De la norme nationale au cadre européen
Depuis une quinzaine d’années, la certification NF 461 constitue la référence française en matière d’archivage électronique à valeur probatoire. Elle encadre les processus métiers, du versement de l’archive jusqu’à sa restitution ou sa destruction. eIDAS 2 ne remet pas ce travail en question. Il le complète. « La certification NF 461 n’a pas vocation à disparaître, précise Déborah Munoz. Elle répond à de nombreux besoins actuels et restera pertinente pour de nombreux cas d’usage. »
Ce que le règlement européen introduit notamment, c’est un cadre de référence unique à l’échelle de l’Union européenne, avec une reconnaissance mutuelle dans tous les États membres. Mais ce passage à l’échelle européenne s’accompagne de deux changements plus profonds encore : une valeur juridique renforcée et des exigences organisationnelles et techniques particulièrement exigeantes.
La valeur juridique, moteur de la transformation
Ce qui change fondamentalement avec l’archivage qualifié, c’est la portée juridique de l’acte d’archivage. Avec un SAE certifié NF 461, la valeur probatoire est déjà significative : un juge reconnaît la certification comme un gage sérieux d’intégrité des archives. Mais c’est l’organisation qui doit, en cas de litige, défendre la fiabilité du système d’archivage.
Avec un service d’archivage qualifié au sens d’eIDAS 2, le mécanisme s’inverse. « Un service de confiance qualifié bénéficie d’une présomption de fiabilité, et c’est à la partie qui conteste l’intégrité d’une archive d’en apporter la preuve, explique Déborah Munoz. C’est ce qu’on appelle l’inversion de la charge de la preuve. » Un principe qui vaut pour tous les services de confiance qualifiés.
« Le recours à ce niveau de garantie ne dépend pas d’un secteur en particulier, détaille Déborah Munoz, c’est plutôt la nature des archives qui fera la différence. » Le parallèle avec la signature électronique est éclairant : plusieurs niveaux coexistent aujourd’hui, et la signature qualifiée n’est requise que pour des usages spécifiques, lorsqu’une réglementation sectorielle l’impose, comme c’est le cas pour l’établissement des actes authentiques électroniques dans le secteur notarial. L’archivage qualifié suivra vraisemblablement la même logique : il sera mobilisé en priorité pour les cas d’usage où une valeur juridique maximale est indispensable, à mesure que les cadres réglementaires en feront un levier ou une obligation.
Les secteurs déjà fortement encadrés sur le plan réglementaire, comme les banques, les assurances, la santé ou le secteur public, sont les premiers candidats naturels à l’adoption de l’archivage qualifié. C’est l’évolution du cadre réglementaire qui donnera le tempo. Pour l’heure, rien n’impose encore de franchir ce pas.
Des exigences organisationnelles et techniques
À ces changements d’échelle et de valeur juridique, s’ajoutent des exigences organisationnelles et techniques sensiblement renforcées.
Sur le plan technique, la norme NF Z42‑013 sur laquelle se base la certification NF 461 a construit un socle robuste sur la sécurité des systèmes d’information en s’appuyant notamment sur la norme ISO 27001. Avec eIDAS 2, le cadre devient plus exigeant : le service d’archivage électronique qualifié devra être opéré dans un environnement strictement maîtrisé, avec une séparation renforcée vis‑à‑vis des services non qualifiés.
De plus, le SAE qualifié devra s’appuyer sur des services de confiance eux-mêmes qualifiés, tels que l’horodatage, la signature ou le cachet électronique. « Cette évolution s’inscrit dans une logique d’interdépendance croissante entre les services de confiance, où la robustesse de l’un conditionne directement la valeur juridique et la fiabilité de l’ensemble de la chaîne, note Déborah Munoz. Il faut concevoir eIDAS 2 comme un écosystème dans lequel tous les maillons doivent être au niveau. »
« Les exigences techniques sont importantes, mais c’est l’impact organisationnel qu’il faut anticiper en priorité », prévient Déborah Munoz. En effet, l’accès au statut de service de confiance qualifié ne se limite pas à la conformité technique : il impose la mise en place d’une organisation dédiée et pérenne, structurée pour répondre à un niveau de contrôle et de supervision sensiblement plus exigeant que celui d’un SAE certifié NF 461. Cela se traduit notamment par l’identification formelle de rôles de confiance intervenant sur le service, une traçabilité exhaustive des opérations, un contrôle renforcé des sous‑traitants critiques, et une capacité à démontrer à tout moment la conformité aux exigences eIDAS. Cette montée en exigence se traduit également par un régime d’audit et de contrôle sensiblement plus dense que pour la certification NF 461 : la qualification par l’ANSSI repose sur un processus particulièrement rigoureux, fondé sur des évaluations indépendantes régulières et un haut niveau d’exigence en matière de sécurité, de gouvernance et de maîtrise opérationnelle.
Un écosystème en construction
Les textes eIDAS 2, les actes d’exécution et les normes techniques sont parus. Mais en France, aucun organisme n’est encore qualifié pour auditer les prestataires souhaitant proposer un service d’archivage qualifié. L’écosystème se construit et Tessi, en participant activement à des groupes de travail européens sur les services de confiance, y contribue.
Un horizon se profile, notamment avec l’arrivée du Portefeuille Numérique Européen. « Les copies de pièces d’identité vont progressivement laisser place à des attestations électroniques, que les organisations devront désormais archiver comme des preuves à part entière, observe Déborah Munoz. Les organisations devront archiver ces nouvelles formes de preuves. »
Un basculement qui dit quelque chose de plus profond : demain, archiver ne consistera plus uniquement à stocker des documents, mais à préserver dans le temps des éléments de preuve fondés sur des mécanismes de confiance. Aussi, les prestataires de services de confiance sont soumis à de fortes obligations de conservation des preuves, dans des conditions déjà très proches de celles des solutions certifiées NF 461. Il est donc probable que, à mesure que le cadre réglementaire se précise, des exigences d’archivage qualifié leur soient progressivement imposées.
Dans ce contexte, l’archivage qualifié apparaît comme un maillon structurant d’un écosystème de services de confiance aux interactions de plus en plus imbriquées, voire interdépendantes.