Archivage légal et gestion de la preuve

Archivage légal et gestion de la preuve :
ordre et méthode sont de rigueur
En matière de dématérialisation et d'archivage électronique, et comme le rappelle très justement Maître
Isabelle Renard, il n'y a ni loi, ni label, ni norme qui confère à un produit ou à un service d'archivage
l'étiquette « légal ». Si cette terminologie n'a aucune signification réelle, son sens peut cependant être
rapproché de celui du «records management», qui doit permettre de disposer à tout instant des documents
et des données dont on a besoin. Elle est également destinée à assurer la traçabilité, pour pouvoir défendre
ses intérêts en cas de litige et répondre aux exigences légales et réglementaires en matière de conservation
de documents.
PAR JEAN-MARC RIETSCH, PRESIDENT DE FEDISA (FÉDÉRATION ILM, STOCKAGE, ARCHIVAGE)
Le principal objectif de l'archivage « légal » est de pouvoir fournir un document électronique (écrit sur
support électronique) qui puisse être retenu comme preuve par le juge. Ce dernier est le seul à pouvoir
décider de sa fiabilité, en vertu des pouvoirs qui lui sont conférés.
L'écrit numérique ne concerne juridiquement que le contenu informationnel et non son support
physique mais nécessite une traçabilité de son émetteur
L'article 1316 du Code Civil, modifié par la Loi n°2000-230 du 13 mars 2000 - art. 1 (), précise : « La preuve
littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes
ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de
transmission ».
Cet article fait la démonstration que l'écrit numérique est fondamentalement différent de l'écrit papier dans la
mesure où l'information est véritablement dissociée du support. En effet, si, autrefois, le support papier et
son contenu informationnel ne faisaient qu'un, l'écrit électronique concerne uniquement le contenu
informationnel, peu importe le support sur lequel il est conservé ou simplement affiché.
Par ailleurs l'article 1316-3 de cette même loi indique on ne peut plus clairement que : « L'écrit sur support
électronique a la même force probante que l'écrit sur support papier ».
En revanche, il est clair que certaines conditions doivent être satisfaites, ainsi toujours dans la même loi,
l'article 1316-1 précise : « L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur
support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi
et conservé dans des conditions de nature à en garantir l'intégrité ».
Pour faire office de preuve, l'écrit numérique doit répondre à des critères précis
En complément de ce qui précède, afin de conférer une valeur probante à un document électronique au
sens de la loi, sa conservation doit être fiable et sécurisée. Elle doit ainsi répondre aux exigences suivantes :
• Intelligibilité
• Identification
• Intégrité
• Pérennité.
A ces quatre exigences s'ajoute également la notion importante de confidentialité et d'accès contrôlé à
l'information, particulièrement sensible au niveau de la loi « Informatique et Libertés », dont la CNIL est
chargée de veiller au respect.
Intelligibilité : les formats pérennes sont de rigueur
Peu importe la forme de l'information, l'essentiel est qu'elle soit restituée de façon compréhensible par
l'homme et non par la machine. En effet, si un document papier permet d'un seul coup d'œil d'appréhender
le contenu de l'information écrite, il n'en est pas de même pour un document électronique. Ce dernier
nécessite systématiquement un traitement de transcription de la suite d'octets enregistrée sur le support
électronique (disque, bande, ...) afin de la rendre intelligible à l'utilisateur humain que nous sommes, en la
présentant sur un autre support, écran ou papier !
Ce traitement de transcription et de présentation, correspondant à un véritable processus, est fondamental
puisque lui seul va permettre d'avoir pleinement connaissance du contenu informationnel de ce qui est
conservé sous forme d'octets. Un tel traitement dépend essentiellement du format logique dans lequel sont
enregistrés les documents électroniques. On comprend, dès lors, toute l'importance que revêt cette notion
de format suivant lequel sont conservés les documents électroniques. Il est ainsi fondamental d'utiliser des
formats pérennes de telle sorte que l'on soit toujours capable au cours du temps d'effectuer la transcription
évoquée précédemment.
Identification : l'émetteur doit être clairement identifié par sa signature électronique
Il s'agit par là de garantir l'origine du document, tel qu'évoqué par l'article 1316-1 qui précise clairement que
pour être admis en preuve, l'écrit sous forme électronique doit permettre d'identifier la personne dont il
émane Par ailleurs, l'article 1316-4 précise également : « La signature nécessaire à la perfection d'un acte
juridique identifie celui qui l'appose. [...]Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé
fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est
présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire
assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat ».
L'article 2 du décret du n° 2001-272 du 30 mars 200 1 indique : « La fiabilité d'un procédé de signature
électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en œuvre une signature
électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la
vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié ».
Ainsi, la signature électronique apparaît comme l'un des éléments permettant de garantir l'identité de
l'auteur, voire l'intégrité de l'acte, sous réserve de respecter certaines conditions quant aux outils de
signature et de vérification de signature, aux exigences quant à la délivrance des certificats dits « qualifiés »,
aux conditions de certification des prestataires de services de confiance ou PSC et à la validité de la
signature. Ce dernier point est extrêmement important dans la mesure où, comme l'évoque Maître Eric
Caprioli, le recours à la signature électronique nécessite de vérifier la validité de la signature au moment de
l'établissement de l'écrit sous forme électronique mais aussi de pouvoir apporter la preuve de la vérification
de la validité de la signature (et de l'écrit) sous forme électronique pendant tout le délai de conservation
et/ou tout délai de prescription légale devant le juge (voir ci-après autorité de gestion de preuve).
Intégrité : 3 critères ont été retenus par le Forum des Droits sur Internet
Cette garantie d'intégrité correspond en fait à la non altération du contenu informationnel de l'écrit
électronique. Il ne faut surtout pas limiter cette garantie à un contrôle d'intégrité au sens technique du terme,
appliqué à la suite d'octets enregistrée et conservée sur un quelconque support. En effet, une telle limitation
aboutirait très vite à une impossibilité à satisfaire une telle condition dans la mesure où l'on a aujourd'hui la
quasi certitude de devoir changer de format logique dans le temps et, par voie de conséquence, perdre
l'intégrité technique, mais sans pour autant modifier le contenu informationnel.
Ainsi, dans ses recommandations sur la « conservation électronique des documents », le Forum de Droits
sur Internet propose, en définitive, pour garantir l'intégrité d'un écrit, que trois critères soient
cumulativement réunis par le processus de conservation :
• la lisibilité du document : désigne la possibilité d'avoir accès, au moment de la restitution du
document, à l'ensemble des informations qu'il comporte. Cette démarche peut être grandement
facilitée par les métadonnées à associer au document.
• la stabilité du contenu informationnel : désigne la nécessité de pouvoir garantir que les informations
véhiculées par le document restent les mêmes depuis l'origine et qu'aucune donnée n'est été omise
ou rajoutée au cours du processus de conservation. Le contenu informationnel s'entend de
l'ensemble des informations, quelle que soit leur nature ou leur origine, issues du document et, le
cas échéant, de sa mise en forme.
• la traçabilité des opérations sur le document : désigne la faculté de présenter et de vérifier
l'ensemble des traitements, opérés sur le document lors du processus de conservation.
Ce qui précède démontre bien qu'en matière d'intégrité il faut absolument faire la différence entre l'intégrité
au sens technique et l'intégrité au sens juridique qui se rapporte au contenu informationnel. Souvent, seule
l'intégrité technique est véritablement prise en compte et a priori parfaitement contrôlée grâce aux
empreintes numériques. Certes, ces contrôles d'empreintes sont importants et nécessaires mais ne
répondent que partiellement à un processus complet de conservation.
Pérennité : il est fondamental d'éliminer le risque d'obsolescence
La pérennité doit permettre de respecter les durées de conservation prescrites par les textes en fonction de
la nature du document et des délais de prescription.
En revanche, la loi ne traite pas des formes et des modalités pratiques (matériels et procédures) de
conservation essentiellement pour deux raisons. D'une part, la loi se doit de respecter le principe de
neutralité technologique et, d'autre part, il est fondamental d'éliminer le risque d'obsolescence,
particulièrement important en matière de nouvelles technologies. Rappelons de la même façon qu'aucun
texte ne précise les conditions de conservation des écrits « papier » en imposant, par exemple, l'utilisation
de méthodes contre les insectes, les bactéries, les incendies ou autres inondations ...
Conformité légale : le juge appréciera en fonction de la qualité de la preuve
Enfin, pour apprécier la conformité du système, le juge dispose de plusieurs éléments :
• les conditions légales prescrites dans les textes et telles que nous venons de les détailler ;
• les normes techniques en vigueur sachant qu'il est toutefois important de préciser qu'elles n'ont pas
de caractère obligatoire et ne constituent qu'un indice de la fiabilité du système dans la mesure où
elles correspondent à la reconnaissance d'un certain « état de l'art » ;
• les systèmes de certification, de référencement ou de labellisation ;
• les experts informatiques.
Pour éviter les écueils, définir une politique d'archivage
Ainsi, la présentation d'un document en justice afin qu'il puisse être retenu comme preuve par le juge, n'est
pas chose aisée et, en tout cas, doit s'entourer d'un maximum de précautions. A cela s'ajoute également le
fait qu'un certain nombre de professionnels ou tiers de confiance peuvent intervenir mais dans un cadre et
suivant des responsabilités bien définies et somme toute limitées.
De ce fait, une autorité de certification doit s'engager sur la validité d'un certificat au moment de son
utilisation et pour ce faire doit assurer une mise à jour efficace de la liste de révocation. L'autorité
d'horodatage ne peut s'engager que sur une date et une heure. Enfin, un tiers archiveur doit garantir
l'intégrité des documents et leur pérennité pendant toute la durée nécessaire.
Sachant qu'il n'y a aucune obligation à faire appel à un horodateur ou à un tiers archiveur, comment faire
néanmoins pour assurer tout le reste, à savoir : l'intelligibilité, la lisibilité, l'identification, la stabilité, la
traçabilité ou encore la confidentialité et les contrôles d'accès ?
Ne pouvant apporter ici l'ensemble des réponses, il nous paraît néanmoins important de préciser qu'en
matière de méthodologie, la meilleure façon de procéder afin de ne rien oublier quant aux objectifs à
atteindre consiste à définir une politique d'archivage. Cette dernière doit également permettre de définir
clairement les différents intervenants et les responsabilités de chacun et servira de base tant pour la
définition du système à mettre en place que pour la vérification de la conformité de ce dernier aux exigences
définies. Une politique d'archivage doit également être régulièrement revue afin de tenir compte des
évolutions tant légales que réglementaires, voire internes à votre organisation. L'aspect réglementaire
(compliance) n'a pas été abordé, mais constitue également un ensemble de contraintes supplémentaires
directement fonction du domaine d'activité (banque, industrie, pharmacie, ...).
L'autorité de gestion de preuve comme moyen efficace de garantir la signature électronique dans le
temps
Ainsi, la capacité à vérifier la validité de la signature électronique doit pouvoir être opérée tout au long de la
période de conservation du document signé. Deux problèmes se posent alors, d'une part, celui de devoir
conserver, en même temps que les documents signés, l'ensemble des éléments nécessaires à la vérification
de la signature dont les CRL (Certification Révocation List) et, d'autre part, celui de l'affaiblissement dans le
temps des procédés cryptographiques utilisés dans le processus de signature. Sur ce dernier point, il est
clair que d'ici quelques années les principes actuels seront cassés. Dès lors, il deviendra alors parfaitement
possible de constituer un faux document signé comme s'il avait été réalisé quelques années auparavant.
Une façon de se protéger contre ce phénomène serait alors de systématiquement re-signer avec un
nouveau procédé fiable l'ensemble des documents conservés ! De quoi faire fuir les plus courageux.
Une autre approche possible, abordée il y a déjà plusieurs années (projet européen Openevidence IST2001-35174), consiste à faire intervenir un tiers dont le rôle est justement de vérifier la signature le plus tôt
possible après son apposition et de garder la trace de cette vérification en établissant une attestation
(électronique) disposant d'une véritable portée juridique. Cette attestation est ensuite conservée en même
temps que le document mais également par ce tiers, qualifié d'autorité de gestion de preuve. L'AGP pourra
ainsi venir témoigner en cas de besoin mais surtout assumera l'ensemble de la problématique posée par
l'obsolescence cryptologique concernant les attestations qu'elle conserve. Le rôle d'une AGP n'est ni celui
d'un tiers archiveur, ni d'une autorité de certification mais elle peut s'appuyer sur un tiers horodateur.
L'ensemble des garanties offertes doit figurer dans une politique de gestion de preuve précisant également
les engagements de chacune des parties.
En matière de preuve, concevez une politique d'archivage pour mettre toutes les chances de votre
côté
En matière de « preuve électronique », il est important de faire attention aux termes employés, au contexte
et aux belles promesses. Pensez à mettre en place une politique d'archivage dans votre organisation et
quoiqu'il en soit vérifier simplement auprès des fournisseurs les engagements effectivement pris, les
responsabilités assumées contractuellement et la couverture réelle en cas de sinistre. Mettez ainsi toutes les
chances de votre côté afin de faire valoir vos documents électroniques en tant que preuve et surtout afin de
ne pas avoir à supporter la charge de la preuve.
ARTICLE PARU DANS « GLOBAL SECURITY M AG » - M ARS-AVRIL-M AI 2008