05/11/2018 (Updated on: 21/03/2019)

L’archivage électronique de longue durée suppose la conservation des documents de manière numérique, tout en préservant leur intégrité. Ce type de sauvegarde documentaire est un besoin résultant de la transformation numérique globale, dans laquelle les transactions électroniques représentent une pratique courante et croissante dans le secteur privé, mais aussi dans le secteur public.

Néanmoins, il est nécessaire de souligner qu’un système d’archivage de longue durée ne doit pas être confondu avec un service d’hébergement de fichiers. La différence la plus significative se trouve dans la garantie d’intégrité qui permet de démontrer que ces données n’ont subi aucun changement dans le temps mais aussi du fait qu’elle donne à ces documents la valeur de preuve légale face aux tiers. Un service d’archivage de longue durée est configuré en fonction de critères techniques réglementés par les lois d’application dans les États membres européens.

Au moment de choisir un fournisseur, il est important de prendre en considération les différentes spécifications du service et de la solution qu’il propose, tout en tenant compte des différents aspects techniques et légaux qui peuvent affecter les documents que nous voulons sauvegarder.

Les 9 points clés à prendre en considération si vous envisagez de souscrire à un service d’archivage électronique de longue durée :

  1. Un fournisseur de technologie accrédité garantit un service sécurisé d’archivage électronique de longue durée en tant que Prestataire de Services de Confiance Qualifié. L’accréditation de Prestataire de Services de Confiance Qualifié implique d’avoir respecté une série de prérequis stipulés dans le règlement eIDAS et d’avoir passé des audits réalisés par un organisme supérieur, accrédité au niveau national et européen, afin de réaliser cette activité. Par conséquent, il fournit des garanties juridiques plus importantes dans les transactions électroniques que les prestataires non-qualifiés. Accédez à la liste européenne CEF Digital des fournisseurs de services de confiance homologués où EDICOM apparaît.
  2. b>Accréditation eIDAs du Service qualifié de conservation de cachets électroniques qualifiés: Les activités électroniques, dans le cadre de l’Union européenne, sont réglementées par le règlement UE 910/2014, connu sous le eIDAS. Ce règlement a pour but d’assurer une interaction sécurisée dans n’importe quel environnement numérique. Il est essentiel de disposer d’un service d’archivage électronique sécurisé qui, protégé par le règlement eIDAS, est en mesure de conserver les signatures électroniques, les cachets et les certificats liés aux données ou aux documents archivés de manière récurrente dans le temps afin de préserver l’intégrité et valeur probante des fichiers.
  3. La charge de preuve : L’une des caractéristiques les plus significatives d’un service d’archivage électronique de longue durée est la possibilité de fournir aux documents sauvegardés la valeur de preuve. S’appuyer sur un fournisseur de Services de Confiance qualifié fournit des garanties supplémentaires aux documents, en leur accordant la réversion de la charge de la preuve face aux tiers dans le cadre de l’Union européenne.
  4. Sécurité et intégrité : Il est conseillé de disposer d’un système d’archivage certifié par des normes internationales et locales de sécurité et de traitement des données qui garantissent la validité de nos données face à toute exigence légale ou de la part de tiers. Le cadre réglementaire principal au niveau européen est déterminé par le règlement n° 910/2014, connu sous le nom d’eIDAS, qui régit le rôle du prestataire qualifié de services de confiance en tant qu’opérateur certifié pour la fourniture de services d’archivage électronique pour la réversion de la charge de la preuve. En outre, il est pratique de savoir si la solution dispose des accréditations telles que l’ISO 27001, ou encore si elle applique des mécanismes de signature électronique et d’horodatage.
  5. Classification et accessibilité des documents : Il est indispensable que la solution technologique soit en mesure d’archiver et de classer correctement les documents par le biais de métadonnées afin de garantir une disponibilité flexible et à tout moment de ces documents. Le service d’archivage électronique de longue durée doit garantir : l’archivage, la conservation, la non-corruption des documents et l’accessibilité des données dans le temps.
  6. Traçabilité : Dans le cadre d’un archivage de longue durée, il sera primordial de conserver les preuves ou les logs qui permettent d’identifier les actions réalisées sur les documents. Autrement dit, il faudra être en mesure de confirmer par des preuves les statuts par lesquels chaque document est passé.
  7. Préservation de l’information : Le maintien de l’intégrité du document est nécessaire pour que le document ait une validité légale au fil du temps. Pour cela, il est nécessaire d’archiver avec le document les cachets électroniques et les signatures numériques qui sont utilisés avec une fréquence déterminée, en ajoutant des couches de sécurité afin d’accroître leur fiabilité tout au long de la période d’archivage et au-delà de leur validité technologique.
  8. Sachez exactement où les documents et fichiers sont archivés : Les documents et données sauvegardés contiennent souvent des données sensibles de sociétés, clients ou employés. Ces documents, contenant des informations sensibles, peuvent être concernés par la législation locale ou européenne concernant des aspects tels que la protection des données, exigeant que les serveurs physiques se situent sur le territoire de l’Union européenne. C’est pourquoi il est important de connaître l’infrastructure physique de la solution d’archivage électronique de longue durée.
  9. Audit : Il s’agit du registre de l’ensemble des opérations associées au système ou au cycle de vie du document (preuves), nécessaires dans le cas d’un litige qui nécessite la mise à disposition de documents aux tiers concernés.

 

EDICOMLta, outil d’archivage électronique de longue durée au service du RGPD

L’archivage des données utilisateur aura plus d’importance et plus de protection que jamais. Par conséquent, disposer d’une solution ou d’un service d’archivage conforme au RGPD est essentiel pour n’importe quelle entreprise gérant des données personnelles. Pour cela, EDICOM met à disposition des entreprises un service d’archivage électronique qui sera pleinement conforme aux exigences du RGPD, mais aussi disponible dans le cloud et accessible à l’échelle mondiale. Grâce à la solution EDICOMLta, les entreprises peuvent archiver et protéger les bases de données clients ou toute autre information personnelle contenue dans les contrats, les fiches de paie, les fichiers multimédias, les factures, etc.

EDICOMLta (Long term archiving) est le service de conservation électronique de documents de longue durée proposé par EDICOM en tant que fournisseur qualifié de services de confiance en vertu du règlement eIDAS. Au travers de ce service, les entreprises peuvent garantir l’intégrité et la confidentialité des données traitées. Ces dernières acquièrent par ailleurs la valeur de preuve légale grâce au processus de certification auquel ils sont soumis. Le service applique les méthodes de confiance qualifiées telles que la signature qualifiée et l’horodatage électronique prévus dans le règlement eIDAS.

Dans le cas des entreprises ayant leur siège social en Europe, ayant des clients et des utilisateurs au sein de l’Union européenne pour lesquels les données doivent être traitées et archivées sur des serveurs situés en dehors de l’UE, doivent avoir soit un accord établi selon un label de confidentialité européen, soit les archiver au travers de solutions conformes au RGPD, telles que la solution EDICOMLta.

Pourquoi le RGPD est-il nécessaire ?

La mondialisation, le développement de l’économie numérique et les nouvelles technologies ont provoqué une augmentation de la diffusion d’informations personnelles et le transfert de données personnelles, ainsi que l’échange de ces informations entre opérateurs publics et privés au sein et en dehors de nos frontières. Avec le RGPD, un cadre juridique commun est établi en Europe garantissant un niveau équivalent de protection des droits et libertés des personnes physiques dans tous les États membres. Il élimine, en même temps, les obstacles à la circulation des données personnelles au sein de l’Union européenne, résultant de divergences dans la mise en application de la Directive 95/46/CE.

Toutes les entreprises ou organisations, quelles que soient leur taille, leur chiffre d’affaires ou leur localisation, qui traitent et archivent les données personnelles des citoyens résidents de l’Union européenne, devront revoir leurs processus pour s’adapter au respect du RGPD qui modifie certains aspects du système actuel et introduit de nouvelles obligations. Ce règlement s’applique au traitement total ou partiellement automatisé des données personnelles, ainsi qu’au traitement non automatisé des données personnelles contenues ou destinées à être incluses dans un fichier.

Un plus grand contrôle des données personnelles

La nouvelle norme vise à rendre plus transparentes et accessibles les informations fournies par les citoyens aux entreprises et à améliorer leurs mécanismes de contrôle au travers de nouveaux éléments tels que le droit à l’oubli, la limitation du traitement ou le droit à la portabilité. Sur la base des droits établis par le RGPD pour les personnes qui ont transféré leurs données personnelles à des tiers, les entreprises doivent mettre en œuvre des mécanismes et des procédures qui les garantissent.

Rôle actif des entreprises : responsables, préposés et délégués

L’une des nouveautés les plus importantes envisagées par le RGPD est le rôle actif des entreprises au travers du rôle de « responsable » qui doit appliquer des mesures techniques et organisationnelles qui garantissent et démontrent que le traitement est conforme au règlement. La responsabilité finale du traitement des données personnelles repose sur ce rôle.

D’autre part, le RGPD établit des obligations à la personne nommée « chargé du traitement » – personne physique ou morale, autorité publique, service ou autre organisme qui traite des données personnelles pour le compte du responsable du traitement – qui ne sont pas limités au champ du contrat qui les unit au responsable du traitement et qui peut être supervisé séparément par les autorités de protection des données. Par exemple :

  1. Ils doivent tenir un registre des activités de traitement.
  2. Ils doivent déterminer les mesures de sécurité applicables aux traitements qu’ils effectuent.
  3. Ils doivent désigner un délégué à la protection des données dans les cas prévus par la RGPD.

En outre, selon le règlement, les gestionnaires peuvent adhérer à des codes de conduite ou être certifiés dans le cadre des systèmes de certification fournis par la RGPD, comme preuve qu’ils respectent les garanties requises.