En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 28/09/2017
    Journée de la Transition Numérique 2017

    La seconde Journée de la Transition Numérique eFutura se tiendra le jeudi 28 septembre 2017 à Paris.…

    en détail En détail...
  • 19/09/2017
    Paris Retail Week 2017

    La 3ème édition du salon Paris Retail Week, l’événement professionnel européen dédié au commerce 360°, se…

    en détail En détail...
Qualiac_HauteCouture_728x90

Tiers-archiveur et logiciel d’archivage hébergé, quelle différence?

qualiac_hautecouture_300x250

Voici une question qui revient fréquemment. En termes d’engagements et de responsabilités vis-à-vis des documents confiés, qu’est-ce qui fait la différence entre un tiers-archiveur et un logiciel de gestion d’archives accessible chez un hébergeur ? Philippe Delahaye, directeur Commercial & Marketing de CDC Arkhineo, répond à la question

Sur le papier, un hébergeur met à disposition de ses clients une infrastructure informatique sécurisée, constituée d’un ensemble de serveurs, de baies de stockage, de switchs et d’autres équipements informatiques, ainsi que de l’alimentation électrique et des moyens de climatisation. Son engagement porte donc essentiellement sur la qualité du service proposé, notamment en matière de disponibilité (délai de rétablissement en cas de pannes correspondant à des niveaux de service, etc.), mais aussi de performances (temps de réponse lié à la capacité réseau et à la bande passante, etc.) et de sécurité du service et des accès aux serveurs (et éventuellement le chiffrement des données sensibles). L’éditeur, quant à lui, que son modèle soit basé sur un coût « one shot » ou sur un abonnement, vend une licence d’utilisation du logiciel et fournit la maintenance corrective et évolutive du logiciel (et le support téléphonique).

Une obligation de moyens

L’hébergeur s’engage à mettre en place les mesures techniques et organisationnelles de nature à empêcher tout accès non autorisé aux serveurs et logiciels ou utilisation frauduleuses des données. Comme dans la plupart des contrats de service, l’obligation pesant sur l’hébergeur est une obligation de moyens, la charge de la preuve du manquement incombant au client. Le client pourra certes réclamer le paiement des pénalités prévues dans la SLA (engagements de qualité de service) au cas où le niveau de service promis ne serait pas conforme, mais s’il souhaite être indemnisé d’un quelconque préjudice (ce qui, en droit, est différent des pénalités qui compensent une mauvaise qualité de service) c’est lui qui devra prouver le comportement fautif de l’hébergeur et le rechercher en responsabilité (et éventuellement vis à vis de l’éditeur).

Éditeur chez un hébergeur : une responsabilité floue

Il conviendra également d’être vigilant dans le cas où un éditeur installe son logiciel pour son client chez un hébergeur et laisse supposer qu’il est ainsi “riers-archiveur”, mais sans aucun engagement sur les données, ni sur le respect des contraintes normatives en matière de conservation des données numériques. Par ailleurs, dans le cas où les documents ainsi archivés sont susceptibles de contenir des données personnelles, il convient d’être attentif à la localisation des données et la nationalité de l’hébergeur (dans le cas où celui-ci hébergerait les données hors du territoire de l’UE et/ou s’il n’est pas de « nationalité » européenne, il sera indispensable d’obtenir une dérogation de la CNIL). L’éditeur n’est ainsi responsable que du support, de la maintenance corrective et évolutive de son logiciel, et l’hébergeur de la mise à disposition de moyens techniques. Ce qui peut être à l’origine de grosses déconvenues pour le client qui, d’une part, pourrait perdre des données (avec toutes les conséquences qui en découlent) et d’autre part, ne disposerait d’aucun recours en responsabilité ni contre l’éditeur, ni contre l’hébergeur.

Le “tiers-archiveur” doit montrer “patte blanche”

En matière d’archivage électronique, tout l’enjeu réside dans la fourniture d’un service destiné à garantir le maintien de la valeur probante des documents et leur conservation dans le temps. Le tiers-archiveur doit donc offrir des garanties supplémentaires par rapport à un simple hébergeur. Peu importe les temps de réponse ou la nature des supports de stockage, l’important ici c’est bel et bien la pérennité des documents, à laquelle s’ajoutent d’autres notions comme l’intégrité, l’intelligibilité, la traçabilité, la confidentialité, l’identification et la localisation des données. La faute sera donc présumée du seul fait de la non réalisation de l’objectif fixé, principe même de l’obligation de résultat. Cette dernière obligation naît du rôle de tiers dans son sens légal.

Une confiance renforcée avec eIDAS ?

Ainsi, quel que soit le service offert (authentification, signature, horodatage, archivage, preuve…), la notion de tiers impose une véritable reconnaissance. Et de ce côté-là, le principe de la certification constitue un bon moyen de consolider l’environnement de confiance dont l’économie numérique a besoin. La certification NF461 (basée sur un audit réalisé par des auditeurs agréés utilisant un même référentiel agréé à cette fin) permet au client de s’assurer que le tiers-archiveur réalise sa prestation selon les « bonnes pratiques » définies dans les normes AFNOR NF Z42-013 et ISO 14641-1. Le règlement eIDAS de juillet 2016 tient compte de ce principe et introduit un certain nombre de nouvelles règles, parmi lesquelles la reconnaissance du document électronique en tant que preuve devant la justice, mais aussi la création d’une « qualification » des prestataires. Afin d’aider à la transparence, chaque Etat membre se voit dans l’obligation d’établir des listes des prestataires de services de confiance qualifiés (PSCO) et des services de confiance offerts, qui pourront dès lors se prévaloir du « label de confiance de l’Union » et pourront être repérés grâce à son logo.

Sécurité renforcée

Pour être qualifiés PSCO, ils devront s’appuyer sur les standards décrivant les mesures à mettre en place : analyse de risques, plan de cessation d’activité, notifications en cas d’atteinte à la sécurité, contrôles, responsabilités, respect des normes de référence (NF Z 42-013, ISO 14641-1 et ISO 27001) etc. L’interopérabilité technique des systèmes passe donc par la coopération des pays membres. Précisons enfin que pour obtenir cette fameuse « qualification », les prestataires de services de confiance devront se soumettre à des audits attestant du respect des mesures définies dans les standards adossés au règlement.

Moralité : avant de se lancer dans l’archivage électronique, les organisations ne doivent pas regarder uniquement la face émergée de l’iceberg, mais aussi tenir compte de tout le reste et plus particulièrement des certifications/qualifications, engagements et responsabilités du prestataire choisi.

Tiers-archiveur et logiciel d’archivage hébergé, quelle différence?
Notez cet article

Laisser un commentaire

Sécuriser le Cloud public et le cloud hybride

Protéger votre cloud : Transport chiffré – VPN, Protection du périmètre, des applications etc.

Lire le Livre blanc Fortinet

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Google risque une amende record de l'UE pour abus de position dominante

    (AFP) - La Commission européenne devrait rendre dans les prochaines semaines une décision contre Google,…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Exclusif - WannaCry et politique de mise à jour : 7 experts nous répondent

    La vulnérabilité dans Windows qui n’a pas été patchée par de nombreuses entreprises, alors même…

    > En savoir plus...
Etudes/Enquêtes
  • Malgré le droit à la déconnexion, 8 cadres sur 10 consultent leurs communications pro pendant les vacances

    Déconnexion: près de huit cadres sur dix consultent e-mails, SMS et appels professionnels pendant leurs…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement
elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Un contrat électronique fait économiser 50% du coût d'un contrat papier et améliore la validité…

    > Voir le livre
  • Guide du Service Management pour le DSI à l’ère mobile

    > Voir le livre
elo_processus pointe_skyscraper