Archivage légal et gestion de la preuve
Transcription
Archivage légal et gestion de la preuve
Archivage légal et gestion de la preuve : ordre et méthode sont de rigueur En matière de dématérialisation et d'archivage électronique, et comme le rappelle très justement Maître Isabelle Renard, il n'y a ni loi, ni label, ni norme qui confère à un produit ou à un service d'archivage l'étiquette « légal ». Si cette terminologie n'a aucune signification réelle, son sens peut cependant être rapproché de celui du «records management», qui doit permettre de disposer à tout instant des documents et des données dont on a besoin. Elle est également destinée à assurer la traçabilité, pour pouvoir défendre ses intérêts en cas de litige et répondre aux exigences légales et réglementaires en matière de conservation de documents. PAR JEAN-MARC RIETSCH, PRESIDENT DE FEDISA (FÉDÉRATION ILM, STOCKAGE, ARCHIVAGE) Le principal objectif de l'archivage « légal » est de pouvoir fournir un document électronique (écrit sur support électronique) qui puisse être retenu comme preuve par le juge. Ce dernier est le seul à pouvoir décider de sa fiabilité, en vertu des pouvoirs qui lui sont conférés. L'écrit numérique ne concerne juridiquement que le contenu informationnel et non son support physique mais nécessite une traçabilité de son émetteur L'article 1316 du Code Civil, modifié par la Loi n°2000-230 du 13 mars 2000 - art. 1 (), précise : « La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission ». Cet article fait la démonstration que l'écrit numérique est fondamentalement différent de l'écrit papier dans la mesure où l'information est véritablement dissociée du support. En effet, si, autrefois, le support papier et son contenu informationnel ne faisaient qu'un, l'écrit électronique concerne uniquement le contenu informationnel, peu importe le support sur lequel il est conservé ou simplement affiché. Par ailleurs l'article 1316-3 de cette même loi indique on ne peut plus clairement que : « L'écrit sur support électronique a la même force probante que l'écrit sur support papier ». En revanche, il est clair que certaines conditions doivent être satisfaites, ainsi toujours dans la même loi, l'article 1316-1 précise : « L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité ». Pour faire office de preuve, l'écrit numérique doit répondre à des critères précis En complément de ce qui précède, afin de conférer une valeur probante à un document électronique au sens de la loi, sa conservation doit être fiable et sécurisée. Elle doit ainsi répondre aux exigences suivantes : • Intelligibilité • Identification • Intégrité • Pérennité. A ces quatre exigences s'ajoute également la notion importante de confidentialité et d'accès contrôlé à l'information, particulièrement sensible au niveau de la loi « Informatique et Libertés », dont la CNIL est chargée de veiller au respect. Intelligibilité : les formats pérennes sont de rigueur Peu importe la forme de l'information, l'essentiel est qu'elle soit restituée de façon compréhensible par l'homme et non par la machine. En effet, si un document papier permet d'un seul coup d'œil d'appréhender le contenu de l'information écrite, il n'en est pas de même pour un document électronique. Ce dernier nécessite systématiquement un traitement de transcription de la suite d'octets enregistrée sur le support électronique (disque, bande, ...) afin de la rendre intelligible à l'utilisateur humain que nous sommes, en la présentant sur un autre support, écran ou papier ! Ce traitement de transcription et de présentation, correspondant à un véritable processus, est fondamental puisque lui seul va permettre d'avoir pleinement connaissance du contenu informationnel de ce qui est conservé sous forme d'octets. Un tel traitement dépend essentiellement du format logique dans lequel sont enregistrés les documents électroniques. On comprend, dès lors, toute l'importance que revêt cette notion de format suivant lequel sont conservés les documents électroniques. Il est ainsi fondamental d'utiliser des formats pérennes de telle sorte que l'on soit toujours capable au cours du temps d'effectuer la transcription évoquée précédemment. Identification : l'émetteur doit être clairement identifié par sa signature électronique Il s'agit par là de garantir l'origine du document, tel qu'évoqué par l'article 1316-1 qui précise clairement que pour être admis en preuve, l'écrit sous forme électronique doit permettre d'identifier la personne dont il émane Par ailleurs, l'article 1316-4 précise également : « La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. [...]Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat ». L'article 2 du décret du n° 2001-272 du 30 mars 200 1 indique : « La fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié ». Ainsi, la signature électronique apparaît comme l'un des éléments permettant de garantir l'identité de l'auteur, voire l'intégrité de l'acte, sous réserve de respecter certaines conditions quant aux outils de signature et de vérification de signature, aux exigences quant à la délivrance des certificats dits « qualifiés », aux conditions de certification des prestataires de services de confiance ou PSC et à la validité de la signature. Ce dernier point est extrêmement important dans la mesure où, comme l'évoque Maître Eric Caprioli, le recours à la signature électronique nécessite de vérifier la validité de la signature au moment de l'établissement de l'écrit sous forme électronique mais aussi de pouvoir apporter la preuve de la vérification de la validité de la signature (et de l'écrit) sous forme électronique pendant tout le délai de conservation et/ou tout délai de prescription légale devant le juge (voir ci-après autorité de gestion de preuve). Intégrité : 3 critères ont été retenus par le Forum des Droits sur Internet Cette garantie d'intégrité correspond en fait à la non altération du contenu informationnel de l'écrit électronique. Il ne faut surtout pas limiter cette garantie à un contrôle d'intégrité au sens technique du terme, appliqué à la suite d'octets enregistrée et conservée sur un quelconque support. En effet, une telle limitation aboutirait très vite à une impossibilité à satisfaire une telle condition dans la mesure où l'on a aujourd'hui la quasi certitude de devoir changer de format logique dans le temps et, par voie de conséquence, perdre l'intégrité technique, mais sans pour autant modifier le contenu informationnel. Ainsi, dans ses recommandations sur la « conservation électronique des documents », le Forum de Droits sur Internet propose, en définitive, pour garantir l'intégrité d'un écrit, que trois critères soient cumulativement réunis par le processus de conservation : • la lisibilité du document : désigne la possibilité d'avoir accès, au moment de la restitution du document, à l'ensemble des informations qu'il comporte. Cette démarche peut être grandement facilitée par les métadonnées à associer au document. • la stabilité du contenu informationnel : désigne la nécessité de pouvoir garantir que les informations véhiculées par le document restent les mêmes depuis l'origine et qu'aucune donnée n'est été omise ou rajoutée au cours du processus de conservation. Le contenu informationnel s'entend de l'ensemble des informations, quelle que soit leur nature ou leur origine, issues du document et, le cas échéant, de sa mise en forme. • la traçabilité des opérations sur le document : désigne la faculté de présenter et de vérifier l'ensemble des traitements, opérés sur le document lors du processus de conservation. Ce qui précède démontre bien qu'en matière d'intégrité il faut absolument faire la différence entre l'intégrité au sens technique et l'intégrité au sens juridique qui se rapporte au contenu informationnel. Souvent, seule l'intégrité technique est véritablement prise en compte et a priori parfaitement contrôlée grâce aux empreintes numériques. Certes, ces contrôles d'empreintes sont importants et nécessaires mais ne répondent que partiellement à un processus complet de conservation. Pérennité : il est fondamental d'éliminer le risque d'obsolescence La pérennité doit permettre de respecter les durées de conservation prescrites par les textes en fonction de la nature du document et des délais de prescription. En revanche, la loi ne traite pas des formes et des modalités pratiques (matériels et procédures) de conservation essentiellement pour deux raisons. D'une part, la loi se doit de respecter le principe de neutralité technologique et, d'autre part, il est fondamental d'éliminer le risque d'obsolescence, particulièrement important en matière de nouvelles technologies. Rappelons de la même façon qu'aucun texte ne précise les conditions de conservation des écrits « papier » en imposant, par exemple, l'utilisation de méthodes contre les insectes, les bactéries, les incendies ou autres inondations ... Conformité légale : le juge appréciera en fonction de la qualité de la preuve Enfin, pour apprécier la conformité du système, le juge dispose de plusieurs éléments : • les conditions légales prescrites dans les textes et telles que nous venons de les détailler ; • les normes techniques en vigueur sachant qu'il est toutefois important de préciser qu'elles n'ont pas de caractère obligatoire et ne constituent qu'un indice de la fiabilité du système dans la mesure où elles correspondent à la reconnaissance d'un certain « état de l'art » ; • les systèmes de certification, de référencement ou de labellisation ; • les experts informatiques. Pour éviter les écueils, définir une politique d'archivage Ainsi, la présentation d'un document en justice afin qu'il puisse être retenu comme preuve par le juge, n'est pas chose aisée et, en tout cas, doit s'entourer d'un maximum de précautions. A cela s'ajoute également le fait qu'un certain nombre de professionnels ou tiers de confiance peuvent intervenir mais dans un cadre et suivant des responsabilités bien définies et somme toute limitées. De ce fait, une autorité de certification doit s'engager sur la validité d'un certificat au moment de son utilisation et pour ce faire doit assurer une mise à jour efficace de la liste de révocation. L'autorité d'horodatage ne peut s'engager que sur une date et une heure. Enfin, un tiers archiveur doit garantir l'intégrité des documents et leur pérennité pendant toute la durée nécessaire. Sachant qu'il n'y a aucune obligation à faire appel à un horodateur ou à un tiers archiveur, comment faire néanmoins pour assurer tout le reste, à savoir : l'intelligibilité, la lisibilité, l'identification, la stabilité, la traçabilité ou encore la confidentialité et les contrôles d'accès ? Ne pouvant apporter ici l'ensemble des réponses, il nous paraît néanmoins important de préciser qu'en matière de méthodologie, la meilleure façon de procéder afin de ne rien oublier quant aux objectifs à atteindre consiste à définir une politique d'archivage. Cette dernière doit également permettre de définir clairement les différents intervenants et les responsabilités de chacun et servira de base tant pour la définition du système à mettre en place que pour la vérification de la conformité de ce dernier aux exigences définies. Une politique d'archivage doit également être régulièrement revue afin de tenir compte des évolutions tant légales que réglementaires, voire internes à votre organisation. L'aspect réglementaire (compliance) n'a pas été abordé, mais constitue également un ensemble de contraintes supplémentaires directement fonction du domaine d'activité (banque, industrie, pharmacie, ...). L'autorité de gestion de preuve comme moyen efficace de garantir la signature électronique dans le temps Ainsi, la capacité à vérifier la validité de la signature électronique doit pouvoir être opérée tout au long de la période de conservation du document signé. Deux problèmes se posent alors, d'une part, celui de devoir conserver, en même temps que les documents signés, l'ensemble des éléments nécessaires à la vérification de la signature dont les CRL (Certification Révocation List) et, d'autre part, celui de l'affaiblissement dans le temps des procédés cryptographiques utilisés dans le processus de signature. Sur ce dernier point, il est clair que d'ici quelques années les principes actuels seront cassés. Dès lors, il deviendra alors parfaitement possible de constituer un faux document signé comme s'il avait été réalisé quelques années auparavant. Une façon de se protéger contre ce phénomène serait alors de systématiquement re-signer avec un nouveau procédé fiable l'ensemble des documents conservés ! De quoi faire fuir les plus courageux. Une autre approche possible, abordée il y a déjà plusieurs années (projet européen Openevidence IST2001-35174), consiste à faire intervenir un tiers dont le rôle est justement de vérifier la signature le plus tôt possible après son apposition et de garder la trace de cette vérification en établissant une attestation (électronique) disposant d'une véritable portée juridique. Cette attestation est ensuite conservée en même temps que le document mais également par ce tiers, qualifié d'autorité de gestion de preuve. L'AGP pourra ainsi venir témoigner en cas de besoin mais surtout assumera l'ensemble de la problématique posée par l'obsolescence cryptologique concernant les attestations qu'elle conserve. Le rôle d'une AGP n'est ni celui d'un tiers archiveur, ni d'une autorité de certification mais elle peut s'appuyer sur un tiers horodateur. L'ensemble des garanties offertes doit figurer dans une politique de gestion de preuve précisant également les engagements de chacune des parties. En matière de preuve, concevez une politique d'archivage pour mettre toutes les chances de votre côté En matière de « preuve électronique », il est important de faire attention aux termes employés, au contexte et aux belles promesses. Pensez à mettre en place une politique d'archivage dans votre organisation et quoiqu'il en soit vérifier simplement auprès des fournisseurs les engagements effectivement pris, les responsabilités assumées contractuellement et la couverture réelle en cas de sinistre. Mettez ainsi toutes les chances de votre côté afin de faire valoir vos documents électroniques en tant que preuve et surtout afin de ne pas avoir à supporter la charge de la preuve. ARTICLE PARU DANS « GLOBAL SECURITY M AG » - M ARS-AVRIL-M AI 2008