Archivage Numérique et droit : les deux erreurs à ne pas commettre

L'archivage numérique est un phénomène très particulier dans le secteur des technologies de l'information, car c'est la première fois que l'objet même du développement informatique est un objet juridique : la preuve.

Après une longue période de maturation, les projets d'archivage numérique éclosent de toute part, et sous toutes formes : réorganisation d'une GED, mise à plat d'un process, ou encore élaboration de spécifications d'archivage pour tout un groupe.

 

La situation n'est pas surprenante, car elle correspond à la convergence de deux phénomènes : d'une part la prise de conscience par le management des enjeux associés à la dématérialisation massive de l'information ; d'autre part la maturité des offres, dont les promoteurs se préoccupent du caractère « légal » afin de leur conférer une légitimité.

 

L'archivage numérique est en effet un phénomène très particulier dans le secteur des technologies de l'information, car c'est la première fois que l'objet même du développement informatique est un objet juridique : la preuve. Et il n'est pas simple de promouvoir ou de mettre en oeuvre des machines à fabriquer ou à conserver des preuves, dans un contexte où les discours juridiques théoriques paraissent difficilement réconciliables avec la réalité opérationnelle.

 

A cet égard, il y a deux erreurs qu'il faut se garder de commettre. La première serait d'ignorer le caractère « légal » de la chose, et de la considérer comme un quelconque avatar technique du système d'information de l'entreprise. La seconde serait de la diaboliser, en transformant le projet d'archivage en un imbroglio de questions sans réponses.

 

L'archivage « légal » n'existe pas

 

Commençons par tordre le cou à une idée qui rôde : l'archivage dit « légal » n'existe pas. Il n'y a pas de loi, pas de label, pas de norme qui confère à un produit ou à un service d'archivage l'étiquette « légal ». En cas de conflit sur la valeur probatoire d'un document, c'est le juge qui décidera de sa fiabilité, en vertu des pouvoirs qui lui sont conférés par les textes suivants :

Ø      Art 1316-2 Code Civil : « Lorsque la loi n'a pas fixé d'autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu'en soit le support ».

Ø      art 287 NCPC : « Si la dénégation ou le refus de connaissance porte sur un écrit ou une signature électronique, le juge vérifie si les conditions, mises par les articles 1316-1 et 1316-4 du code civil à la validité de l'écrit ou de la signature électronique sont satisfaites »

 

L'expression « archivage légal » ne doit pas pour autant être jetée aux orties, car elle est entrée dans le langage courant, où elle est utilisée dans le sens du record management anglo saxon [Voir à ce sujet « Archiver, et après ? », Marie-Anne Chabin, éditions Djakarta]. Mais elle doit être comprise dans son sens exact, qui désigne un système dont les caractéristiques répondent aux exigences posées par la loi pour attribuer une valeur probante à un écrit numérique.

 

Ne confondons pas l'enjeu probatoire et l'enjeu de conformité

 

Toute opération de dématérialisation comporte deux enjeux bien différents, que l'on a tendance à confondre en une énumération de contraintes juridiques aussi impressionnantes qu'hétéroclites.

 

Ø      Le premier enjeu est celui de la capacité d'un système d'archivage à garantir la valeur probante d'un document dématérialisé. Il peut s'agir du contenu d'un contrat conclu en ligne entre un établissement financier et son client. Ou du montant des créances cédées à un factor sous forme électronique. Dans cette hypothèse, le risque est vieux comme le monde et se résume en un adage latin bien connu souvent cité sous la forme : « Ne pas avoir de preuve revient à ne pas avoir de droit ».

 

Permettons nous une remarque préliminaire. A en écouter certains, on croirait que la question des faux et de la valeur probatoire  est apparue avec le numérique. Il n'en est évidemment rien. Le monde des affaires vit avec ce risque de faux et sa proportion d'éternels margoulins, et il n'y pas de raison que ça change avec la numérisation de l'information. Ceux qui fraudaient avant continueront à frauder après, car la fraude n'est pas une question de technique, c'est une question de mentalité. Or, nulle étude n'a démontré que la proportion de gens malhonnêtes avait augmenté de façon foudroyante depuis l'apparition de l'ordinateur.

 

Il est au contraire permis de penser qu'avec le temps, et la diffusion plus large des technologies qui permettent de sécuriser les écrits numériques, la fraude numérique sera bien plus compliquée que ne l'était son homologue papier.

 

Notre propos ici n'est pas de nier l'importance de l'enjeu probatoire mais de le replacer dans son contexte. Ce qui est vraiment compliqué, ce n'est pas la lutte contre les faux, c'est de trouver les procédés et des organisations qui permettront d'avoir une assurance raisonnable de ce que des documents restitués plusieurs années après leur création, sous forme papier à partir des enregistrements numériques, ou tout simplement montrés à l'écran, sont fidèles à leur état original, et ce sans recourir systématiquement à une expertise. S'offrir un système d' « archivage légal », au sens que nous lui avons donné précédemment, a un certain prix. Et ce prix sera d'autant plus élevé que le système sera plus fiable et que la durée de conservation sera longue. Cette réflexion sur l'analyse de la valeur doit être faite au moment de la conception du système d'archivage car elle est structurante : compte tenu de l'envahissement endémique des entreprises par l'information numérique, ce serait un pur non sens de conserver de la même façon une messagerie d'entreprise et des contrats d'assurance vie.

 

Ø      Le second enjeu est lié à la nécessité de respecter les réglementations de conformité, ou de « compliance » qui se sont multipliées récemment : Sarbanes Oxley Act, Loi de Sécurité Finnaière, Bâle II et règlement CRBF 97, Loi Informatique et Liberté, Contrôle fiscal de comptabilité informatisée, facturation électronique, CFR 21 Part 11, etc. C'est à cette énumération que nous faisions allusion tout à l'heure, car elle est parfois présentée de telle manière que l'on a l'impression qu'elle s'applique cumulativement à tout système d'archivage, ce qui est bien sûr inexact.

Ces réglementations sont soit sectorielles, soit réservées à un type de donnée particulier. Par exemple certaines concernent les établissements bancaires, d'autres l'industrie pharmaceutique. Certaines portent sur les données à caractère personnel et d'autres sur les factures.

A chacune des ces règles de compliance sont associées des sanctions, en cas de non respect de celles-ci. C'est donc à l'exercice suivant qu'il convient de se livrer lors de la conception d'un système d'archivage : les documents à conserver tombent-ils sous le coup de l'une de ces règles ? Si oui quelles sont les contraintes qui en découlent, et quels sont les risques encourus à les ignorer ? Prenons un exemple simple : dématérialiser ses factures sans respecter les préconisations de l'administration fiscale en terme de signature électronique et d'archivage expose l'entreprise à un risque de redressement sur l'assiette de la TVA. L'enjeu est limpide.

 

Quelle est la valeur probatoire d'un document numérique ?

 

Cette question est celle à laquelle il faut répondre pour établir les spécifications fonctionnelles de base du système d'archivage. Car à tout document numérique est associé un enjeu probatoire, qui sera plus ou moins important, comme nous l'avons vu plus haut.

 

Les contraintes de compliance viendront s'y rajouter, le cas échéant, si le document en question est soumis à une réglementation spécifique. Nous ne les développerons pas car ces contraintes sont propres à chaque réglementation, qui les définit avec plus ou moins de détail. A titre d'exemple, les textes fiscaux sont précis et techniques, alors que l'une des obligations fondamentales de la Loi Informatique et Libertés, qui est l'obligation de sécurité, est exprimée en terme généraux et conceptuels.

 

L' « écrit numérique » est un concept récent, introduit dans le droit français par la loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique, dont les dispositions ont été portées au Code Civil. Aux termes de l'article 1316 du Code civil : « La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission ».

 

L'écrit numérique est fondamentalement différent de l'écrit papier en ce que l'information est dissociée du support. L'écrit papier est un objet statique et intangible, dans lequel l'information et le support sont intimement liés. L'information signifiante s'induit de l'apparence visuelle du support (date, signature, papier à en tête, contenu). Dans un écrit numérique composé de données structurées, ces éléments sont épars, et le système d'archivage devra les gérer d'une façon telle que l'information signifiante portée par un tel écrit puisse être conservée et reconstituée fidèlement.

 

L'article 1316-1 du Code Civil définit les conditions à remplir pour qu'un écrit numérique ait une valeur probante : « L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité ».

 

Cet article est fondamental en ce qu'il pose les deux conditions juridiques de l'admission en preuve d'un écrit numérique :

Ø      Etre capable de connaître son origine. Cette condition doit être comprise au sens de savoir qui est la ou les personne(s) physique(s) ou morale(s) qui portent les engagements, ou la responsabilité, du document en question.

Ø      Etre établi et conservé dans des conditions de nature à en garantir l'intégrité. Cette condition ne fait que traduire un critère qui était assuré de façon naturelle par le support matériel du papier, et qui est tout sauf naturel dans le monde numérique.

 

La loi ne traite pas des modalités d'archivage, ni ne définit la notion d' « intégrité ». Le Forum des Droits sur l'Internet en donne la définition suivante : lisibilité, stabilité du contenu informationnel, traçabilité des opérations effectuées sur le document.

 

En pratique, un écrit numérique résultera de l'intégration de différentes technologies qui auront contribué à la création du document définitif. La valeur juridique de ce document sera assurée dès lors que le processus mis en oeuvre permettra d'en identifier l'origine, et de garantir son intégrité depuis sa création et tout au long de son cycle de vie.

 

On voit là apparaître un élément fondamental de la compréhension de l'écrit numérique. Contrairement à l'écrit papier, figé une fois pour toute sous forme d'un « original », l'écrit numérique va vivre, se transformer, changer de support et parfois même de format, au cours des différents cycles de son existence depuis sa création, son stockage, son versement en système d'archivage et jusqu'à sa restitution ou sa destruction. Les deux conditions posées par l'article 1316-1 du Code Civil devront être assurées pour l'ensemble du cycle de vie de l'écrit numérique, ce qui impose de voir l'archivage numérique, eu sens large, non pas comme une action ponctuelle mais comme la mise en oeuvre d'un processus pérenne au cours du temps.

 

Un mot sur la signature électronique, que nous ne développerons pas ici plus avant. Telle que définie par les textes, c'est-à-dire délivrée par un  Prestataire de Service de Certification Electronique, elle assure de façon complète et fiable les fonctionnalités qui permettent d'accorder une valeur probante à un écrit numérique : le document fait l'objet d'un calcul d'empreinte [donc son intégrité peut être vérifiée], et possède un identifiant qui est propre au signataire [ce qui procure au document une garantie d'origine]. La signature électronique présente un intérêt évident lors des transactions en ligne, car elle permet d'identifier de façon fiable un interlocuteur distant. Elle n'est pas néanmoins un passage obligé de l' « archivage légal », dès lors que le processus mis en oeuvre donne des garanties suffisantes de pouvoir identifier l'origine de l'information et d'assurer son intégrité.

 

Au bout du compte : quelles spécifications pour le système d'archivage ?

 

A ce stade, on l'aura compris : la sécurisation juridique des informations numériques passe par la gestion de leur cycle de vie, et pas par l'utilisation de techniques éparses sans cohérence globale.

 

Les projets d'archivage électronique sont complexes car ils nécessitent une phase de réflexion préalable transverse à plusieurs dimensions de l'entreprise :

Ø      La dimension juridique d'une part : identification des contraintes juridiques liées à l'information considérée (durée de conservation, enjeu probatoire, mise en évidence des contraintes éventuelles de compliance) ;

Ø      Et la dimension technique et organisationnelle d'autre part, qui devra apporter des réponses techniques aux spécifications issues de l'analyse juridique préalable, tout en intégrant les préconisations issues des normes d'archivage.

 

Nous souhaitons insister sur l'importance de la documentation, plus couramment appelée « Politique d'archivage » [Voir sur ce sujet « Dématérialisation et Archivage Electronique », par Jean-Marc Rietsch, Marie-Anne Chabin et Eric Caprioli, Editions Dunod]. La capacité de l'entreprise à produire sa politique d'archivage, en cas de litige sur un document restitué par son système, sera un gage a priori de la qualité du document, avant ou même en dehors de toute expertise.

 

 

En conclusion, nous espérons avoir convaincu que les projets d'archivage ne sont en rien diaboliques. Pourtant ils font peur, car leur transversalité les rend objectivement difficiles à mener à bien. Mais le jeu en vaut la chandelle, faute demain de sombrer dans l'horrible univers de l' « électronasse », selon l'expression de Marie Anne Chabin à qui nous laisserons le mot de la fin :

 

« On se réjouissait de voir l'informatique faire disparaître toute la paperasse mais si on l'a troquée pour de l'électronasse, ou est le progrès ? »

 

In « Archiver, et après », Editions Djakarta