Par Dimitri Mouton, fondateur de Demaeter, auteur de Sécurité de la dématérialisation (Eyrolles)

L’archivage électronique systématique des documents signés électroniquement, proposé par de nombreux prestataires de signature électronique, apporte-t-il aux clients la sécurité juridique et technique attendue, ou crée-t-il seulement une illusion de sécurité sans répondre au besoin réel ? Dans cet article, nous nous attachons à répondre à cette question en analysant les offres au regard des obligations et des modalités pratiques de mise en œuvre, pour aboutir à des recommandations de bonnes pratiques.

Les conditions de validité de l’écrit électronique

La signature électronique est désormais largement employée dans tous les secteurs d’activité : pour les téléservices de l’administration, les RH, la banque, l’assurance, l’automobile, l’immobilier, le bâtiment, la gestion locative…

Encadrée par l’article 1367 du Code civil, elle a vocation à produire des documents de nature contractuels nativement électroniques. Il s’agit donc d’un outil essentiel de la dématérialisation, elle-même régie par l’article 1366 du même Code, qui dispose que : « L'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. ».

Les conditions de recevabilité à titre de preuve d’un écrit électronique sont donc claires :

  • la personne dont émane le document doit être dûment identifiée ;
  • l’intégrité du document doit être garantie sur son cycle de vie.

Des offres packagées incluant l’archivage

Les entreprises recourant à la dématérialisation sont par conséquent placées face à un double besoin : conserver les contrats électroniques pendant une durée longue (variable, mais souvent de 10 ans à compter de la fin d’exécution du contrat), et dans des conditions de sécurité technique garantissant leur origine et leur intégrité.

C’est donc tout naturellement que de nombreux prestataires de signature électronique proposent, en option ou par défaut, un « archivage électronique » des documents signés et des éléments de preuve établis au cours de l’acte de signature (le « fichier de preuve »).

Dans ces offres, aussitôt l’acte de signature électronique finalisé, le contrat ainsi formé est déposé dans le coffre-fort électronique du prestataire, avec le fichier de preuve lié, et conservé pour une durée de 10 ans. Le client dispose d’un droit d’accès à ses documents archivés pour cette durée.

Cela semble pratique. Mais est-ce utile ?

Un document signé électroniquement a-t-il besoin d’être archivé ?

L’article 1367 du Code civil définit la signature électronique comme « l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache ».

Cette définition entraîne plusieurs propriétés intrinsèques au document signé électroniquement.

  1. Tout d’abord, la signature électronique crée les conditions d’identification de la personne dont émane le document, puisqu’il s’agit avant tout d’un procédé fiable d’identification.
  2. Ensuite, le « lien garanti » entre la signature et l’acte signé entraîne, de par l’usage de la cryptographie, une garantie d’intégrité du document signé : toute modification ultérieure du document entraîne une invalidité technique de la signature.

Ainsi, une signature électronique valide prouve à elle seule que le document a été établi et conservé dans les conditions de validité de l’écrit électronique définies par l’article 1366 du Code civil.

Il découle de ce qui précède qu’un document signé électroniquement n’a pas besoin, pour sa recevabilité à titre de preuve, d’être conservé dans un service d’archivage électronique ou dans un coffre-fort électronique. Une simple conservation dans un serveur régulièrement sauvegardé suffit à remplir ces conditions. L’offre d’archivage intégrée à l’offre de signature électronique est donc superflue du pur point de vue de la gestion de la preuve.

Les besoins réels d’archivage

Mais aborder le sujet de l’archivage du seul point de vue juridique serait très restrictif. L’archivage consiste à conserver, pour la durée adaptée au besoin administratif et/ou métier, de manière structurée et organisée, un ensemble de documents, afin de pouvoir y accéder en cas de besoin : pour référence ultérieure ou dans le cadre d’un contentieux par exemple.

Dès lors, plusieurs obligations se font jour :

  1. Il faut structurer la base documentaire en l’indexant à l’aide de mots clefs, les métadonnées, qui doivent être pertinentes pour les recherches à venir, hors du contexte de la création.
  2. Ces métadonnées doivent permettre de lier entre eux l’ensemble des documents qui ont trait à une opération globale, du point de vue métier : par exemple, les éléments relatifs à un compte client, les informations précontractuelles et la preuve de leur mise à disposition, les contrats précédents de ce client, les avenants, les éventuels actes produits lors de l’exécution du contrat (bons de livraison, facturation, échanges, contentieux et résolution…).
  3. La conservation doit être faite sur la durée d’utilité administrative de chaque document, en particulier lorsque ceux-ci comportent des données à caractère personnel, ce qui est le cas général. La destruction doit donc être prévue et organisée.

L’inadéquation de l’offre au besoin

Ainsi, l’archivage n’a pas qu’une utilité de conservation intègre sur le long terme : il sert avant tout à une bonne gestion du patrimoine informationnel de l’entreprise. Or sur ce point, les offres intégrées pèchent par plusieurs travers intrinsèques à leur conception : couverture métier, capacité d’indexation et gestion des durées de conservation.

  1. L’archivage intégré ne concerne que le document signé et la preuve liée. Or ce document et cette preuve s’inscrivent dans un ensemble plus large, intégrant des documents préexistants et ultérieurs, qui ne passent pas nécessairement par le flux de signature électronique. Ainsi, l’archivage proposé scinde les documents d’un dossier métier entre ceux qui sont archivés automatiquement dans le service du prestataire et les autres. C’est ingérable en pratique.
  2. Les capacités d’indexation offertes par les prestataires sont souvent très faibles, et limitées à des identifiants techniques de transaction, que le service appelant doit alors gérer pour offrir une capacité d’accès ultérieur aux pièces signées : si la fonctionnalité de stockage est remplie, la fonctionnalité archivistique ne l’est pas.
  3. La durée de conservation est en général fixée par défaut à 10 ans, avec la possibilité de la prolonger, document par document, pour une durée équivalente. D’une part, cela méconnaît le besoin de gérer les durées de conservation en fonction de la nature des documents et de leur cycle de vie réel : une durée de 10 ans à compter de la fin d’exécution du contrat n’a rien à voir avec une durée de 10 ans à compter de la signature du contrat ! D’autre part, cela entraîne une nécessité de gérer ces durées au sein du Système d’Information appelant, et donc d’outiller en interne la fonction d’archivage électronique.

Intégrer l’archivage automatiquement à l’issue de la signature électronique apparaît donc comme une fausse bonne idée, plus destinée à rassurer le chef de projet que le juriste ou l’archiviste.

Les bonnes pratiques

La signature électronique et l’archivage électronique sont deux outils fondamentaux et transverses de la dématérialisation. Ils sont complémentaires, mais pas nécessairement liés. Il peut y avoir des documents signés électroniquement qui ne nécessitent pas d’archivage ; et il est nécessaire d’archiver des documents non signés.

La bonne pratique consiste donc à déployer séparément ces deux fonctionnalités, et à y faire appel de manière coordonnée au sein des services métier : le service recueille et établit des documents, fait signer ceux qui le nécessitent, puis archive un ensemble cohérent de pièces dans le respect de la Politique d’Archivage de l’entreprise et des règles de l’archivistique.

Article paru dans Archimag n° 334-335, mai-juin 2020 - http://www.archimag.comlien

La référence !

securite_de_la_dematérialisation