Retour Communiqué de presse FnTC
Archivage électronique : une définition qui met en jeu la souveraineté numérique européenne
La réglementation eIDAS va bientôt incorporer l’archivage électronique, mais avec une conception trop large de ce service de confiance numérique. Le risque : un préjudice important pour tout un secteur d’activité, et ses millions d’utilisateurs. Explications.
Les éditeurs de solutions d’archivage électronique français devraient être ravis. Dans quelques mois, leur activité sera définie par un cadre juridique européen, ce qui leur permettra d’élargir leur territoire commercial. Ils craignent pourtant que la nouvelle mouture du règlement eIDAS ne porte atteinte à leur secteur, et aux millions de personnes qui utilisent leurs services. En cause : une définition trop vague de l’archivage, décrit comme un simple hébergement de données.
L’archivage d’un document doit évidemment garantir son intégrité… Mais pas seulement : une archive, et c’est même sa vocation, doit être pérenne. Cela relève également de l’obligation juridique : la préservation d’un document doit garantir sa valeur devant un tribunal.
Le projet de texte actuel résume pourtant l’archivage à un copier-coller de ce qui est attendu pour la conservation des signatures électroniques qualifiées : pour être préservé, le document pourrait ainsi être signé électroniquement, puis hébergé dans le cloud. Avec l’augmentation permanente de la puissance de calcul des ordinateurs, les collisions de hachage cryptographique sont cependant envisageables à long terme : concrètement, deux documents pourraient avoir la même empreinte, et donc se confondre… La solution serait alors de signer à intervalles réguliers le document numérique, ce qui rendrait dépendant le propriétaire des archives d’un opérateur de signature, et compliquerait toute la procédure d’archivage.
Mais le risque soulevé par cette proposition de texte ne relève pas que de la cryptographie, la problématique de l’obsolescence étant inhérente à tout système numérique. L’écueil principal : un document signé et stocké dans un serveur accessible sur Internet n’est pas forcément chiffré, ce qui pose un problème de confidentialité. Par rapport au risque de piratage bien sûr, mais pas seulement. La grande majorité des acteurs du cloud opèrent aux Etats-Unis, et le Cloud Act permet à l’Etat américain de consulter toutes les données hébergées par les entreprises américaines… Pour la souveraineté numérique européenne, c’est un euphémisme de dire que cette solution n’est pas idéale.
L’archivage électronique s’est construit en France autour de valeurs cardinales : l’intégrité, la pérennité, la gestion du cycle de vie, la traçabilité, la disponibilité, la confidentialité. Les textes normatifs nationaux couvrent ainsi depuis longtemps, avec efficacité et de manière systémique, les problématiques d’obsolescence ryptographique, sans risque de dépendance à un fournisseur. Il serait regrettable qu’en devenant un service de confiance eIDAS, l’archivage électronique perde en qualité… Et l’Europe en souveraineté ! La question ne concerne pas que les éditeurs de solutions d’archivage, mais aussi, et surtout, des millions d’utilisateurs.
À propos de la FnTC : La Fédération des Tiers de confiance du numérique rassemble éditeurs de logiciels, prestataires de services, experts, professionnels réglementés, start up, utilisateurs et structures institutionnelles. Ses domaines d’expertise : les secteurs historiques de la digitalisation (signature électronique, archivage électronique, identité numérique, facture électronique, vote électronique, e-finance, e-santé), mais également les sujets montants (Blockchain, KYC, Cachet électronique visible…) La FNTC œuvre pour la vulgarisation des bonnes pratiques numériques: elle produit sous la forme de « guides » une importante doctrine, élabore des référentiels techniques, et contribue à la délivrance de labels, ainsi qu’à la normalisation nationale et internationale (Afnor, CEN et ISO).