engagement sur les données, ni sur le respect des contraintes normatives en matière de conservation des données numériques. Par ailleurs, dans le cas où les documents ainsi archivés sont susceptibles de contenir des données personnelles, il convient d’être attentif à la localisation des données et la nationalité de l’hébergeur (dans le cas où celui-ci hébergerait les données hors du territoire de l’UE et/ou s’il n’est pas de « nationalité » européenne, il sera indispensable d’obtenir une dérogation de la CNIL). L’éditeur n’est ainsi responsable que du support, de la maintenance corrective et évolutive de son logiciel, et l’hébergeur de la mise à disposition de moyens techniques. Ce qui peut être à l’origine de grosses déconvenues pour le client qui, d’une part, pourrait perdre des données (avec toutes les conséquences qui en découlent) et d’autre part, ne disposerait d’aucun recours en responsabilité ni contre l’éditeur, ni contre l’hébergeur.

Le “tiers-archiveur” doit montrer “patte blanche”

En matière d’archivage électronique, tout l’enjeu réside dans la fourniture d’un service destiné à garantir le maintien de la valeur probante des documents et leur conservation dans le temps. Le tiers-archiveur doit donc offrir des garanties supplémentaires par rapport à un simple hébergeur. Peu importe les temps de réponse ou la nature des supports de stockage, l’important ici c’est bel et bien la pérennité des documents, à laquelle s’ajoutent d’autres notions comme l’intégrité, l’intelligibilité, la traçabilité, la confidentialité, l’identification et la localisation des données. La faute sera donc présumée du seul fait de la non réalisation de l’objectif fixé, principe même de l’obligation de résultat. Cette dernière obligation naît du rôle de tiers dans son sens légal.

Une confiance renforcée avec eIDAS ?

Ainsi, quel que soit le service offert (authentification, signature, horodatage, archivage, preuve…), la notion de tiers impose une véritable reconnaissance. Et de ce côté-là, le principe de la certification constitue un bon moyen de consolider l’environnement de confiance dont l’économie numérique a besoin. La certification NF461 (basée sur un audit réalisé par des auditeurs agréés utilisant un même référentiel agréé à cette fin) permet au client de s’assurer que le tiers-archiveur réalise sa prestation selon les « bonnes pratiques » définies dans les normes AFNOR NF Z42-013 et ISO 14641-1. Le règlement eIDAS de juillet 2016 tient compte de ce principe et introduit un certain nombre de nouvelles règles, parmi lesquelles la reconnaissance du document électronique en tant que preuve devant la justice, mais aussi la création d’une « qualification » des prestataires. Afin d’aider à la transparence, chaque Etat membre se voit dans l’obligation d’établir des listes des prestataires de services de confiance qualifiés (PSCO) et des services de confiance offerts, qui pourront dès lors se prévaloir du « label de confiance de l’Union » et pourront être repérés grâce à son logo.

Sécurité renforcée

Pour être qualifiés PSCO, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, respect des normes de référence (NF Z 42-013, ISO 14641-1 et ISO 27001) etc. L’interopérabilité technique des systèmes passe donc par la coopération des pays membres. Précisons enfin que pour obtenir cette fameuse « qualification », les prestataires de services de confiance devront se soumettre à des audits attestant du respect des mesures définies dans les standards adossés au règlement.

Moralité : avant de se lancer dans l’archivage électronique, les organisations ne doivent pas regarder uniquement la face émergée de l’iceberg, mais aussi tenir compte de tout le reste et plus particulièrement des certifications/qualifications, engagements et responsabilités du prestataire choisi.

Tiers-archiveur et logiciel d’archivage hébergé, quelle différence?
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles : la Cnil, aujourd'hui moins clémente, sanctionne pécuniairement Hertz France

    C’est la première fois qu’une sanction pécuniaire est prononcée par la CNIL pour une violation…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Quatre conseils avisés pour un été en toute sécurité

    Christophe Auberger, directeur technique France, Fortinet, propose quatre bonnes pratiques de cybersécurité à adopter pour…

    > En savoir plus...
Etudes/Enquêtes
  • Gestion de l'expérience collaborateurs : à charge des RH ou des DSI ?

    Les ressources humaines (RH) ont longtemps été considérées comme étant responsables de l'expérience des employés.…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Communications unifiées : la mobilité et la collaboration au cœur des métiers

    > Voir le livre
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
elo_processus pointe_skyscraper