- Faciliter l’archivage avec une GED
- Archivage de contenus, une croissance de 9,5% d’ici 2025
- Partage d’expérience - Smeg conserve et préserve ses factures
- Avis d’Expert - « L'archivage électronique garantit la confiance dans le document »
- Partage d’expérience - Méduane Habitat archive les données de son ERP avec sa GED
Dans l’archivage à valeur probatoire des documents, le coffre-fort numérique et le système d’archivage électronique jouent les premiers rôles. La GED facilite les opérations en orchestrant la circulation des documents vers les supports de conservation, voire en intégrant sa propre solution d’archivage.
En 2024, la conservation sécurisée des factures électronique ne sera plus une option, si tant est qu’elle soit encore considérée comme telle aujourd’hui. En cas de litige ou de contrôle fiscal, une entreprise devra fournir ses factures dans un format préservant les données relatives à l’horodatage, l’intégrité, l’imputabilité et la traçabilité des factures, et présenter en plus les éléments constituant une piste d’audit fiable. Si la gestion du risque prévaut dans la stratégie d’archivage de documents engageants, le choix de l’outil et celui du prestataire sont déterminants. Dominés par les tiers archiveurs, le marché des SAE (système d’archivage électronique) s’appuie sur la norme NF Z42-013 et les certifications NF 461 et ISO 27001. Ces dernières contribuent également à la qualification PSCo (prestataire de confiance) par l’ANSSI du service de préservation des signatures qualifiées. Le marché de la GED est, lui, beaucoup moins standardisé.
Arnaud Belleil, Cecurity.com
© Philippe Barbosa
« Deux univers cohabitent, celui de la GED, où les documents sont modifiables, par exemple avec des workflows de validation, et celui de la conservation sécurisée, où les documents qui ne doivent subir aucun changement sont confiés à des SAE ou des coffres numériques. D’un côté il y a une intelligence documentaire et de l’autre une forme de rusticité dont l’objet est d’abriter les preuves », explique Arnaud Belleil, directeur général adjoint de Cecurity.com.
Mais dans le domaine ultra régulé de l’archivage, où les solutions ont la capacité de s’adapter aux structures variées des contenus, d’offrir des moyens de restitution ajustés aux métiers, d’assurer la pérennité, la sécurité et l’intégrité des documents, de gérer un stockage à moindre coût et de garantir le respect d’une politique de rétention, les éditeurs de GED ne veulent plus jouer les seconds rôles. « Il n’existe aucune loi qui conditionne la manière d’archiver les documents. Il existe en revanche un lobbying d’acteurs ou de fédérations qui soutiennent que le coffre-fort ou le SAE sont indispensables à la conversion long terme des documents. C’est évidemment faux. Il faut plutôt se référer aux usages et notamment la nécessité de fournir des preuves en cas de contestation. Preuves que seul un juge peut considérer, qu’il s’agisse d’un litige avec un tiers ou avec l’État. Pour archiver sur le long terme les factures ou les contrats, nous proposons à nos clients la piste d’audit fiable ou le cachet signature eIDAS. En outre, nous possédons la certification NF 203 CCFN (composant coffre-fort numérique) qui garantit aux documents leur pérennité, leur intégrité et leur traçabilité », indique Olivier Rajzman, directeur commercial de DocuWare.
Être ou ne pas être certifié
L’éditeur allemand n’est pas le seul à revendiquer cette certification logicielle : Efalia et Open Bee ont eux aussi développé leur propre composant de coffre-fort numérique et mettent en avant les mêmes capacités d’archivage à valeur probatoire. Ces coffres sont accessibles via des API ou des protocoles de communication parfaitement identifiés. Au-delà du respect des normes, lorsque l’éditeur est à la fois propriétaire de la GED et du CCFN, l’intégration entre ces deux solutions s’avère plus souple. Surtout, pour rentabiliser les coûts de la certification, l’éditeur de GED qui a investi dans la conception de son propre coffre cherche logiquement à placer sa propre solution. La norme NF Z42-020 définit les fonctions essentielles des coffres.
« Ce texte à caractère technique décrit les fonctionnalités minimales du composant (déposer, détruire, lire des données, lire des métadonnées techniques, contrôler et lire le journal, lister, restituer, vider et contrôler le CCFN) tout comme les métadonnées de l’objet numérique à conserver (identifiant, déposant, heure de dépôt, empreinte) », explique la FNTC, la fédération nationale des tiers de confiance. Cette norme est une liste d’exigences, et sa certification le résultat d’un audit qui atteste du respect des exigences… un acteur du marché est donc certifié ou ne l’est pas. Comme pour la NF 461 destinée au SAE, la certification NF 203 est un gage de conformité pour le coffre électronique. Mais GED et coffre sont toujours dissociés. « L’objet premier d’une GED est de permettre d’utiliser les documents, de les partager, de les faire vivre, mais pas forcément de garantir la valeur probante des documents. L’aspect probatoire intervient soit en début d’une chaîne de traitements, au moment de la mise en œuvre d’une piste d’audit fiable dans laquelle les documents numérisés doivent présenter des garanties d’intégrité, de pérennité et de traçabilité, soit en fin de traitement en plaçant des documents dans un coffre numérique qui, chez nous, est un module optionnel de la GED. Une majorité de documents n’a pas à suivre ces traitements », explique Pascal Charrier, directeur général d’Efalia.
Les éditeurs de GED qui souhaitent enrichir leur offre avec un module d’archivage ont aujourd’hui la possibilité de développer leur propre coffre puis de le faire certifier, ou alors nouer des partenariats avec des acteurs spécialisés comme les tiers archiveurs. Techniquement, les partenariats présentent peu d’obstacles et peuvent être même conclus en marque blanche. « Une fonctionnalité comme le calcul d’empreintes réalisé à partir d’une technologie de blockchain permet à notre GED de fournir en amont une valeur probante : la moindre modification apportée sur un document est détectée grâce à une journalisation. Mais lorsque cela est nécessaire, cette GED possède les outils pour déverser automatiquement des documents dans un SAE ou dans un coffre-fort numérique. Le recours à un tiers archiveur est motivé à la fois par une exigence légale, la nature des documents et la gestion du risque en regard des coûts », illustre Marc Freichet, co-fondateur de T2i.
Le réfrigérateur et la chaine du froid
« La certification NF 203 permet de sceller un document, de le signer. Mais, il revient au client d’évaluer la durée de vie du document qu’il souhaite conserver. Par exemple, un contrat de prêt bancaire n’a pas besoin d’être archivé avant le délai de rétractation du souscripteur. Si la durée de vie du document est courte, il n’est pas nécessaire de le placer dans un SAE. Ce dernier ne fournit pas la valeur probatoire, il la garantit… il garantit que dans 20 ou 30 ans le document conservera tous ses attributs », souligne Charles du Boullay, directeur général d’Arkhineo, la BU archivage numérique de Docaposte.
Lorsque les préoccupations de l’entreprise reposent sur des logiques de confidentialité, de chiffrement, de distribution unitaire des documents comme pour les bulletins de salaire par exemple, l’usage du coffre est plus approprié. Mais quand le cycle de vie de l’archive (avec ses notions pérennité et durée de conservation) est essentiel dans la stratégie d’archivage, le SAE s’impose. Une direction RH est ainsi plus encline à exploiter un SAE, tandis que le salarié se tournera vers le coffre. Si les deux systèmes possèdent des fonctions communes comme la gestion de l’intégrité, de la preuve ou encore la journalisation, le coffre numérique répond à un besoin de sécurité, alors que le SAE est tourné vers la pérennité. Pour autant, les technologies mises en jeu ne sont pas les mêmes. « Le CFN peut être comparé à un réfrigérateur ou une chambre froide. Pour sa part le SAE correspond à toute la chaîne du froid. Soit l’entreprise met en œuvre l’ensemble des processus qui lui permettent de garantir qu’il possède bien la chaîne du froid et que tous les éléments sont respectés dans cette chaîne du froid, soit il fait appel à un prestataire qui maîtrise ce système », illustre Pascal Charrier. Non seulement la solution du tiers archiveur doit alors être certifiée, mais son hébergement, presque exclusivement aujourd’hui dans le cloud, doit répondre à la norme ISO 27001. Quant à la souveraineté, « il faut que le prestataire de l’hébergement soit immunisé contre les lois extra européennes, une version polie pour dire qu’il faut être vacciné contre le Cloud Act. Ce n’est pas tant la localisation des données qui est importante que la nationalité du prestataire », conseille Arnaud Belleil.
