Chaque jour, une entreprise produit des dizaines, voire des centaines de documents numériques. Elle en reçoit tout autant.
Une grande partie de ces documents fait l’objet d’obligations légales de conservation alors que d’autres, quant à eux, ne font l’objet d’aucune obligation explicite, mais doivent pourtant être conservées jusqu’à extinction des délais de prescription, afin de permettre à l’entreprise d'être en mesure de produire des preuves et de faire valoir ses droits en cas de contentieux.

Pourtant, de nombreuses organisations peinent encore à maîtriser leurs obligations en matière d'archivage électronique. Pour protéger, organiser et conserver les archives sensibles en toute conformité, une solution existe : le Système d'Archivage Électronique

Qu'est-ce que le SAE (Système d’Archivage Electronique) ?

Le Système d'Archivage Électronique, abrévié SAE, est une solution informatique qui permet de conserver des documents numériques, afin de permettre aux entreprises de faire face à leurs obligations de conservation et/ou de disposer d'éléments de preuve recevables en cas de contentieux). Contrairement à une base de stockage classique, l'archivage SAE vise trois objectifs : l'intégrité, l'authenticité et la traçabilité des archives. Pour ce faire, les fichiers sont horodatés et scellés numériquement dès leur réception via des procédés techniques avancés. Les documents sont alors protégés et ne peuvent pas être modifiés ultérieurement.

En plus de conserver des fichiers, un SAE permet aussi d'organiser les documents selon les règles définies par l'entreprise. Concrètement, le SAE permet de classer, rechercher, consulter, restituer et, si nécessaire, détruire les archives. Le système est souvent lié à d'autres outils de l'entreprise afin de fluidifier et maîtriser le cycle de vie des documents.

SAE et conformité réglementaire : ce qu'il faut savoir

En termes d'archivage électronique, toute organisation est aujourd'hui tenue de respecter des obligations réglementaires strictes. En France, la norme NF Z42-013 définit les règles de conception et de fonctionnement d'un SAE archivage conforme. Pour répondre aux exigences de cette norme, la solution choisie doit impérativement être certifiée NF 461.

En parallèle, le règlement eIDAS encadre l'usage des services de sécurité généralement intégrés aux SAE tels que l'horodatage ou la signature électronique ; et ce même règlement européen vient d’introduire un nouveau service de confiance d’archivage électronique reconnue dans les 27 pays de l’UE. Le RGPD, quant à lui, impose de son côté que toute donnée personnelle soit conservée de manière licite, pour une durée limitée et justifiée, et en toute sécurité. En cas de non-respect (dépassement des durées) les amendes infligées par la CNIL sont très élevées et ne sont plus l’apanage des grandes entreprises.

Enfin, certains secteurs sont soumis à des obligations spécifiques, comme les données de santé ou les archives publiques. Dans le domaine médical, les documents doivent impérativement être conservées via un prestataire certifié HDS, conformément au Code de la santé publique. Les archives publiques nécessitent quant à elles l'intervention d'un acteur agréé par le Service interministériel des Archives de France (SIAF).

Choisir un système d'archivage électronique

Adopter un SAE implique de garantir, dans la durée, la valeur probatoire, la pérennité, la sécurité et la conformité des documents. Souvent confondu avec la gestion électronique de documents (GED), un SAE va beaucoup plus loin : tandis que la GED optimise la gestion des documents, le SAE assure en plus leur intégrité, leur pérennité, et leur conservation à long terme, combinée à la constitution de dossiers de preuves et de traçabilité, conformément aux normes légales. Tout ceci constituant un outil indispensable en cas de litige ou de contrôle.

Avant de s'engager, il convient de choisir une solution certifiée conformé avec la norme NF Z42-013 (la certification NF461 est indispensable car seul ce processus d’audit par un organisme accrédité garantit la conformité à la norme)pour garantir la fiabilité des systèmes de conservation. Il est tout aussi important de vérifier la localisation des données stockées dans un SAE. Toute archive contenant des données personnelles doit être localisée en France ou dans l'Union européenne par un prestataire européen non détenu par une entité juridique non européenne faute de quoi les données peuvent être accédées à votre insu par les autorités nationales de la maison mère du prestataire. La politique d'hébergement du prestataire devient alors un critère de choix déterminant

En outre, le niveau de sécurité doit être pris en compte lors du choix d'une solution SAE. Pour un SAE en mode SaaS, la norme ISO/IEC 27001 est une référence internationale qui garantit la sécurité de l'information. Il convient également de vérifier si le prestataire applique des dispositifs de redondance, réalise des tests de vulnérabilité réguliers ou dispose d'un label en cybersécurité.

Entreprises : Comment déployer une solution SAE ?

Mettre en œuvre un système d'archivage électronique au sein d'une organisation ne s'improvise pas. Pour maximiser l'efficacité de la solution, un diagnostic des besoins doit être effectué en amont. Concrètement, l'entreprise commencera impérativement par identifier les types de documents produits, leur volume, leur fréquence et leur cycle de vie.

La prochaine étape consiste à étudier la faisabilité du projet. Cela implique de vérifier plusieurs paramètres, afin de cerner précisément les capacités de l'entreprise :

• L'entreprise dispose-t-elle des infrastructures nécessaires ?
• Les collaborateurs sont-ils formés ou devront-ils l'être ultérieurement ?
• L'archivage électronique est-il pertinent par rapport au fonctionnement de l'organisation ?

Les besoins et exigences étant identifiés, vient ensuite la rédaction d'un cahier des charges. Ce document précise et structure les modalités de mise en œuvre du projet (externalisation ou gestion interne, logiciels à déployer, responsabilités, niveau de sécurité attendu, etc.).

Au cas où l'entreprise choisirait d'externaliser son SAE, le choix du prestataire ne peut pas être pris à la légère. Le respect des normes, les certifications présentées, les outils et logiciels mis en place, les références, les engagements contractuels… sont autant de critères à considérer.