Victor Buck Services, PSDC, un pas de plus dans la transformation digitale
En juillet 2017, Victor Buck Services accédait au statut de PSDC désignant la société comme un prestataire agréé de services de dématérialisation et de conservation à valeur probante. Une corde de plus à l’arc de Victor Buck Services qui se veut un partenaire de confiance de la transformation digitale de ses clients.
° Que représente le statut de PSDC ?
Manu Ribeiro (Head of Product Management, Victor Buck Services) : Avec l’adoption, il y a trois ans, de la loi du 25 juillet 2015 sur l’archivage électronique, le Luxembourg s’est positionné comme un précurseur. Ce cadre légal inédit confère à une copie numérique la même valeur probante que le document original, à condition que cette copie ait été effectuée par un prestataire de services de dématérialisation ou de conservation bénéficiant du statut PSDC tel que défini par la loi. Il existe 3 statuts PSDC : le statut PSDC-D permet uniquement la dématérialisation de documents. Le statut de PSDC-C ne concerne, lui que la conservation, autrement dit l’archivage électronique. Le statut de PSDC-DC permet de proposer les deux. C’est de ce dernier statut dont dispose Victor Buck Services.
Hélène Tovagliaro (Legal Advisor, Victor Buck Services) : Soyons clairs : la loi du 25 juillet 2015 définit les conditions de dématérialisation d’originaux et les modalités de conservation de copies et d’originaux numériques; elle détermine les conditions dans lesquelles les copies peuvent bénéficier d’une présomption de conformité à l’original et, enfin, elle fixe les règles applicables à l’activité de prestataire de services de dématérialisation ou de conservation. En revanche, attention à l’interprétation de l’expression « archivage légal », PSDC ne signifie pas légalisation. Le PSDC ne confère pas de valeur juridique à un document original qui n’en aurait pas. En revanche, il permet de garantir la conformité de la copie par rapport à l’original qui a été dématérialisé et cette copie, selon ce procédé, aura la même valeur probante que l’original.
° Sur quels fondements repose la loi ?
M. R. : Cette loi – une première !- repose sur la base de l’ISO/IEC 27001 et l’ISO/IEC 27002, deux normes maîtresses de la sécurité de l’information et unanimement reconnues. Qui plus est, elle est unique au niveau mondial, renforçant de facto le positionnement du Luxembourg en tant que «forteresse européenne des données numériques»…
H. T. : Notons par ailleurs que la loi s’inscrit dans une certaine complémentarité vis-à-vis du règlement européen eIDAS qui permet une évolution dans la reconnaissance du document électronique. Ce cadre législatif et règlementaire luxembourgeois sur l’archivage électronique permet de renforcer la confiance numérique et la reconnaissance légale des documents électroniques dématérialisés et conservés selon les règles techniques et procédures PSDC. Son champ d’application se limite au territoire du Grand-Duché du Luxembourg (même s’il n’est pas exclu que la force probante de documents dématérialisés selon les conditions prévues dans cette loi emporte la conviction d’autres juges européens en cas de litige).
° Peu de prestataires luxembourgeois sont PSDC, certains préférant miser sur la conservation plutôt que sur la dématérialisation. Pourquoi ?
M. R. : Si, d’emblée, le statut de PSDC a attiré de nombreux candidats, les prestataires aujourd’hui certifiés sont, de fait, peu nombreux du fait des conditions d’accès particulièrement sélectives. Pour une entreprise comme Victor Buck Services, le statut de PSDC s’inscrit parfaitement dans notre stratégie de prestataire global, c’est aujourd’hui un élément important de notre chaine de valeur qui se veut complète. La certification est venue renforcer notre expertise dans la gestion du cycle de vie de l’information au sein de l’entreprise et confirmer notre statut de partenaire de la transformation digitale de nos clients.
° Pour les clients, quelles nouvelles garanties apporte le PSDC ?
H. T. : Par le passé, l’original a toujours constitué la valeur de référence. Grâce à la loi du 25 juillet 2015, le document électronique accède au même niveau que l’original sans que ne soit requise la présentation de l’original. Autrement dit, en cas de litige, c’est à la partie adverse de prouver que la copie PSDC n’est pas conforme à l’original. La dématérialisation accomplie par un organisme certifié PSDC apporte donc une plus grande sécurité juridique dans la mesure où la copie ainsi dématérialisée porte une garantie de fiabilité et d’intégrité vis-à-vis de l’original. Même si le papier occupe toujours une place importante et n’est pas près de disparaître, la loi PSDC crée un cadre légal favorable à la digitalisation croissante des entreprises et de la société en général.
M. R. : J’ajouterais que cette garantie de fiabilité et d’intégrité est rendue possible par un processus extrêmement rigoureux. Les conditions d’obtention et de maintien du statut de PSDC sont très strictes et nécessitent d’importants investissements matériels et humains. Le haut niveau de sécurité requis pour la certification repose, en effet sur des contraintes spécifiques appliquées aux infrastructures informatiques et aux procédures relatives au traitement PSDC. Ces derniers font par ailleurs l’objet d’un audit annuel afin de garantir le maintien du niveau d’exigences du processus PSDC.
Par ailleurs, le cadre légal encourage et étend la transformation digitale des entreprises avec des avantages compétitifs significatifs, tels que, par exemple, l’amélioration de l’efficacité opérationnelle, la réduction des risques liés à la perte ou à la détérioration d’originaux physiques, ou encore la réduction de l’usage du papier, tout en restant conscient qu’il occupe encore une place importante.
Difficile, donc, de se passer du papier, du moins totalement… Quelle issue ?
H. T. : L’application de la certification PSDC à certaines copies numériques doit s’inscrire dans une démarche stratégique bien plus large. Si Victor Buck Services, en tant que prestataire de service certifié, prend en charge l’ensemble du processus de dématérialisation et/ou de conservation des documents fournis par le client, nous ne sommes pas habilités à déterminer les documents qui devraient ou pas faire l’objet d’un traitement PSDC. La loi énonce d’ailleurs clairement les types de document dont les copies numériques peuvent bénéficier d’une valeur probante. Il appartient dès lors au client, avec l’aide de son département juridique de déterminer ce qu’il juge pertinent, de conserver, de dématérialiser et/ou de détruire, compte tenu de son activité et des contraintes qui lui sont propres.
Quels sont les avantages du recours au PSDC pour une organisation?
M. R. : D’abord, un gain de temps : la possibilité d’accéder immédiatement à ses archives numériques n’importe quand et n’importe où. Ensuite, un gain financier grâce à la réduction, voire suppression, des coûts liés à l’archivage physique. Il en résulte une meilleure efficience opérationnelle et une sécurité renforcée.
Notre solution PSDC répond en effet à un haut niveau d’exigence en matière de sécurité requis par son cadre d’application. Elle est hébergée dans deux centres de données certifiés Tier IV au Luxembourg; les deux centres de données sont interconnectés et utilisent les dernières technologies conçues pour maximiser la sécurité et la disponibilité des informations critiques. Notons aussi que dans notre procédure PSDC, nous avons volontairement poussé nos standards de sécurité au-delà des prérequis de la certification. Par exemple, à travers le recours à deux fonctions de cryptage différentes au lieu d’une.
Notre solution a été conçue pour répondre aux spécificités de chaque client, quel que soit le secteur d’activité. Y compris celles du secteur financier, étant donné notre statut de PSF de support. Les copies numériques à valeur probante que nous générons à travers notre solution PSDC sont archivées en fonction des exigences, contraintes organisationnelles et conditions de mise en œuvre de chaque entreprise, et ce toujours dans le respect du cadre légal. De plus, nos clients peuvent bénéficier d’un support 24h/24, où qu’ils soient.
° L’introduction du GDPR impacte-t-il la perception du marché au sujet de l’archivage ? Les organisations pourraient-elles être tentées de mener les deux projets de front ?
M. R. : Si l’archivage chez un prestataire PSDC relève d’un choix, le GDPR est un règlement, il est obligatoire; la non-conformité sera sanctionnée. Ce sont deux sujets distincts. Ceci dit, sur le plan opérationnel, l’apport des normes ISO/IEC-qui constituent le socle du PSDC- peut dans une certaine mesure participer à la mise en conformité par rapport au GDPR, sans qu’il soit synonyme de conformité. Le PSDC ne concerne qu’un certain nombre de flux d’informations, alors que le GDPR concerne l’ensemble des flux d’informations de la société.