L'ARCHIVAGE ELECTRONIQUE (3ème partie)
[ retour à l'introduction... ]
3. L'externalisation de l'archivage électronique
Lors de la détermination des modalités de la mise en œuvre de l'archivage électronique, l'entreprise a le choix entre la création d'un service d'archivage en interne, ou l'"externalisation" de cette prestation.
La mise en place des procédures d'archivage électronique sécurisé étant complexe, les entreprises confient fréquemment cette tâche à des prestataires externes : les tiers archiveur.
Le recours à un tiers archiveur apporte, en outre, des garanties de compétence et d'indépendance.
Un contrat spécifique doit alors être établi avec ce dernier.
* L'expression des besoins
Le contrat d'archivage dépend des besoins exprimés par l'entreprise, donneur d'ordre.
L'entreprise doit donc, préalablement, mener une réflexion sur ses besoins réels. Pour une bonne cohérence dans l'utilisation de l'information, la politique d'archivage doit être globale au niveau d'une entreprise ou d'un groupe de sociétés.
Deux questions doivent notamment être posées.
L'entreprise doit, d'une part, s'intéresser au motif de l'archivage. L'archivage répond-il à de simples impératifs pratiques d'exploitation ou s'inscrit-il dans le cadre d'une obligation légale d'archivage ?
A cette occasion, l'entreprise doit s'interroger sur l'utilisation future des archives. Les données, une fois archivées, seront-elles exploitées par la seule entreprise ou devront-elles constituer un moyen de preuve lors de la survenance d'un différend éventuel (contrôle fiscal, instance judiciaire, etc.).
En effet, tout ne peut pas et ne doit pas être archivé. Il convient de procéder à des évaluations et des tris de données. La confidentialité et le caractère éventuellement stratégique des données à archiver doivent être pris en compte (incidences en terme de chiffrement et de signature) ainsi que les contraintes légales et notamment les délais de prescription.
En effet, plus la durée de conservation est longue, plus les coûts associés sont importants (notamment en terme d'obsolescence et d'évolutivité des supports).
D'autre part, l'entreprise doit définir les modalités d'archivage. A cette occasion, l'entreprise doit choisir le support d'archivage (disque WORM, CD RW, etc.) et s'interroger sur la fréquence et le mode de consultation des données archivées. Les coûts associés doivent alors être clairement déterminés (incidences télécoms, coûts fixes et proportionnels, etc.).
* Les obligations des parties
Au plan juridique, certains points essentiels doivent faire l'objet d'une attention particulière lors de la rédaction d'un contrat d'archivage électronique.
Certaines obligations incombent au tiers archiveur :
- La protection des données archivées : elles doivent être conservées dans des locaux protégés physiquement contre les risques majeurs (incendies, dégâts des eaux, vols, etc.) et dont l'accès est contrôlé (protocole d'accès, habilitation, etc.). En outre, des mesures de sécurité logique doivent compléter ce dispositif (horodatage, signature électronique, journalisation) d'autant plus lorsque les données archivées sont des données personnelles (engagement de confidentialité, authentification, chiffrement, etc.).
- Les conditions de production, de conservation et de restitution des données archivées : le tiers archiveur doit s'engager à conserver l'intégralité des données reçues, sous la forme et le format convenu avec l'entreprise. Les données archivées doivent être restituées dans l'état technique où elles se trouvaient au moment où elles sont parvenues au tiers archiveur.
Le tiers archiveur doit notamment garantir l'évolution de ses systèmes de stockage. Les modes de suivi et de contrôle des données archivées doivent être définis (périodicité, nature des tests sur les supports, opérations de transfert, etc.).
Les données doivent pouvoir être restituées en fin de contrat ou en cas de cessation d'activité. Des solutions spécifiques doivent être mises en œuvre en cas de différend (impayé, désaccord, etc.).
Les données restituées en fin de contrat doivent autoriser la réversibilité (réinternalisation de la fonction archivage) ou le transfert vers un autre tiers archiveur.
- La sous-traitance : la localisation des opérations d'archivage et de stockage doit pouvoir être identifiée par l'entreprise notamment aux fins de restitution. En cas de recours du tiers archiveur à la sous-traitance, des garanties spécifiques doivent être mises en œuvre afin de protéger les données archivées.
- La définition du niveau de service : le niveau de service attendu (taux de disponibilité, performance du service, délai de restitution des données, etc.) doit être défini avec précision. Dans le cadre de la rédaction du contrat, il est possible de renvoyer à différentes normes (dont la norme NF Z 42-013) qui fournissent un ensemble de précisions concernant les mesures techniques à mettre en place pour l'enregistrement, le stockage et la restitution des données électroniques afin d'en assurer la conservation et l'intégrité.
De son coté, l'entreprise, donneur d'ordre, doit procéder à certains contrôles :
- Le contrôle des procédures d'archivage et d'accès aux données archivées : des procédures spécifiques devront être mises en œuvre par l'entreprise afin d'autoriser un strict contrôle des interventions sur les archives. La gestion des droits d'accès doit être clairement établie (suivi des personnes habilitées : émission, pertes, d'accréditations, etc.) et les responsabilités déterminées (accès non autorisé, etc.).
- Le contrôle du contenu des données archivées : l'entreprise doit s'assurer que le contenu des données archivées est bien conforme au contenu initial. De telles prestations peuvent être réalisées par un autre tiers de confiance en charge de la certification du contenu.
* La responsabilité du tiers archiveur
Les obligations assumées par le tiers archiveur sont souvent qualifiées d'obligation de moyens ; la responsabilité du tiers archiveur ne peut en conséquence être engagée qu'en cas de faute qu'il appartient au donneur d'ordre de prouver.
Le tiers archiveur ne peut en aucun cas être responsable du contenu des données à archiver.
En général, des clauses limitatives de responsabilité sont souvent imposées par le tiers archiveur ; elles doivent, en conséquence, être négociées avec précaution. Enfin, l'entreprise doit veiller à obtenir du tiers archiveur la justification de la souscription d'une police d'assurances couvrant un certain nombre d'évènements susceptibles d'entraîner la perte des données confiées.
Pour conclure : La loi du 13 mars 2000 offre de nouvelles perspectives d'utilisation de l'écrit électronique. Toutefois, la question de la force probante de l'écrit électronique archivé reste entière. Si la convention de preuve est un instrument juridique qui permet de pallier efficacement l'absence de cadre légal de l'archivage électronique, on peut néanmoins s'interroger sur l'opportunité d'une intervention du législateur national voire communautaire.
© Frédéric Mascré - septembre 2003
