Publications | Fiches point de vue
QUELQUES POINTS CLE DU CONTRAT D'ARCHIVAGE ELECTRONIQUE
L'archivage consiste à conserver, à moyen ou long terme des informations afin de pouvoir les exploiter ultérieurement. L'archivage permet ainsi d'assurer la fidélité et la durabilité de l'information conservée. Aujourd'hui, en raison du développement considérable des données sous forme dématérialisée, les supports traditionnels d'archivage (papier ou microforme) des documents sont progressivement remplacés par des système d'archivage électronique. Lors de la détermination des modalités de mise en œuvre de l'archivage, l'entreprise a le choix entre la création d'un service d'archivage en interne, ou l'"externalisation" de cette prestation. Dans ce dernier cas, un contrat spécifique doit alors être établi à cette occasion.
Au plan juridique, quelques points essentiels doivent faire l'objet d'une attention particulière lors de la conclusion d'un contrat d'externalisation de la fonction d'archivage électronique.
1. Quelques questions préalables :
Le contenu du contrat d'archivage dépend des besoins exprimés par l'entreprise, donneur d'ordre.
Pour ce faire, l'entreprise devra préalablement mener une réflexion sur ses besoins réels et répondre notamment aux questions suivantes :
-
Le motif de l'archivage :
L'entreprise devra par ailleurs s'interroger sur l'utilisation future des archives. Les données, une fois archivées, seront-elles exploitées par la seule entreprise ou devront-elles constituer un moyen de preuve lors de la survenance d'un différend éventuel (contrôle fiscal, instance judiciaire, etc.) ?
-
La nature et le volume des données à archiver :
L'entreprise doit définir clairement la nature et le type de données à archiver.
La confidentialité et le caractère éventuellement stratégique des données à archiver devront être pris en compte (incidences en termes de chiffrement et de signature)
La durée d'archivage des données :
La durée de conservation des données à archiver devra être clairement déterminée par l'entreprise. En effet, plus la durée de conservation est longue, plus les coûts associés sont importants (notamment en termes d'obsolescence et d'évolutivité des supports).
Le plus souvent, les besoins de l'entreprise varieront en fonction des contraintes légales (fort nombreuses) qui s'imposent à elle (prescription civile ou commerciale, législation comptable, sociale et fiscale, biens immobiliers, etc.).
Une distinction devra en conséquence être le plus souvent opérée par catégorie d'archives en fonction de la nature juridique des données à archiver et des exigences propres à chaque législation.
-
La consultation et la restitution des données archivées :
Une nouvelle distinction pourra alors être opérée par l'entreprise (délai d'accès, fréquence d'accès, délai de restitution).
Les coûts associés devront être alors clairement déterminés (incidences télécoms, coûts fixes et proportionnels, etc.).
2. Les obligations du tiers archiveur
En pratique, le tiers archiveur doit notamment remplir les obligations suivantes :
-
La protection des données archivées :
De même, le tiers archiveur devra justifier de mesures de
sécurité logique garantissant un seul accès
autorisé et contrôlé aux données archivées
(horodatage, signature électronique, journalisation, etc.).
-
Les conditions de production et de conservation des données archivées
Toutes les dispositions devront être prises pour assurer
la durabilité des données archivées, ce sur la durée prévue
au contrat.
Le tiers archiveur devra notamment garantir l'évolution de ses systèmes de stockage. Les modes de suivi et de contrôle des données archivées devront être définis (périodicité, nature des tests sur les supports, opérations de transfert, etc.).
-
La confidentialité et la protection des données personnelles
La confidentialité des données archivées devra être assurée par le tiers archiveur. Un ensemble de mesures devront être prises à cet effet (engagement de confidentialité, authentification, chiffrement, etc.)
Les données personnelles à archiver devront faire l'objet d'une attention toute particulière.
-
La sous-traitance
En cas de recours du tiers archiveur à la sous-traitance, des garanties spécifiques devront être mises en oeuvre afin de protéger les données archivées.
-
La restitution des données archivées
Les données devront pouvoir être restituées
en fin de contrat ou en cas de cessation d'activité. Des solutions
spécifiques devront être mises en oeuvre en cas de
différend (impayé, désaccord, etc.).
Les données restituées en fin de contrat devront autoriser la réversibilité (réinternalisation de la fonction archivage) ou le transfert à un autre tiers archiveur.
-
La définition du niveau de service
La définition du niveau de service attendu (taux de disponibilité, performance du service, délai de restitution des documents) doit faire l'objet d'une attention particulière.
Dans le cadre de la rédaction du contrat, il est possible de renvoyer à différentes normes (dont une norme NF) qui fournissent un ensemble de précisions concernant les mesures techniques à mettre en place pour l'enregistrement, le stockage et la restitution des données électroniques afin d'en assurer la conservation et l'intégrité.
3. Les obligations de l'entreprise donneur d'ordre
-
Le contrôle des procédures d'archivage et d'accès aux données archivées
-
Le contrôle du contenu des données archivées
L'entreprise devra s'assurer que le contenu des données archivées est bien conforme au contenu initial.
De telles prestations peuvent être réalisées par un autre tiers de confiance en charge de la certification du contenu.
4. La responsabilité
Les obligations assumées par le tiers archiveur sont souvent qualifiés d'obligations de moyens ; la responsabilité du tiers archiveur ne peut en conséquence être engagée qu'en cas de faute qu'il appartient au donneur d'ordre de prouver.
Le tiers archiveur ne peut en aucun cas être responsable du contenu des données à archiver.
En général, des clauses limitatives de responsabilité sont souvent imposées par le tiers archiveur ; elles doivent, en conséquence, être négociées avec précaution.
Enfin, l'entreprise doit veiller à obtenir du tiers archiveur la justification de la souscription d'une police d'assurances couvrant un certain nombre d'évènements susceptibles d'entraîner la perte des données confiées.
En conclusion : La mission d'archivage confiée à un tiers de confiance, définie par le contrat d'archivage, doit être exhaustive et prendre en considération l'ensemble des besoins de l'entreprise, notamment en termes de confidentialité et de sécurité. Les nécessaires considérations techniques inhérentes notamment au processus d'archivage devront être clairement définies afin de répondre à d'incontournables impératifs juridiques.
- Fiche point de vue : mars - avril 2006 -
© Mascré Heguy Associés - mars - avril 2006
Voir nos autres fiches point de vue consacrées à l'archivage des contrats électroniques, aux bulletins de paie électroniques et nos publications sur l'archivage électronique
Voir nos autres fiches point de vue consacrées au droit de l'informatique et au droit des nouvelles technologies de l'information
