Archivage électronique et normalisation

Pourquoi une norme sur l’archivage électronique ?

Lancée à l’initiative des acteurs du marché, la norme volontaire est un cadre de référence qui fournit des lignes directrices, des prescriptions techniques ou qualitatives pour des produits, services ou pratiques, dans le respect de l’intérêt général. Elle est le fruit d’une co-production consensuelle entre les professionnels et les utilisateurs qui se sont engagés dans son élaboration. Toute organisation peut ou non l’utiliser et s’y référer ; c’est pourquoi la norme est dite volontaire.

La NF Z42-013 a été rédigée pour permettre aux organismes privés et publics de se référer à des principes et des procédés éprouvés et validés lors de la conception ou de l’exploitation de systèmes informatiques pour l’enregistrement, l’archivage et la communication de leurs documents numériques. La norme est une base pour la certification, laquelle garantit aux utilisateurs que des documents numériques soient capturés, archivés, restitués et communiqués en s’assurant que le document archivé garde la même valeur que le document d’origine pendant toute la durée de conservation.

Qu’est-ce que l’archivage à vocation probatoire ? En quoi cette norme peut-elle me permettre d’y accéder ?

Seul le juge peut apprécier la recevabilité juridique d’un document. La jurisprudence démontre que le recours à la norme volontaire NF Z42-013 ou la certification NF 461 constitue un appui solide pour prouver la recevabilité du document en tant que preuve, en cas de litige ou de procédure juridique. Cette valeur probante est appréciée par le juge au regard de l’intégrité, de la fiabilité et de la traçabilité du document.

Pour quelles raisons la norme a-t-elle été refondue ? De nouvelles réglementations en sont-elles à l’origine – eIDAS, RGPD ou autre ?

Toutes les normes sont révisées régulièrement, environ tous les cinq ans, pour prendre en compte les évolutions des marchés pour lesquels elles posent un cadre. En l’espèce, la norme NF Z42-013 de 2009 ne prenait pas en compte certaines problématiques et règles de l’art actuelles (documents signés électroniquement, RGPD, chiffrement, fournisseur d’identité tiers) et le contexte réglementaire a évolué au cours des dix dernières années. La nouvelle version de la norme se veut ouverte et ainsi, donner plus de latitude dans les choix opérés.

Organisations concernées

A qui s’adresse la norme NF Z42-013 sur l’archivage électronique ?

La norme NF Z42-013 s’adresse aux :

  • Organisations publiques ou privées ayant besoin de préserver leurs objets numériques à des fins organisationnelles, réglementaires, patrimoniales, ou de protection juridique.
  • Fournisseurs de services ou de solutions d’archivage électronique (tiers archiveurs, infrastructures, logiciels, conseil, etc.)

Qui peut l’utiliser la norme NF Z42-013 et comment ?

La norme NF Z42-013 s’adresse aussi bien aux organismes exploitant un système d’archivage électronique pour leur propre compte, qu’aux tiers archiveurs pour le compte de leurs clients. Appliquer la norme relève d’une démarche volontaire, mais l’utilisateur qui l’applique a tout intérêt à revendiquer qu’il le fait scrupuleusement, à l’aide d’une certification.

Evolutions et impacts

Qu’apporte la nouvelle norme NF Z42-013 ?

Pour l’archivage électronique, le champ de la norme NF Z42-013 n’a pas changé depuis la version de 2009, mais les exigences et recommandations ont été organisées de façon explicite, pour plus de clarté, en trois catégories : fonctionnelle, organisationnelle et en matière d’infrastructure. Les grands principes restent valables, tout en étant actualisés. La norme permet par ailleurs plus de liberté dans la mise en œuvre et l’emploi de technologies récentes ; la possibilité de s’appuyer sur des composants tiers et d’intégrer les systèmes d’information (SI).

La numérisation des documents d’activité sur support papier est sortie de l’objet de la norme sur l’archivage électronique, laquelle est reprise dans une norme spécifique de mai 2017 (NF Z42-026) qu’il est recommandé d’appliquer sur ce sujet. Pour les documents sur d’autres supports, il est recommandé au propriétaire des archives d’appliquer des règles de bonnes pratiques. L’annexe sur les formats a été retirée car en obsolescence permanente.

La version 2009 de la norme est-elle toujours valable ?

La version 2020 de la norme NF Z42-013 remplace la version de 2009. Les textes réglementaires référençant la norme dans sa version de 2009, comme l’arrêté du 4 décembre 2009 précisant les normes relatives aux prestations en archivage et gestion externalisée, devront être mis à jour pour que s’appliquent les exigences présentes dans la nouvelle version. De la même façon, une mise à jour du référentiel de certification NF 461 est en cours.

La norme ISO 14641 suit-elle les mêmes évolutions que la norme française Z42-013 ?

L’intitulé de la norme volontaire internationale ISO 14641 est : « Archivage électronique — Conception et exploitation d’un système informatique pour la conservation intègre de documents électroniques — Spécifications. » La version en vigueur date de juin 2018. Il s’agit d’une norme internationale indépendante de la NF Z42-013 qui suit son propre processus de normalisation. Une révision de ce document n’est pas envisagée à ce jour.

Est-ce que la mise à jour de la norme impacte le processus d’archivage ?

Le processus technique d’archivage tel qu’il est décrit dans la version 2009 de la norme NF Z42-013 est compatible avec la version de 2020, qui apporte d’autres possibilités techniques. Il n’y a pas d’impact sur le stock d’archives existant. En revanche, la nouvelle édition nécessite une attention particulière sur les plans organisationnel et documentaire. Les archives pérennisées selon le procédé défini dans la norme version 2009 répondent techniquement aux enjeux de la norme version 2020. Cependant, dans un objectif d’harmonisation des processus, une reprise pourrait être réalisée.

Certification

Quelle certification existe-t-il pour l’archivage électronique ?

La certification NF 461 certifie un système d’archivage électronique (SAE) donné, supporté par un organisme donné. Ainsi, un organisme peut proposer plusieurs SAE à la certification NF 461. Elle garantit la qualité et la sécurisation de la conception du système d’archivage électronique par rapport à des caractéristiques d’industrialisation de la chaîne de production définies dans la norme NF Z42-013 et des exigences techniques complémentaires décrites dans le référentiel de certification NF 461. Cela n’exclut pas de respecter les exigences portant sur les services associés aux fonctionnalités du SAE.

Dans quel cas la certification NF 461 est-elle utile ?

La certification NF 461 intéressera tout acteur souhaitant :

  • fiabiliser l’exploitation d’un système d’archivage électronique avec un référentiel de bonnes pratiques ;
  • définir le savoir-faire et les moyens indispensables pour délivrer des prestations de qualité ;
  • décrire les spécificités techniques et contractuelles adaptées à chaque propriétaire d’archive ;
  • apporter des garanties sur la qualité de la solution et sur les performances attendues des fonctionnalités ;
  • disposer d’un référentiel d’évaluation et accéder à un système de certification reconnu, impartial et fiable ;
  • impliquer sa direction et ses collaborateurs autour d’un projet fédérateur et dynamique.

Dans quel cas la certification NF461 devient-elle nécessaire ?

La certification NF 461 devient nécessaire :

  • pour un usage dans un cadre contractuel dans lequel la détention de la marque est requise ;
  • pour obtenir un agrément pour la conservation d’archives publiques courantes et intermédiaires sur support numérique.

Comment savoir si le système d’archivage électronique d’une entreprise est certifié NF 461 ?

Il est possible de consulter la page dédiée sur le site marque-nf.com à tout moment pour accéder à l’annuaire des systèmes d’archivage électroniques (SAE) certifiés NF 461 ainsi qu’à leur certificat électronique.

Est-ce que la révision de la norme entraîne des changements sur la durée de validité de la certification et la périodicité des audits de conformité ?

Non, la révision de la norme n’entraîne pas de changement : les certificats NF 461 sont valables trois ans avec des audits annuels.

Si je suis déjà certifié NF 461, dois-je repasser une certification ?

Les titulaires d’un certificat NF 461 devront respecter les nouvelles exigences de la norme et du référentiel de certification pour le système d’archivage électronique certifié. Ils disposeront d’un délai de mise en conformité d’un an, démarrant à la date de fin de validité du certificat, durant lequel le prochain audit intègrera les nouvelles exigences.

Que faire en cas de modification impactant mon système d’archivage électronique certifié ?

En cas de modification importante (changement de centre serveur, de logiciel, etc.), il est nécessaire de transmettre un « dossier de modification » à AFNOR Certification conformément au référentiel de certification NF 461.

Quand sera publiée la nouvelle version du référentiel NF 461 ?

La nouvelle version du référentiel de certification NF 461 est attendue fin 2020

Jusqu’à quand puis-je présenter mon SAE à la certification NF 461 version 2009 ?

Vous pouvez demander la certification NF 461 version 2009 jusqu’à la date de publication du nouveau référentiel de certification. Si le contrat de certification est antérieur à cette date, seul l’audit initial pourra encore être réalisé sur les bases de la version 2009.

Quelle différence y a-t-il entre certification et agrément ?

  • La certification est un processus par lequel une tierce partie donne une assurance écrite qu’un produit, une organisation, un procédé, un service ou une compétence est conforme à des exigences spécifiées dans un document de référence. Délivrée par AFNOR Certification, la NF 461 est la seule certification garantissant qu’un système d’archivage électronique est conforme à l’ensemble des exigences de la norme NF Z42-013.
  • L’agrément est un accord donné par une autorité à la nomination d’une société pour l’exécution d’une activité nécessitant une autorisation préalable. A compter du 1er janvier 2021, l’agrément nécessaire à la conservation et la gestion des archives publiques courantes et intermédiaires sera délivré par le préfet du siège du demandeur, à condition que celui-ci soit titulaire d’un certificat NF 461 valide.

Quelles sont les modalités de certification d’un système d’archivage électronique ?

La certification NF 461 se base sur les modalités d’audit suivantes :

  • une visite de l’ensemble des sites liés au SAE,
  • des entretiens avec le personnel impliqué,
  • des démonstrations fonctionnelles,
  • une revue documentaire.
Ecosystème normatif

Dans quels cas utiliser la norme NF Z42-013 sur l’archivage électronique et la norme NF Z42-026 sur la numérisation fidèle ?

La norme NF Z42-026 a été rédigée en réponse au développement de la digitalisation des processus documentaires au sein des entreprises, collectivités et administrations, et des évolutions législatives. La numérisation des documents papier permet de mieux accéder à leur contenu et accroît, par l’emploi de systèmes conformes, la sécurité de la conservation de l’information (intégrité, confidentialité, disponibilité et pérennité). Dès lors, l’opportunité de s’affranchir d’une double conservation (document d’origine et copie numérique fidèle) se pose. La norme NF Z42-026 (avec sa certification NF 544) complète la norme NF Z42-013. Elle détermine la responsabilité des différents acteurs de la numérisation, et définit les mesures pour mettre en place une numérisation fidèle et les processus de numérisation. Les titulaires d’un certificat NF 461 intégrant les dispositifs de numérisation pourront utilement faire une démarche de certification NF 544 pour valoriser la qualité de service de leurs prestations de numérisation et leur conformité à la norme.

Quels sont les liens avec la norme NF Z42-020 sur le composant coffre-fort numérique ?

Il est nécessaire de différencier le composant coffre-fort numérique décrit dans la norme NF Z42-020 et le service de coffre-fort numérique. La norme NF Z42-020 offre un cadre au composant coffre-fort numérique (logiciel) qui a pour objectif d’apporter les éléments d’intégrité, de traçabilité et de vocation probatoire aux systèmes d’information (SI) ou applicatifs auxquels il est intégré. Cette norme de juillet 2012 décrit des exigences fonctionnelles et d’administration. Elle est à la base du  référentiel de certification NF 203 (Logiciel Composant coffre-fort numérique) d’AFNOR Certification. Depuis 2016, avec la loi pour une République numérique et plus encore depuis 2018, le service de coffre-fort numérique dispose d’un cadre réglementaire avec les décrets 2018-418 et 2018-853.

Faut-il également être certifié ISO 27001 ?

La certification ISO 27001 sur le management de la sécurité des systèmes d’information n’est pas un prérequis au respect de la norme NF Z42-013. La NF Z42-013 reprend plusieurs principes présents dans la norme ISO 27001. Dès lors, une certification sur la base de l’ISO 27001 dans le domaine d’application de la gestion des archives électroniques facilite la mise en conformité avec la NF Z42-013.

Lexique

Quelle différence entre archivage, stockage et sauvegarde électronique ?

Pour une conservation pérenne dans un système d’archivage électronique (SAE), il faut mettre en œuvre une solution d’archivage, s’adossant à solution de stockage, elle-même complétée par une solution de sauvegarde (backup).

  • L’archivage a pour objectif d’assurer la disponibilité, l’intégrité, la confidentialité et la traçabilité des archives.
  • Le stockage est une des composantes de l’archivage, permettant de répondre à la problématique de disponibilité via des supports d’information dont les caractéristiques sont adaptées aux objectifs de l’archivage.
  • La sauvegarde, appelée copie de sécurité dans la norme NF Z42-013, est un processus permettant de récupérer l’information en cas de problème sur le support de stockage primaire.

Quelle différence entre un système d’archivage électronique (SAE) et un coffre-fort numérique ?

Le composant coffre-fort numérique de la norme NF Z42-020 assure l’intégrité et la traçabilité des objets numériques qui y sont déposés. Il offre des possibilités particulières en termes de confidentialité, avec le chiffrement des données et documents qui y sont stockés. Le SAE offre, quant à lui, des fonctionnalités archivistiques spécifiques : pérennisation des formats, typologie de documents, gestion du cycle de vie, profils d’archivage, etc. Fonctionnalités que ne possède pas un composant coffre-fort électronique ou un service de coffre-fort numérique. Le choix de l’outil dépendra donc de la finalité de la conservation visée. A titre d’illustration, en matière de bulletins de paie dématérialisés, l’employeur pourra disposer d’un SAE pour archiver l’ensemble des bulletins de paie de ses salariés, alors que le salarié accédera à ses bulletins de salaire dématérialisés via un service de coffre-fort numérique.