Archivage électronique qualifié : dans les coulisses de la normalisation européenne - Tessi

Comment s’est construit le cadre normatif européen de l’archivage qualifié ? Quel a été le rôle de la France ?

Tout part d’un constat simple : eIDAS 2 introduit l’archivage électronique qualifié comme nouveau service de confiance, mais le règlement européen explique ce qu’il faut faire mais pas comTout part d’un constat simple : eIDAS 2 introduit l’archivage électronique qualifié comme nouveau service de confiance, mais le règlement européen explique ce qu’il faut faire mais pas comment il faut le faire. Ce sont les actes d’exécution[1], appuyés sur des normes techniques, qui répondent à ce dernier point.

Or, construire une norme européenne suppose de trouver un consensus entre pays aux pratiques très différentes. La France dispose d’un socle solide avec la norme AFNOR NF Z42-013, sur laquelle repose la certification NF 461. Mais chaque pays européen arrive avec ses propres référentiels, ses propres pratiques, et aucun ne s’impose naturellement aux autres.

Par exemple, l’un des points de divergence portait sur l’augmentation de signature, c’est-à-dire le fait de prolonger techniquement la validité d’un document signé dans le temps. Certains pays pratiquent cette approche, alors que la France et d’autres pays préfèrent vérifier la validité de la signature au moment du versement et conserver les éléments de preuve associés, ne faisant appel au processus d’augmentation de signature qu’en cas de risque avéré d’obsolescence cryptographique de la signature.

Pour pouvoir échanger entre paires européens, il fallait utiliser une approche partagée sur un socle consensuel commun. Le choix s’est porté sur la norme internationale ISO 14721 (OAIS[2]), qui définit un vocabulaire et des concepts partagés autour des grands flux de l’archivage : description des objets à archiver, versement, conservation, administration, communication, élimination. Un langage que tout le monde connaît, qui recouvre des concepts partagés, quelle que soit la tradition nationale.

C’est dans ce contexte qu’a été créé par la France, début 2022, le comité technique CEN TC 468, avec l’Afnor comme secrétariat. Ce comité est constitué de représentants nationaux qui votent et valident. Mais pour produire le contenu technique, il faut un groupe de travail constitué d’experts. C’est ce groupe de travail dont j’ai pris la responsabilité, avec deux co-responsables allemand et italien.

Quels ont été les jalons clés de votre travail ?

La première année, de fin 2022 à fin 2023, a été consacrée à un rapport technique recensant tous les standards européens existants en matière d’archivage électronique. Objectifs : cartographier les différences entre pays et identifier un socle commun. Un travail de fond, indispensable avant de pouvoir écrire quoi que ce soit.

Ensuite, de fin 2023 à mai 2025, nous avons produit la spécification technique CEN TS 18170, au terme de 35 réunions de travail. Ce texte définit les exigences d’un service d’archivage qualifié et non qualifié au sens d’eIDAS 2 : flux entrants et sortants, sécurité, politiques de fourniture du service et niveaux de service, versement, traçabilité, réversibilité. C’est le fameux « comment » attendu pour répondre à l’archivage électronique qualifié. Il établit également une référence croisée avec la norme sur les registres électroniques, autrement dit la blockchain européenne, pour les organisations qui souhaiteraient s’appuyer sur ce nouveau service de confiance pour la traçabilité immuable du service d’archivage électronique. Le texte, le CEN TS 18170, a été publié en mai 2025.

Comment s’articulent la spécification technique et les actes d’exécution ? Et quelle est la suite du calendrier ?

La spécification technique CEN TS 18170 et les actes d’exécution de la Commission Européenne sont deux types de textes distincts, mais intimement liés. Les actes d’exécution fixent les exigences auxquelles un prestataire doit se conformer pour être qualifié. La spécification technique, elle, est la norme qui explique concrètement comment y répondre. Pour que le système fonctionne, les deux doivent s’appuyer mutuellement.

C’est l’objet de la deuxième version de notre spécification technique sur laquelle nous travaillons depuis près d’un an, et qui verra le jour très prochainement. D’une part, nous intégrons les plus de 200 commentaires formulés par les pays sur la V1 ; d’autre part, nous cherchons à mieux articuler la spécification technique avec les actes d’exécution de la Commission Européenne.

L’objectif est que la Commission révise les actes d’exécution sur la base de la version 2 du CEN TS 18170, pour aboutir à un texte plus simple, plus lisible, moins redondant.

Les actes d’exécution sont donc parus, mais en France, aucun organisme n’est encore qualifié pour auditer les prestataires. Comment l’expliquer ?

La qualification d’un prestataire d’archivage qualifié repose sur une chaîne à plusieurs maillons. Il faut d’abord qu’existe un organisme d’audit accrédité, ce qu’on appelle un CAB[3], lui-même accrédité par un NAB[4] : le COFRAC en France. Ce CAB doit maîtriser les exigences de la norme et être capable de vérifier leur application. C’est seulement une fois l’audit positif du prestataire de confiance par un CAB que le SB[5], l’ANSSI[6] en France, peut accorder la qualification et publier le prestataire sur la liste européenne des services de confiance qualifiés.

Or aujourd’hui, en France, aucun CAB n’est encore accrédité pour ce périmètre. La raison principale : l’ANSSI a priorisé le déploiement du portefeuille d’identité numérique européen, l’EUDI Wallet. Tant que ce chantier mobilise les ressources, le reste avance plus lentement. La France est, sur ce point, en retard par rapport à d’autres pays européens qui ont déjà engagé ce processus.

Concrètement, que doivent faire les organisations qui veulent se préparer dès maintenant ?

Ne pas attendre ! Les organisations qui souhaitent proposer un service d’archivage électronique qualifié ont tout intérêt à suivre les exigences de l’acte d’exécution (EU) 2025/2532 sans attendre la V2 du CEN TS 18170 et à travailler leur mise en conformité. Quand un CAB sera disponible, elles n’auront plus qu’à demander l’audit.

Ce qu’il faut bien comprendre, c’est que dès lors qu’un prestataire sera qualifié, il pourra proposer ses services sur l’ensemble du marché européen. C’est un marché de concurrence, ouvert, fondé sur la qualité de service et les prix. Les organisations qui auront anticipé seront en position de force. Celles qui attendront subiront le rythme des autres.

Archivage électronique et cycle de vie des documents : des normes au service de la confiance numérique

Retrouvez l’éclairage de la secrétaire de la commission 171 de l’Afnor

[1] Le texte officiel version anglaise utilise « COMMISSION IMPLEMENTING REGULATION (EU) 2025/2532. La version française du texte traduit par : « RÈGLEMENT D’EXÉCUTION (UE) 2025/2532 ».

[2] L’OAIS (Open Archival Information System) est également enregistré comme norme ISO sous la référence ISO 14721:2012. Il fait partie des recommandations du Référentiel général d’interopérabilité pour les systèmes d’archivage électronique.

[3] Conformity Assessment Bodies

[4] National Accreditation Body

[5] Supervisory Body

[6] Agence nationale de la sécurité des systèmes d’information