Le droit est affaire de précision. Un premier éclaircissement s’impose : celui du vocabulaire. « Le terme d’archivage n’a de définition légale que dans le secteur public, avec le Code du patrimoine. En entreprise, on devrait plutôt parler de conservation des documents numériques, bien que le document ait tendance à disparaître au profit des données structurées et non structurées. Ainsi, la Cnil définit l’archivage électronique de données personnelles comme « les pratiques de conservation des données visées à l’article 2 de la loi du 6 janvier 1978 modifiée, que celles-ci soient collectées, reçues, établies ou transformées sous forme électronique, par toute personne, service ou organisme privé dans l’exercice de son activité », précise Polyanna Bigle.
Des obligations légales de conservation
En cas de contrôle
L’entreprise doit conserver un certain nombre de documents à des fins de contrôle. Les obligations légales de conservation des documents ont principalement trait aux domaines comptable, social, fiscal (article 1-102B tiret 1 et tiret 2 du Code général des impôts), économique, douanier et bancaire (loi n°90-614 du 12 juillet 1990 relative à la lutte contre le blanchiment des capitaux).
En cas de contrôle fiscal ou social par exemple, il est maintenant possible pour une entreprise de fournir les documents originaux ou des copies identiques sur support numérique, ainsi que des documents originaux numériques. Cela impose que ces documents numériques (originaux ou documents numérisés), aient été conservés de façon intègre, c’est-à-dire sans aucune modification possible depuis le début de sa conservation.
En cas de litige, pour la preuve de ses droits et prétentions
De la même manière, en cas de litige, l’entreprise doit démontrer ses droits en s’appuyant sur des documents établis sur support papier ou support électronique, dont les juges peuvent être certain de leur authenticité et de leur intégrité. La conservation des documents électroniques doit assurer la pérennité de l’information qui y est contenue, garantir son origine, dans le but de la restituer le moment venu.
« L’archivage électronique est une composante majeure de la valeur légale et la force probante d’un écrit électronique. Un écrit électronique n’est admis comme preuve en justice ou en cas de contrôle à condition que son archivage électronique garantisse l’authenticité du document (qui l’a créé, quand ?), son intégrité (en aucune façon il ne doit être modifié, altéré ni dénaturé), sa traçabilité et son « intelligibilité » dans le temps, c’est à dire sa capacité à être restitué et lisible par l’homme, quels que soient les supports et formats d’archivage », détaille l’avocate.
Il est à noter que les règles européennes ne spécifient pas explicitement les règles d’archivage électronique. Le Réglement Général pour la Protection des Données (RGPD) qui vise les données personnelles et non les documents, prévoit notamment que les données conservées ne soient pas transférées en dehors du sol européen, sauf à rentrer dans les cas d’exceptions prévues, et que les données personnelles qui ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées et utilisées, soient purgées. Néanmoins, la Cnil a publié une recommandation sur l’archivage électronique des données personnelles [1]. Quant au règlement Electronic IDentification And Trust Services (eIDAS), entré en vigueur le 23 juillet 2014, il ne s’applique qu’aux services de confiance comme les services de signature électronique et de cachet électronique, sans viser les services externalisés d’archivage électronique, exception faite des services de conservation de signature et de cachet électroniques.
Quelle est la durée de conservation obligatoire d’un document ?
Selon le secteur d’activité et la nature des documents, les dispositions législatives et réglementaires définissent également une durée d’utilité administrative (DUA), c’est-à-dire le délai obligatoire de conservation et le sort final de ces documents (destruction ou conservation ad vitam), qui varie de 10 ans pour les factures, à 50 ans plus 6 ans après l’entrée en retraite pour les bulletins de paye, à 100 ans voire à perpétuité pour des actes notariés…
Différentes formes de conservation
Les documents numériques ont différents statuts et diverses localisations possibles. Ils sont généralement simplement stockés dans les disques durs et les serveurs de l’entreprise, ou hébergés chez un prestataire ; la plupart du temps, sauvegardés. Enfin, stade ultime, ils être archivés électroniquement en vue, si nécessaire, de leur restitution en cas de contrôle ou à titre de preuve.
« Les premiers cas relèvent de la simple gestion électronique des documents et des affaires courantes. Le dernier cas, d’un système d’archivage électronique, qui doit être mis en place dès la création du document original, garantir une date d’enregistrement et l’intégrité des contenus conservés, leur classement, leur capacité à être retrouvés – un document qui ne peut pas être retrouvé ou qui n’est plus lisible est un document perdu ». Tous ces éléments constituent la valeur légale des documents numériques », indique Polyanna Bigle.
Un cadre adapté aux documents électroniques natifs
« Depuis l’an 2000, l’article 1316 du Code civil, devenu l’article 1366 en 2016, confère la valeur de preuve à un écrit nativement numérique comparable à un écrit original papier, sous réserve de pouvoir l’authentifier et d’en démontrer son intégrité. L’article 1174 du Code civil prévoit les cas où un acte ou un contrat doit être écrit à peine de nullité et lorsqu’il est numérique ajoute l’exigence d’une signature électronique du document. ».
Dans le cas d’un courriel, pour bénéficier de la même force probante qu’un courrier papier, le courriel doit être établi et conservé en garantissant là aussi son intégrité et authentifiant l’auteur d’origine. A cet effet, il est nécessaire recourir à des systèmes dédiés, associant par exemple signature électronique et horodatage électronique.
La copie numérique est définie par le décret n°2016-1673
L’article 1379 du Code civil prévoit le droit de la copie et, nouveauté, le droit de la copie numérique d’originaux papier. Le texte énonce les conditions dans lesquelles la copie a la même force probante que l’original : pour ce faire elle doit être « fiable », c’est-à-dire reproduire fidèlement et durablement l’original. Le décret d’application du 5 décembre 2016 détaille les procédés techniques pour qu’une copie numérique soit présumée fiable : « La copie est conservée dans des conditions propres à éviter toute altération de sa forme et de son contenu, avec la traçabilité de ses modifications éventuelles et la génération d’une date et d’une empreinte numériques. N’est pas une copie présumée fiable, la simple photographie d’un document faite avec son téléphone portable ou le scan fait avec le scanner du bout du couloir », précise la directrice du département sécurité numérique.
« La copie numérique conservée dans les règles de l’art est alors réputée fiable. Cela ne dispense cependant pas l’entreprise de conserver des originaux papier le temps de la durée de conservation obligatoire, car selon l’article 1379 du Code civil « Si l’original subsiste, sa présentation peut toujours être exigée.» Des exceptions existent pour pouvoir supprimer les originaux papier après numérisation fiable, comme par exemple les factures et ses documents justificatifs ou certains documents de santé ». L’intérêt de la numérisation et de leur conservation est alors purement pragmatique : consultation par plusieurs personnes, depuis différents lieux, partage de documents, etc. évitant la multiplication des copies des documents et par la même des données personnelles.
Les normes
Les normes prolongent le droit, en fixant les conditions techniques de numérisation et de conservation des documents, prises en charge par des systèmes d’archivage électronique conformes à la norme AFNOR NF Z 42-013 – ou à son équivalent international ISO 14641 -, ainsi qu’à la norme AFNOR NF Z 42-026 sur la numérisation fidèle de documents d’activité. Les prestataires mettant en œuvre de telles normes sont audités et labellisés.
Tel est le cas de Tessi qui bénéficie depuis 2016 du label NF461 délivré par AFNOR Certification.
Le cas spécifique des hébergeurs de données de santé (HDS)
L’hébergement des données de santé à caractère personnel est encadré par l’article L1111-8 du Code de la santé publique.
Toute personne qui héberge des données de santé à caractère personnel recueillies à l’occasion d’activité de prévention, de diagnostic et de soins ou de suivi social et médico-social, pour le compte de personnes à l’origine de la production ou du recueil de ces données, ou pour le compte du patient lui-même, doit être habilitée pour ce faire.
En matière d’hébergement de données de santé à caractère personnel, il convient de distinguer l’hébergeur sur support numérique, de l’hébergeur fournissant un service d’archivage, précise l’avocate spécialiste en e-santé.
Service d’hébergement sur support numérique
L’hébergeur sur support numérique doit être titulaire d’un certificat de conformité au référentiel de certification approuvé par arrêté du 11 juin 2018 [2] s’appuyant principalement sur des normes internationales :
- en totalité, la norme ISO 27001 « système de gestion de la sécurité des systèmes d’information » ;
- des exigences de la norme ISO 20000-1 « système de gestion de la qualité des services » ;
- des exigences de protection des données à caractère personnel pour lesquelles une conformité à la norme ISO 27018 confère une présomption de conformité ;
- des exigences spécifiques à l’hébergement de données de santé.
Le certificat de conformité est délivré par un organisme de certification accrédité par le COFRAC, étant précisé que les activités concernées et conditions de délivrance sont fixées par décret [3].
Service d’archivage numérique
Le prestataire fournissant un service d’archivage numérique de données de santé à caractère personnel doit être agréé par le Ministre chargé de la culture pour la conservation des données de santé à caractère personnel.
Les conditions d’agrément seront fixées par décret. La procédure d’agrément reprendra les exigences de la certification des hébergeurs de données de santé à caractère personnel sur support numérique pour la partie technique jusqu’à l’hébergement physique, outre des exigences spécifiques qui seront définies par référentiel sur la partie fonctionnelle.
Le Ministère de la santé précise « soit l’offreur de services ne fait que de l’hébergement de systèmes d’archivage électronique, auquel cas il n’a besoin que de l’agrément puisqu’il comprend aussi les exigences techniques de la certification, soit il est hébergeur de systèmes d’information de santé et archiveur, auquel cas il doit être certifié HDS et agréé par le ministère de la culture ». Ainsi, l’hébergeur disposera sur la partie technique d’un socle commun d’exigences à respecter pour les deux procédures.
Marguerite Brac de La Perrière, directrice du département santé numérique, précise qu’à date, seule la procédure de certification est en vigueur et 32 hébergeurs sont certifiés.
Tessi est l’un de ses acteurs.
[1] Délibération n°2005-213 du 11 octobre 2005 Délibération portant adoption d’une recommandation concernant les modalités d’archivage électronique, dans le secteur privé, de données à caractère personnel.
[2] Arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel
[3] Décret n° 2018-137 du 26 février 2018 relatif à l’hébergement de données de santé à caractère personnel