Actualités

RSS

Le Luxembourg crée un écosystème de confiance pour la dématérialisation et la conservation des documents dans le secteur financier

Ni la législation française ni la législation européenne n’y apportent de réponse.

 Le règlement européen EiDAS, paru à l’été 2014, encadre un certain nombre de services de confiance : signatures et cachets électroniques et horodatage notamment. Mais il ne traite ni de la numérisation des documents papier, qui appelle pourtant une harmonisation tant les pratiques européennes sont disparates, ni de la conservation des documents numériques.

 En France, ces deux sujets sont actuellement abordés uniquement sous l’angle de la norme. En matière d’archivage, c’est la norme AFNOR Z42013 qui fait figure de référentiel, mais aucune disposition légale n’encadre la conformité d’un prestataire d’archivage à cette norme. Certains prestataires se prévalent d’auto-déclarations de conformité qui ne renseignent en rien sur le degré réel de fiabilité du dispositif. Pour ce qui concerne la numérisation, l’élaboration d’un référentiel normatif est en cours au sein de la commission AFNOR CN171, portant l’espoir qu’un jour la conformité d’un service à la future norme permettra la destruction des archives papier après numérisation.

 Il manque un maillon entre la norme qui définit le service (archivage ou numérisation) et la valeur juridique que l’on peut accorder à ce service s’il est conforme à la norme. Le régime de l’auto-déclaration, voire de la certification « privée », est fragile. Il tend à déplacer le critère de légitimité des prestataires vers des appréciations non objectives, telles que leur appartenance à tel ou tel réseau ou leur réputation sociale.

 C’est très précisément ce maillon manquant que comble la loi Luxembourgeoise du 25 juillet 2015.

 La loi prévoit en premier lieu qu’un prestataire de services de dématérialisation et de conservation (PSDC) ne peut revendiquer cette appellation que s’il a été certifié selon les modalités décrites à la loi, et est inscrit sur une liste tenue par l’organisme d’accréditation Luxembourgeois, l’ILNAS. Les exigences liées à la certification, précises et concrètes, reposent sur la famille de normes ISO 27001 pour les aspects liés à la sécurité, et sur la norme ISO 30301 pour la gestion opérationnelle. Elles sont décrites dans un règlement publié en même temps que la loi du 25 juillet, de sorte que le niveau de qualité exigé d’un PSDC repose sur des critères publics, visibles, et vérifiés sous le contrôle d’un organisme d’accréditation. La loi prévoit des sanctions pénales allant jusqu’à une amende de 125 000 € pour ceux qui utiliseront la dénomination PSDC alors qu’ils ne sont pas inscrits sur la liste. Enfin, il est à noter que le terme « prestataire » englobe la fourniture du service par une entreprise tant pour son compte que pour compte de tiers, ce qui signifie que le PSDC peut très bien être l'entreprise elle-même.

 En second lieu, la loi organise une présomption de conformité à l’original de toute copie sous forme numérique effectuée et conservée par un PSDC. La boucle est donc bouclée, établissant un lien entre la qualité du service, telle qu’attestée par un organisme certificateur officiel, et sa valeur juridique. Cette présomption légale ne vaudra bien sûr que pour une situation soumise à la loi luxembourgeoise mais cela n’est pas très grave, car on peut imaginer que les magistrats français ne rechigneront pas à reconnaître la fiabilité d’un dispositif certifié dans un autre pays européen sur la base de critères normatifs eux-mêmes européens.

 C’est ainsi que le Luxembourg est en train de créer un véritable écosystème de confiance pour deux services essentiels de la transformation numérique des entreprises, dans lequel elle espère bien attirer ses grands voisins moins agiles.

 

« Retour



Isabelle Renard

Isabelle Renard est ingénieur de formation. Elle a effectué la première partie de sa carrière dans un grand groupe industriel, dont plusieurs années aux...Lire la suite


Actualités


FNTC

Isabelle Renard est membre expert de la FNTC


Gestion des cookies - ©Cabinet IRenard Avocats - Tous droits réservés Site web avocat Absolute Communication - Réalisation : Agence answeb

Actualités

RSS

Le Luxembourg crée un écosystème de confiance pour la dématérialisation et la conservation des documents dans le secteur financier

Ni la législation française ni la législation européenne n’y apportent de réponse.

 Le règlement européen EiDAS, paru à l’été 2014, encadre un certain nombre de services de confiance : signatures et cachets électroniques et horodatage notamment. Mais il ne traite ni de la numérisation des documents papier, qui appelle pourtant une harmonisation tant les pratiques européennes sont disparates, ni de la conservation des documents numériques.

 En France, ces deux sujets sont actuellement abordés uniquement sous l’angle de la norme. En matière d’archivage, c’est la norme AFNOR Z42013 qui fait figure de référentiel, mais aucune disposition légale n’encadre la conformité d’un prestataire d’archivage à cette norme. Certains prestataires se prévalent d’auto-déclarations de conformité qui ne renseignent en rien sur le degré réel de fiabilité du dispositif. Pour ce qui concerne la numérisation, l’élaboration d’un référentiel normatif est en cours au sein de la commission AFNOR CN171, portant l’espoir qu’un jour la conformité d’un service à la future norme permettra la destruction des archives papier après numérisation.

 Il manque un maillon entre la norme qui définit le service (archivage ou numérisation) et la valeur juridique que l’on peut accorder à ce service s’il est conforme à la norme. Le régime de l’auto-déclaration, voire de la certification « privée », est fragile. Il tend à déplacer le critère de légitimité des prestataires vers des appréciations non objectives, telles que leur appartenance à tel ou tel réseau ou leur réputation sociale.

 C’est très précisément ce maillon manquant que comble la loi Luxembourgeoise du 25 juillet 2015.

 La loi prévoit en premier lieu qu’un prestataire de services de dématérialisation et de conservation (PSDC) ne peut revendiquer cette appellation que s’il a été certifié selon les modalités décrites à la loi, et est inscrit sur une liste tenue par l’organisme d’accréditation Luxembourgeois, l’ILNAS. Les exigences liées à la certification, précises et concrètes, reposent sur la famille de normes ISO 27001 pour les aspects liés à la sécurité, et sur la norme ISO 30301 pour la gestion opérationnelle. Elles sont décrites dans un règlement publié en même temps que la loi du 25 juillet, de sorte que le niveau de qualité exigé d’un PSDC repose sur des critères publics, visibles, et vérifiés sous le contrôle d’un organisme d’accréditation. La loi prévoit des sanctions pénales allant jusqu’à une amende de 125 000 € pour ceux qui utiliseront la dénomination PSDC alors qu’ils ne sont pas inscrits sur la liste. Enfin, il est à noter que le terme « prestataire » englobe la fourniture du service par une entreprise tant pour son compte que pour compte de tiers, ce qui signifie que le PSDC peut très bien être l'entreprise elle-même.

 En second lieu, la loi organise une présomption de conformité à l’original de toute copie sous forme numérique effectuée et conservée par un PSDC. La boucle est donc bouclée, établissant un lien entre la qualité du service, telle qu’attestée par un organisme certificateur officiel, et sa valeur juridique. Cette présomption légale ne vaudra bien sûr que pour une situation soumise à la loi luxembourgeoise mais cela n’est pas très grave, car on peut imaginer que les magistrats français ne rechigneront pas à reconnaître la fiabilité d’un dispositif certifié dans un autre pays européen sur la base de critères normatifs eux-mêmes européens.

 C’est ainsi que le Luxembourg est en train de créer un véritable écosystème de confiance pour deux services essentiels de la transformation numérique des entreprises, dans lequel elle espère bien attirer ses grands voisins moins agiles.

 

« Retour


Droit des affaires Droit des nouvelles
technologies