«Une Loi, désormais, à faire vivre !». En trois mots, Cyril Pierre-Beausse, avocat, spécialisé en IT et protection des données, donnait le ton de la récente table ronde de FedISA (Fédération de l’ILM, du stockage et de l’archivage) sur la Loi du 25 juillet 2015 relative à l’archivage électronique. A l’issue, un texte bien ficelé… qui aura pourtant réclamé sept ans de travail législatif.
Les textes définissent les conditions de dématérialisation d’originaux et de conservation de copies et d’originaux numériques; ils déterminent aussi comment les copies peuvent bénéficier d’une présomption de conformité à l’original et fixent les procédures opérationnelles des prestataires de services de dématérialisation ou de conservation. Pour en parler, plus de 180 professionnels réunis jeudi 17 septembre au Rousegaërtchen en compagnie d’experts de haut niveau réunis par Jean Brisbois et Lucas Colet, modérateurs, mais aussi Vice-Président et Président de FedISA Luxembourg.
En résumant, la Loi précise aussi que la conservation électronique consiste à conserver un original numérique ou une copie à valeur probante… Qu’une copie à valeur probante est une reproduction fidèle et durable sous forme numérique… Que la dématérialisation consiste à créer une copie à valeur probante d’un original sous forme analogique… Et cetera. Enfin, la Loi stipule que le prestataire de services de dématérialisation ou de conservation est une personne exerçant à titre principal ou accessoire, pour lui ou un tiers, des opérations de dématérialisation ou de conservation selon les modalités de la Loi.
«Seules les personnes certifiées par un certificateur, dit la Loi, pourront demander auprès de l’ILNAS leur inscription en vue de recevoir le statut de prestataire de services de dématérialisation ou de conservation.» Un parcours du combattant au long duquel l’ILNAS vérifiera une série de critères précis et incontournables, pouvant même et à tout moment imposer des vérifications supplémentaires. Cette étape franchie, le demandeur est inscrit sur une liste conservée, mise à jour et publiée par l’ILNAS. Le prestataire sera bien évidemment suivi, l’ILNAS pouvant à tout moment vérifier si celui-ci respecte bien ce à quoi il s’est engagé. Ce même prestataire devra signaler sans délais chaque événement, circonstance ou incident ayant pu causer une violation de la Loi ou de ses règlements d’exécution. Enfin, l’ILNAS pourra, à tout moment, suspendre ou retirer de sa liste un prestataire qui aurait contrevenu à la Loi. Aussi, dans les grandes lignes, on peut dire que le processus d’accréditation des PSDC reprend le schéma appliqué à la reconnaissance des PSF.
Conservation à long terme… Mais encore ?
Qui dit archivage dit durée. Et donc intégrité. «Le mécanisme est sous contrôle, assure d’emblée Cyril Pierre-Beausse. Par intégrité, on entend fidélité à l’original, non-altérabilité de la pièce, lisibilité dans le temps et accessibilité en consultation.»
«C’est l’automatisation des procédures qui garantit la valeur de l’archivage», renchérit Jean Racine, Chief Business Developpment Officer, Labgroup. Et de préciser que le «si le travail du prestataire de conservation est basé sur des fichiers numérisés selon la Loi, n’importe quel autre document électronique peut être conservé et servir le cas échéant à défendre l’entreprise lors de litige en renforçant ses preuves.» Exemple, l’e-mail qui n’a pas de valeur légale, mais dont l’archivage et la conservation sont des garanties de valeur.
Place internationale, l’archivage électronique grand-ducal soulève bien évidemment la question des données stockées extra muros. «Il sera plus compliqué de donner une valeur probante à des documents archivés et stockés au Luxembourg par des étrangers. La loi qui s’applique est toujours celle du pays de l’entreprise. Mais rien n’empêche une entreprise étrangère d’archiver chez nous afin de profiter de l’excellence de nos prestataires de services et des garanties prévues par la Loi,. Et si, en juriste rompu au prétoire, Cyril Pierre-Bausse estime qu’«un juge étranger se moquera de la notion luxembourgeoise de prestataire de service de dématérialisation et de conservation», il ajoute aussitôt que, demain, un règlement communautaire interdira à un juge étranger de rejeter d’un revers de manche un document archivé légalement au motif qu’il est archivé dans un autre pays de l’Union.
Comme le souligne Alain Wahl, chef du Département de la confiance numérique à l’ILNAS «si rien n’empêche une société étrangère d’archiver au Luxembourg, au-delà de la sécurité de la filière d’archivage, celle-ci profitera d’une opération donnant de la valeur à ses documents, car l’archivage électronique est bien plus qu’une simple conservation de fichiers numériques.» Et Cyril Pierre-Beausse de remonter au créneau en donnant les trois raisons qui poussent les étrangers à archiver au Luxembourg : la première est d’éloigner leurs documents de l’agressivité de certaines administrations, la deuxième de jouir de la qualité de services de nos prestataires et la troisième de profiter de la mutualisation luxembourgeoise qui permet de construire des systèmes performants pour le client.
Quid ici de la signature électronique ? Jean Racine nous éclaire en précisant que «si la signature électronique est réservée aux personnes physiques, le cachet d’entreprise est quant à lui destiné aux personnes morales.» Les deux servent à formuler un accord entre les parties; à garantir l’intégrité des contenus en vérifiant qu’il n’y a eu aucune modification; et enfin à donner une date certaine au document. Les intervenants de conseiller ici au chef d’entreprise de se faire délivrer un certificat qui lui permettra de signer électroniquement en tant que personne morale. De son côté, le prestataire de services pourra proposer de vérifier les signatures électroniques au moment de l’archivage et ensuite d’utiliser ces mêmes signatures comme moyen d’authentification d’un document et de sa non altération.
Quid de la dématérialisation ?
Ce processus ne concerne que les documents qui ont été archivés électroniquement dans le cadre de la Loi. Petit rappel de Jean Racine : «les actes authentiques, comme les actes notariés, les contrats de mariage, pour ne citer qu’eux, mais aussi les documents administratifs doivent toujours être conservés sous format papier.»
Serge Raucq de Fujitsu voit la dématérialisation «comme une suite d’opérations qui commence par la collecte des documents analogiques, continue avec la création et le stockage temporaire des documents numériques et se termine par la restitution, le transfert ou la destruction totale ou partielle des documents». Un parcours ponctué de contrôles où «chaque étape doit être documentée, chaque procédure doit prouver qu’elle s’est déroulée sans faille, que les processus ont respecté l’intégrité», souligne David Gray, Deputy General Manager, Numen Europe. Et d’insister sur le fait que «l’archivage électronique suppose de nouveaux processus de classification internes à l’entreprise, ce qui peut être pour elle l’occasion de réadapter ses stratégies de workflow.» Une remarque subtile qui montre que l’archivage électronique dépasse bien le simple fait de transformer en bits et bytes des feuilles de papier. Si vous craignez la dématérialisation, sachez que sa fiabilité est garantie par des documents à valeur probante, photo des originaux, l’automatisation des procédures, des audits et des opérations effectuées sous l’intégrité d’un algorithme associé à une horodateur. Rigueur, discipline et traçabilité sont les qualités d’un prestataire de dématérialisation, s’accordent à dire les intervenants de la table ronde.
«Quant à la signature manuscrite numérique, même dématérialisée, elle conserve toute sa valeur, des graphologues pouvant la contrôler… Elle perdra peut-être l’aspect 3D du papier. D’où l’intérêt d’utiliser, de plus en plus, la signature électronique comme unique mode de signature», conseille Jean Racine.
Autre point sensible, la destruction
Un document papier peut toujours être détruit. Ici, il faut faire la balance entre le coût du stockage et la perte de valeur probante. Si la Loi s’applique au Luxembourg, en revanche, elle a été écrite en concertation avec les Autorités européennes. Son but vise à créer une confiance numérique au sein de l’Union européenne, de lancer une assistance mutuelle entre les administrations. Au-delà de l’Union, la situation mérite d’être abordée avec prudence et avec les conseils d’avocats des deux pays. Quoi de plus normal lorsqu’on sait que la destruction des documents prévus doit être irréversible.
Pour éviter les copies, pas de back up ! A préciser avec son prestataire : la durée de rétention et le sort du document arrivé en fin de vie. Une situation qui évoluera à l’avenir vers la destruction automatique des archives, ce qui, selon Cyril Pierre-Beausse, correspondra «au passage à l’âge adulte de l’archivage numérique.»
Autre point brûlant : le transfert de prestataire, par exemple en cas de faillite de celui-ci. La Loi prévoit qu’un prestataire peut transférer à un autre prestataire tout ou partie de ses activités. Cette opération doit, bien sûr, être approuvée par le client qui dispose du droit de refus. «Le transfert d’un prestataire à un autre se fera avec précaution, les informations seront encapsulées dans un format ouvert afin qu’elles puissent rester exploitables. Un travail délicat, car il n’existe actuellement qu’une dizaine de logiciels permettant ce type d’opérations», explique Alain Wahl.
Sur un plan plus général, un prestataire dispose-t-il du droit de rétention en cas de litige ? Cyril Pierre-Beausse est clair à ce sujet : «la Loi n’est pas là pour ne pas payer ses factures ! C’est au droit commercial de s’appliquer ici. Mais un prestataire de services qui ferait de la rétention se tirerait une balle dans le pied !»
Coffre-fort numérique de l’Europe
On le voit, la Loi sur l’archivage est une loi parmi d’autres. Ainsi, en cas de disparition d’un prestataire, il y obligation de transparence. La matrice de toutes les données est au Luxembourg et les serveurs sont insaisissables. De même, le client pourrait revendiquer ses archives comme bien immatériel et les récupérer en dehors des créanciers. La Loi considère donc que confier ses données à un prestataire autorisé n’est pas comparable au fait de les déposer dans le premier cloud venu. Ce qui montre qu’avec cette Loi, le législateur a développé un outil pour faire du Luxembourg le coffre-fort numérique de l’Europe.
Une Loi est technologiquement neutre, normativement neutre, a-t-il été rappelé. Idéalement, elle est la moins datée possible afin de ne pas rentrer dans les concepts technologiques qui peuvent disparaître. Peu importe le système actuel ou de demain, une donnée reste et restera toujours une donnée que la Loi entend protéger. «Il faut avoir confiance en l’ère numérique», nous dit Alain Wahl. C’est aussi une manière de pouvoir la faire évoluer plus rapidement.
«Supprimer le papier pour aller vers une entreprise ‘paperless’ n’est que la partie visible de l’iceberg qu’est l’archivage électronique», rappelle à raison David Gray. Si l’archivage électronique permet de gagner des mètres carrés, ce n’est pas sa finalité. Avec lui, le coût des recherches diminue grâce aux métadonnées. Les archives sont facilement accessibles et peuvent servir au partage des connaissances. Dématérialiser apporte aussi de nouvelles valeurs, permet une harmonisation des procédures, redonne vigueur au front office via une nouvelle relation avec le client.
A partir de quel volume l’archivage électronique est-il intéressant ? «Il n’y a pas de seuil, mais des coûts à mettre en balance, des procédures à mettre en place, ce qui représente dui temps et des ressiources», insiste encore Jean Racine. Aussi, avant de s’engager, il s’agit de bien suivre la phase d’information, passage obligé pour le prestataire de services. Et préciser dans le contrat ce que l’on souhaite comme services, comment sortir du contrat, etc. Avec, au besoin, l’aide de l’ILNAS.
Jean-Claude Quintart