Juristendance Informatique et Télécoms n°202 – 2019

VJuristendance Informatiqueoici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance Informatique et Télécoms du mois de juin) :

  • Quelle réponse juridique aux faux sites administratifs ?
  • Communication pré-électorale numérique des-communes
  • Point d’actualité sur la certification hébergeur de données de santé
  • Projet de loi des mobilités et accès aux données des véhicules connectés
  • Le recensement économique des achats publics
  • Quel cadre juridique pour la transformation digitale ?
  • Les limites de l’informatique serverless
  • RGPD un an après : quel bilan depuis son entrée en application effective ?
  • Alain Bensoussan est intervenu au Carrefour Digital & Entreprise
  • Le Conseil d’État valide la proportionnalité d’une sanction de la Cnil
  • Panorama du droit de la donnée en 2019, secteur social et médico-social
  • Pourquoi choisir la signature électronique qualifiée
  • Données personnelles : la DSP 2 et le RGDP sont-ils alignés ?
  • Le droit d’opposition nécessite une situation particulière
  • L’application du RGPD en Nouvelle Calédonie
  • Obligation de sécurité : une sanction Cnil disproportionnée
  • Successions : les héritiers face au compte Facebook du défunt

Restez au cœur de l’actualité législative et jurisprudentielle avec également :

Les professionnels du droit de l’informatique de Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité des technologies avancées.

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Juristendance Informatique et Télécoms n°202, Juin 2019.

N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Dématérialisation et zéro papier : réussir son projet

Dématérialisation et zéro papierPolyanna Bigle participe le 22 mars à une conférence « Dématérialisation et zéro papier » au Salon Documation 2018. 

La 24ème édition du Salon Documation (Salon du management, de l’information et des processus documentaires) se tiendra du 20 au 22 mars 2018 à Paris Expo Porte de Versailles, concomitamment au Data Intelligence Forum. Au programme : dématérialisation, protection des données, valoriser l’information et les data et productivité de l’entreprise.

Totalement consacrés à l’ensemble des enjeux de la transformation numérique et de la gouvernance de l’information pour tous les professionnels qui gèrent des documents, des contenus et des données, le salon Documation & le Data Intelligence Forum représentent le rendez-vous annuel des professionnels de l’information, de la documentation et de la Data.

Dématérialisation et zéro papier

Le jeudi 22 mars 2018, de 11h00 à 12h00, se déroulera une conférence plénière sur le thème « Dématérialisation et zéro papier : réussir son projet », à laquelle participera Polyanna Bigle, directeur du département Sécurité numérique au sein du cabinet Lexing Alain Bensoussan Avocats.

Est-il possible de dématérialiser à 100 % en toute sécurité ? Il est techniquement possible de numériser tous les types de documents de l’entreprise (facture, courriers, contrats, RH…) avec la meilleure fiabilité.

Les processus eux-mêmes peuvent être dématérialisés et même robotisés. Reste à savoir si l’on a le droit de mener son activité sans aucun recours au papier. A moins que cela ne devienne une obligation.

Cette conférence rappellera l’état du droit et de la réglementation sur la dématérialisation. Elle montrera qu’un fonctionnement sans papier efficace et sûr est possible et fera part des meilleures pratiques.

Conférence animée par Michel Remize, rédacteur en chef Archimag

Intervenants :

  • Polyanna Bigle, Avocate à la cour, directrice du département Sécurité numérique, Lexing Alain Bensoussan Avocats
  • Alain Borghesi, PDG Cecurity.com, Vice-président FNTC, Cecurity.com, FNTC
  • Emilie Angaramo, Responsable du service Conseil, Everial
  • Christian Dubourg, Directeur marketing produit, Spark Archives, Secrétaire général Efutura

Eric Bonnet
Directeur du Département Communication juridique




Polyanna Bigle participe à un Mooc sur l’archivage électronique

Polyanna Bigle, directrice du département Sécurité numérique du cabinet Lexing Alain Bensoussan AvocatsPolyanna Bigle participe, aux côtés de Pierre Fuzeau et Caroline Busacle (Serda Groupe), à un Mooc sur le thème de l’archivage électronique, produit par Archimag et Serda formation.

Cette mini formation, certifiée par un organisme reconnu sur ces questions depuis 30 ans, apporte un éclairage opérationnel sur les questions et méthodes de l’archivage électronique (3 vidéos de 8-15 minutes).

Inscription auprès de Serda Formation.

La prochaine session aura lieu le 9 octobre 2017 et sera centrée sur les étapes de la démarche projet pour déployer un système d’archivage électronique (SAE).

Session n° 3 : La démarche projet pour déployer un SAE

Le projet SAE :

  • Les phases projets pas à pas
  • Session du 9 octobre 2017Les rôles
  • Les facteurs clés de succès

Les points de contrôle :

  • Les exigences fonctionnelles
  • S’assurer que l’on est en conformité avec les exigences
  • Illustration d’un processus de SAE

Eric Bonnet
Directeur du Département Communication juridique




Numérique, dématérialisation et pérennité de l’information

Couverture guide Archimag Dématérialisation informationPolyanna Bigle a contribué au Guide du magazine Archimag consacré à la dématérialisation qui vient de paraître.À la question de l’entreprise digitale, la dématérialisation apporte bon nombre de réponses.

D’une part, côté technologies, cela se traduit par la remarquable tenue du marché français du management de l’information, secteurs de la dématérialisation-gestion de contenu et de l’archivage en tête.

D’autre part, sur le terrain juridique, les obstacles sont levés un à un. L’entreprise est donc libre de conduire sa dématérialisation. Elle y a d’ailleurs tout intérêt.

Ses choix peuvent être guidés par différentes tendances de fond. Des tendances notamment organisationnelles, liées à l’environnement économique ou aux nouvelles pratiques des usagers.

Le guide « Dématérialisation et pérennité de l’information » du magazine Archimag paru avant l’été propose de nombreux retours d’expérience (1). L’objectif : réussir sa transition digitale !

Dématérialisation et droit

Polyanna Bigle est l’auteur de deux contributions :

  • Papier ou numérique: je supprime, j’archive ou je jette ?
  • Fiabilité de la signature électronique ».

Dans le premier, elle évoque le fait que le passage au tout numérique implique une phase de transition et d’adaptation du dispositif législatif déjà entamée. En effet, outre le potentiel gain économique et organisationnel pour les organismes, elle amène ces dernières à repenser intégralement l’organisation de leur gestion électronique de document et au-delà leur archivage électronique.

Dans le second, elle souligne qu’avec l’intensification des échanges électroniques et des projets de dématérialisation, la signature électronique pour tous  est en fort développement. Difficile, compliqué ? Non. « La signature électronique est simple et vise toute le monde. L’essayer, c’est l’adopter ». Mais partir dans de tels projets sans une équipe juridique est plus que jamais vivement déconseillé, tant l’impact sur la valeur légale et probatoire des documents signés est important.

Au sommaire :

  1. Les fondamentaux
  • Le marché en France ;
  • Droit : papier ou numérique, je supprime, j’archive ou je jette ?
  • Repères : organisations qui comptent…et salons de référence.
  1. Stratégie
  • Gouvernance ;
  • Normes et standards ;
  • Tendances à suivre.
  1. Mise en oeuvre
  • Réussir sa ré-informatisation ;
  • Sécuriser sa dématérialisation.
  1. Les types de dématérialisation
  • Workflow, BPM ;
  • Courrier, factures fournisseurs, bons de commande, bons de livraison, contrats, bulletin de paie et RH, la signature, santé.
  1. Solutions et services
  • Panorama des prestataires ;
  • Tableaux de présentation des logiciels : plus de 100 critères ;
  • Outils : 130 scanners passés à la loupe.
  1. Archivage et cloud
  • Archivage électronique versus cloud ;
  • Cloud : le marché ;
  • Coffre-fort électronique ;
  • Panorama des prestataires ;
  • Retours d’expérience.

Eric Bonnet
Directeur du département Communication juridique

(1) Guide Archimag « Dématérialisation et pérennité de l’information » (Numéro : 55, 92 pages, 97.00€). Extraits à cette adresse.




La gestion des données des applications abandonnées

La gestion des données des applications abandonnéesPolyanna Bigle est interrogée par le Groupe CGI (*) sur ce que doivent faire les DSI des données des applications abandonnées.

Certaines applications abandonnées au profit d’autres plus récentes et plus performantes, que faire des données qu’elles contenaient ?  Maître Polyanna Bigle répond que cela dépend du type de données concernées du point de vue légal car en effet ces archives peuvent constituer une preuve. L’entreprise doit donc prévoir au préalable un moyen de réversibilité, c’est-à-dire un moyen de récupérer les informations recueillies quelles que soient les applications abandonnées.

La principale raison à cette conservation nécessaire des données est qu’elles constituent bien souvent des preuves juridiques. La loi est même très précise quant à la durée de conservation de chaque type d’information. Par exemple, les documents comptables comme les factures doivent être conservés sur une durée qui peut aller jusqu’à dix ans. Mais si le droit précise des durées de conservation légales mais il ne donne pas encore d’indications sur la façon dont ces données doivent être conservées : il existe des normes d’archivage mais pas encore d’obligations.

 « On trouve plusieurs normes d’archivage. L’exemple le plus connu est la norme NF Z 42-013 qui détaille une série de bonnes pratiques ». Parmi celles-ci : le cadre de l’archivage et des services de coffre-fort numérique. Sont ainsi listées les métadonnées (identifiant, date de création, etc.) à conserver pour chaque document numérique. « Ce sont pour l’instant des recommandations mais elles risquent de devenir obligatoires dans les prochaines années » estime Maître Polyanna Bigle.

Les données personnelles ont un traitement à part, le principe du droit à l’oubli, inscrit en 2004 dans la loi informatique et liberté, prévoyant la destruction des données nominatives une fois que le motif pour lequel elles ont été collectées n’est plus valable. Dans ce cadre, les entreprises sont tenues de supprimer les données quelle que soit la situation de l’application qui les conserve. C’est en partie pour cette raison que Maître Polyanna Bigle précise : « Les entreprises doivent mettre en place un système d’archivage et de purge des données sans attendre l’obsolescence des applications ».

Interview : « Applications abandonnées pourquoi garder les données ? », CGI Expert, 3 décembre 2015.

(*) Groupe CGI (Common Gateway Interface)




Archivage électronique : le Luxembourg précurseur

Archivage électronique : le Luxembourg précurseurLa loi de juillet 2015 « archivage électronique » au Luxembourg consacre le développement de la dématérialisation.

Le Luxembourg est ainsi précurseur en matière de législation et pourrait être suivi par la France eu égard à la reconnaissance constante de l’équivalence entre l’écrit papier et l’écrit électronique et au développement de la dématérialisation au sein des entreprises.

La démocratisation, par cette voie, de la dématérialisation révèle, dans notre économie actuelle, la pleine valeur des documents électroniques.

Néanmoins, cette reconnaisse passe par l’encadrement stricte des conditions d’archivage électronique afin d’assurer une sécurité tant technique que légale.

Ainsi, la loi luxembourgeoise « archivage électronique » (1) vient établir un niveau élevé d’exigences techniques afin que les archives électroniques, visant tant les archives numérisées qu’originairement numériques répondent aux exigences d’authenticité, d’intégrité, de fiabilité et de durabilité de la copie numérique dans le temps.

La sécurité technique passe par la création d’un nouveau statut d’acteurs certifiés : les prestataires de services de dématérialisation ou de conservation (PSDC). Seuls les PSDC qualifiés peuvent certifier que toutes les conditions afférentes à une copie électronique sont réunies. Ces derniers deviennent ainsi garants du niveau d’exigence technique requis afin de garantir la valeur juridique du document archivé.

La certification des entreprises est encadrée par les « règles techniques d’exigences et de mesures pour la certification des PSDC ». Les entreprises peuvent obtenir le statut de prestataire qualifié à la suite d’une certification par les organismes accrédités et d’une validation par l’Institut Luxembourgeois de la Normalisation, de l’Accréditation, de la Sécurité et qualité des produits et services (ILNAS).

D’après la loi archivage électronique, seul un organisme certificateur accrédité par l’OLAS, ou tout autre organisme signataire des accords de reconnaissance de l’ « European co-operation for Accreditation », peut délivrer une telle certification. Pour cela, il doit être reconnu comme compétent, sur la base des exigences de la norme ETSI EN 319 403. Une fois accrédité, cet organisme peut procéder à des certifications selon la règle technique d’exigences et de mesures pour la certification des PSDC.

Ces règles techniques sont basées sur des standards internationaux, telles que les normes ISO/IEC 15489:2001 sur la gestion des archives courantes et intermédiaires (« record management »), les normes ISO/IEC 27001:2005 et ISO/IEC 27002:2005 sur la sécurité de l’information (« information security management ») et ISO 30301:2011 sur les systèmes de gestion des documents d’activité (« operational management »).

Afin de garantir les entreprises clientes des services de dématérialisation, la présente loi oblige également les PSDC certifiés à fournir un certain niveau d’information précontractuelle notamment sur les procédures de dématérialisation, conservation, copie, transfert et/ou destruction.

Cette fiabilité technique permet de donner une valeur juridique à l’archive électronique et de garantir la conformité des documents numériques aux originaux, notamment devant les instances judiciaires. La copie électronique a désormais au Luxembourg, la même force probante que l’original papier, que celui-ci existe toujours ou non.

Cette loi vise les actes sous seing privé, signés par voie manuscrite ou électronique et les documents soumis à une obligation de conservation commerciale ou comptable.

Polyanna Bigle
Lexing Droit Sécurité des systèmes d’information

(1) Loi du 2-7-2015, Mémorial A n°150 du 4-8-2015 archivage électronique.




Archivage : une base de données des durées de conservation

Archivage : une base de données des durées de conservationArchimag a développé avec Lexing-Alain Bensoussan, une base de données des durées légales d’archivage.

Constituée par le cabinet, en partenariat avec Serda, cette base de données comporte les tableaux de gestion associés aux documents types relevant de 12 domaines d’activité propres aux entreprises, tels que, notamment, la direction générale et les services généraux, la direction comptable et financière ou encore, la direction des ressources humaines.

Elle propose, non seulement la durée légale de conservation particulière à chaque document classé selon une typologie documentaire propre au domaine concerné (fiche de paie, plan comptable, etc.), mais également le texte de référence et la jurisprudence susceptibles d’être consultés via un lien direct vers le site Legifrance, ainsi qu’un commentaire destiné à en favoriser l’application.

Serda et Lexing-Alain Bensoussan fournissent des indications supplémentaires issues de leur longue expérience dans la gestion documentaire, par exemple, le choix du support de conservation le plus approprié (papier ou électronique) ou encore le type d’action à effectuer à la fin de la durée d’utilité administrative (DUA) de l’archivage. Un glossaire complète la base de données.

Cette base de données présente les caractéristiques suivante :

  • mise à disposition d’une information complète, actualisée périodiquement ;
  • simplification de la navigation au sein de la base ;
  • possibilité d’une impression en format PDF du tableau de gestion.

Cette base est conçue de manière à être un instrument de référence pour les professionnels en archivage électronique et records management. Elle est accessible à partir de n’importe quel navigateur connecté à internet.

Un guide méthodologique est disponible sous forme d’une vidéo publiée sur YouTube. Des informations complémentaires sont également communiquées par Archimag à cette adresse.




Archivage de l’information numérique et papier : quels critères ?

Archivage de l’information numérique et papier : quels critères ?Archivage de l’information numérique et papier : quels critères ?  Tel sera le thème de la conférence organisée par Reed Expositions au prochain salon Documation-MIS le 18 mars 2015 à laquelle participera Polyanna Bigle.

Vous êtes perdus, vous avez investi dans une solution de gestion électronique de documents ou d’archivage électronique documentaire, mais vous ne savez pas si vous pouvez jeter les documents papier ? ni quand le faire ? Vous ne savez pas si les documents nativement numériques (mèls, contrats, actes, feuilles de transmission, bons de commande, factures électroniques, etc…) ont seuls la même valeur que le papier et s’ils suffisent pour faire la preuve de vos droits ou vos créances ? Vous ne savez pas non plus quoi conserver et quoi supprimer ni comment faire ? Comment choisir les meilleurs prestataires et la meilleure solution technique pour gérer vos documents électroniques ?

C’est à toute cette série de questions que Maître Polyanna Bigle, accompagnée de Antoine Meissonnier animateur de cette conférence plénière, et de Alain Borghesi, Sylvie Dessolin-Baumann et Benoît Jullien, tenteront de vous apporter les réponses claires, précises et pragmatiques. Ne les ratez pas (en diffusion sur le site de Documation).

Cette conférence a pour objectif de dissiper les confusions fréquentes : mon système Ged peut-il me servir d’archivage ? Un document original et scanné ont-ils la même valeur juridique ? Quelle est la valeur probante d’un document numérique natif ?

La transformation numérique en cours induit la coexistence de flux papier et numérique au sein des organisations. Cette duplicité des supports et des formats peut être source de confusions et nuire à l’efficacité des organisations.

Cette conférence permettra donc d’orienter les responsables projets, dans leur politique de conservation en abordant la gestion du patrimoine informationnel de façon pragmatique :

  • L’objectif de valeur probante
  • La numérisation et le sort du papier
  • Quels choix entre Ged, records management et archivage ?
  • Le cas particulier du courrier et des emails
  • Le projet de règlement européen sur les transactions numériques
  • Retours d’expériences

Programme de la conférence – Documation-MIS




Référentiel général de gestion des archives (R2GA), quels impacts ?

Référentiel général de gestion des archives (R2GA) quels impacts ? Petit-déjeuner débat du 9 avril 2014Petit-déjeuner Référentiel général de gestion des archives (R2GA) du 9 avril 2014 – Polyanna Bigle a animé, avec Antoine Meissonnier (Archives de France), Pierre Fuzeau et Caroline Buscal (Groupe Serda), un petit-déjeuner débat dédié aux enjeux et impacts du référentiel d’archivage dans les organisations publiques comme privées.

Le Référentiel général de gestion des Archives (R2GA) s’adresse en priorité aux décideurs de l’administration publique, de l’État comme des collectivités, mais il n’est pas sans impact sur l’activité de tous les prestataires de service en charge de la gestion des archives, de solutions de GED et autre workflow.

Il est en effet utile pour répondre au mieux aux exigences du secteur public dans ces domaines, notamment en vue d’obtenir certains agréments auprès des services publics.

Il est également une source d’information très intéressante pour tout organisme ou entreprise tenu de sauvegarder et de conserver un grand nombre de documents pour répondre à des obligations d’ordre légal et des délais de prescription. Il peut être utilisé comme outil de pilotage d’une politique archivage papier comme électronique.

Ce petit-déjeuner a été l’occasion d’examiner les questions suivantes :

• Quelle est la valeur juridique de ce référentiel pour les archives ?
• Comment s’articule-t-il avec les autres référentiels généraux (RGAA, RGS, RGI, etc.) ?
• Quelles sont les mesures à prendre ?
• Comment rédiger son propre code de l’archivage et identifier les durées de conservation ?
• Quel plan de gouvernance pour les données et documents numériques et comment accompagner ce changement ?

Le petit-déjeuner a eu lieu dans nos locaux.

 




Coffre-fort numérique : création d’un label Cnil

Coffre-fort numérique : création d'un label CnilCoffre-fort numérique – La Cnil adopte pour la première fois un référentiel permettant la délivrance de labels en matière de services de coffre-fort numérique (1), synonyme ici de « coffre-fort électronique » dans le prolongement de ses recommandations de 2013 (2). 

Ce référentiel contraignant concerne « les offres proposées à des particuliers de services de stockage, dématérialisé et sécurisé, de données, et dont l’objet est de conserver des documents sur un support informatique ». Ces offres se distinguent des espaces de stockage en ce que « les données conservées incluant les documents stockés et leurs métadonnées ne sont accessibles qu’au seul titulaire du coffre et, le cas échéant, aux personnes physiques que le titulaire a spécifiquement habilitées à cet effet ».

Cette définition renvoie directement à la définition par la Cnil des services dits de coffre-fort numérique ou électronique.

Ce label est réservé aux candidats au label à la fois opérateurs techniques du service et fournisseurs de ce service auprès des particuliers qui démontrent, par des justifications argumentées et des éléments de preuves, qu’ils satisfont aux conditions posées par le référentiel.

Dans le cas où ces fonctions sont dévolues à deux personnes morales distinctes, la demande de label devra être formulée conjointement par l’opérateur et le fournisseur, afin de justifier de la conformité au référentiel.

La délivrance du label est subordonnée à la démonstration, par le candidat, du respect de 22 exigences cumulatives portant sur :

  • la démarche de conformité mise en œuvre par le fournisseur du service « qui doit, pour l’ensemble des traitements qu’il met en œuvre, veiller à la protection des données personnelles au-delà du seul service objet de la demande de label » ;
  • et sur « la protection des données du service de coffre-fort numérique, objet de la demande de label, reprenant : les données traitées, l’accès aux données, la conservation des données, l’information des personnes, la gestion des risques et les mécanismes cryptographiques ».

La délivrance du label par la Cnil impose ainsi notamment la démonstration par le candidat que le service satisfait à des obligations relatives à la gestion des risques, à la conformité et aux mécanismes cryptographiques intégrés dans le service de coffre-fort numérique.

Dans la mesure où la labellisation Cnil constitue un marqueur fort permettant au consommateur de s’orienter vers les services les plus respectueux des données personnelles, il revient aux prestataires offrant des services de coffre-fort numérique de les auditer afin de démontrer la conformité de leur service aux exigences du label ou de déterminer les moyens techniques nécessaires au respect de ce standard.

Selon l’article 2.5 de l’annexe de la délibération, cette analyse de conformité devra en outre être renouvelée tous les trois ans, au même titre que l’étude des menaces et l’audit de l’effectivité et de l’efficacité des mesures choisies.

Polyanna Bigle
Jean-Baptiste Gevart
Lexing Droit Sécurité des systèmes d’information

(1) Délib. 2014-017 du 23-1-2014.
(2) Délib. 2013-270 du 19-9-2013.




Coffre-fort électronique : les recommandations de la Cnil

coffre-fort électroniquePolyanna Bigle – La Cnil a déjà édicté une fiche pratique sur « Les coffres forts électroniques en question » en juin 2011. Mais en parallèle des services destinés aux entreprises et professionnels, on assiste au développement exponentiel des services de dématérialisation des documents pour les particuliers, ainsi que des services de stockage dématérialisés de ces documents électroniques. La Cnil ne s’arrête pas non plus à sa fiche pratique et propose une série de recommandations sur les services de coffre-fort électronique et numérique (ci-après « coffre-fort électronique » ou « CFE-N ») ainsi que les espaces numériques de stockage (1).

Les définitions techniques. La Cnil distingue les CFE-N des simples espaces de stockage numérique. Le CFE-N est un espace de stockage numérique particulier « dont l’accès est limité à son seul utilisateur et aux personnes physiques spécialement mandatées par ce dernier », qui doit « garantir l’intégrité, la disponibilité et la confidentialité des données stockées ». Le CFE-N se distingue ainsi des espaces clients sur le Web, ou d’autres espaces de stockage numérique qui ne répondraient pas aux critères et aux mesures édictées par la recommandation de la Cnil.

L’application de la loi Informatique et libertés. La recommandation de la Cnil ne vise ici que les services de CFE-N destinés aux particuliers. Il n’est cependant pas exclu que certaines recommandations puissent s’appliquer, au moins à titre de « bonnes pratiques », aux services de coffre-fort électronique fournis aux professionnels.

Un traitement de données à caractère personnel. Dans sa recommandation, la Cnil confirme que le CFE-N constitue un traitement automatisé de données à caractère personnel soumis à la loi du 6 janvier 1978 et ce, pour deux motifs : il est géré par des opérations informatisées et il est « par nature lié à une personne physique identifiable ». Les recommandations sont formulées à destination des prestataires de services de coffre-fort électronique considérés comme responsables de traitement.

Application au coffre-fort électronique établi à l’étranger. La Cnil considère que la loi est également applicable aux sociétés établies hors Union européenne proposant des services de CFE-N « dès lors qu’elles utilisent des moyens de traitement en France ».

Exclusions. Le particulier utilisant ou mettant en œuvre un espace de stockage numérique de documents, dont il a la propriété, pour son usage personnel, ne se voit pas soumis à la loi précitée. S’il en était autrement, la Cnil serait submergée de déclarations.

Régime des formalités préalables des prestataires de CFE-N. Le régime des formalités préalables n’est pas unique pour les coffres-forts électroniques. En effet, le prestataire de services de CFE-N destinés aux particuliers devra effectuer auprès de la Cnil :

  • soit une déclaration normale avant sa mise en œuvre ;
  • soit une demande d’autorisation préalable si le prestataire transfère les données stockées par les utilisateurs en dehors de l’Union Européenne ; à défaut, les données hébergées dans les CFE-N ne doivent pas quitter le territoire de l’Union Européenne ni le territoire d’un Etat offrant un niveau de protection suffisant au sens de l’article 68 de la loi ;
  • soit une demande d’agrément ministériel spécifique lorsque la prestation de CFE-N consiste à stocker des données de santé, même lorsque cela n’est pas la destination principale du CFE-N mais qu’il propose par exemple « par défaut un dossier santé » parmi les autres modalités de classement des documents ou fichiers.

Les recommandations quant aux données traitées dans les coffres-forts électroniques. La Cnil émet un certain nombre de recommandations visant :

  • les données traitées ;
  • les destinataires ;
  • les durées de conservation ;
  • l’information des personnes, ainsi que
  • les mesures de sécurité préconisées.

On notera en particulier que le numéro de sécurité sociale « ne peut être utilisé pour le routage des documents dématérialisés vers un coffre-fort numérique », même pour les bulletins de paye : si ces derniers peuvent naturellement être stockés par les particuliers, le routage automatique devra être effectué par un autre moyen de récupération.

Confidentialité. La Cnil insiste également sur le fait que le contenu des CFE-N ne doit pas être consultable par d’autres personnes que l’utilisateur lui-même ou ses mandataires désignés. Des mesures techniques doivent protéger le coffre-fort électronique rendant leur contenu « incompréhensible aux tiers non autorisés ».

Le prestataire ne doit pas non plus techniquement accéder au contenu ou à ses sauvegardes « sans le consentement exprès de l’utilisateur concerné ». On en déduira que les prestataires de CFE-N ne pourraient pas être tenus responsables des contenus éventuellement illicites stockés dans leurs coffre-fort électronique.

On note également que la Cnil préconise aux prestataires proposant des services de récupération automatique de documents dématérialisés auprès de tiers (par exemple des factures dématérialisées des prestataires d’électricité, de fournisseurs d’abonnements, de commandes en ligne, etc…) d’élaborer des solutions techniques qui ne collectent pas d’informations confidentielles comme les identifiants et les mots de passe.

Sécurité. Enfin, les recommandations de la Cnil relatives à la sécurité des CFE-N sont au nombre de 19 et particulièrement détaillées avec toujours pour objectif de préserver la confidentialité et la récupération des contenus stockés par les particuliers.

Elle recommande notamment la mise en place des mécanismes cryptographiques utilisant « dans la mesure du possible des produits cryptographiques certifiés ou qualifiés par l’Agence nationale de la sécurité des systèmes d’information » et la conservation des copies de sauvegarde et des clés de déchiffrement chez un tiers de confiance pour les conservations de contenu de longue durée.

A toutes fins utiles, on attirera l’attention du lecteur sur le régime spécifique de démarches préalables quant à l’utilisation, l’importation et le transfert de moyens et de prestations de cryptologies s’effectuant auprès de l’Anssi et auquel pourra être soumis le prestataire de services de CFE-N (2).

Pour conclure. Ainsi tant les conditions techniques, notamment de sécurité, que les conditions juridiques générales et particulières des prestataires de services de coffre-fort électronique ou numérique destinés aux particuliers devront être mises à jour à la lumière des recommandations de la Cnil. Les prestataires pourront les combiner avec le référentiel de la norme Afnor Z42-020 de juillet 2012 sur les composants de coffre-fort électronique.

Enfin les prestataires devront prendre soin d’effectuer les démarches préalables adéquates auprès de la Cnil en fonction des services proposés aux particuliers et du lieu de stockage.

Lexing Droit Sécurité des systèmes d’information

(1) Cnil, Délibération n°2013-270 du 19-9-2013
(2) Loi n° 2004-575 du 21-6-2004, art. 29 et s.




Bancassurance : un Système d’Archivage Electronique (SAE) probant

Bancassurance Banques et assurances (Bancassurance) sont, sans aucun doute, les acteurs dont l’activité peut reposer encore beaucoup sur le « papier ». Il n’est qu’à voir, pour s’en convaincre, le nombre de documents remis au client pour une opération de crédit conso par exemple.

En même temps, le foisonnement des bases de messagerie, des bases GED et des données issues des applications métiers et éditiques rendent de plus en plus difficile la maîtrise normale des flux documentaires réglementés. A l’heure du numérique (presque) tous les acteurs du secteur Bancassurance s’interrogent pour évaluer leur marge de manœuvre en terme de dématérialisation et d’archivage électronique.

Qui se lance dans la dématérialisation des contrats, qui dans l’archivage des échanges clients, qui encore dans des projets de coffre-fort électronique.

Mais à la différence de bon nombre d’acteurs, la question de l’archivage électronique est particulièrement exacerbée pour les acteurs de la bancassurance du fait du nombre impressionnant de contraintes réglementaires liées à la traçabilité : directives européennes, dispositif français Tracfin visant à lutter contre le blanchiment d’argent sale, Cnil, loi Sarbanes-Oxley, etc., autant de textes qui imposent de conserver de gros volumes de documents, afin de pouvoir les produire à tout moment.

Le SAE, Système d’Archivage Electronique doit, en outre, respecter les normes en vigueur en matière d’archivage électronique à valeur probante : norme Européenne Moreq 2 et nouvelle version de la norme NF Z 42 013.

Archivage électronique et compliance : les bonnes pratiques en milieu bancaire, 24-1-2012




Campagne d’ archivage des sites électoraux : le rôle de la BNF

archivage des sites électorauxLa Bibliothèque nationale de France (BNF) lance une campagne ciblée d’ archivage des sites électoraux dans la perspective de l’élection présidentielle et des élections législatives de 2012.

Plusieurs milliers de sites de personnalités politiques, de partis ou de militants, vont faire l’objet d’une sélection par la BNF, mais aussi par ses partenaires en charge du dépôt légal en région.

Les sites relatifs à la radio et à la télévision appartiennent, quant à eux, au champ de l’Institut national de l’audiovisuel (INA).

On consultera avec intérêt le décret du 19 décembre 2011 qui précise le périmètre et les modalités d’exercice du dépôt légal de l’Internet. Au titre de ce texte, la BNF est habilitée à demander aux éditeurs les clefs d’accès ou une copie des documents si les procédures d’archivage en ligne se révèlent insuffisantes. La BNF utilise pour ses collectes des logiciels d’archivage automatique en ligne.

Or le décret prévoit expressément que lorsqu’un site ne peut être collecté intégralement selon des procédures automatiques, l’éditeur doit, à la demande de la Bibliothèque nationale de France, lui fournir les mots de passe et les clés d’accès aux documents protégés nécessaires à sa collecte, ou lui remettre une copie de ces documents.

Dans les deux cas, l’éditeur doit également fournir toutes les données techniques nécessaires à la communication et à la conservation à long terme des documents. L’organisme dépositaire et le déposant définissent conjointement les modalités de l’extraction des fichiers.

BNF, Communiqué du 1-2012

Décret n° 2011-1904 du 19-12-2011




Archivage électronique et records management en 2011: acteurs, besoins et tendances

Sans archivage électronique, les organisations privées comme publiques ne peuvent plus respecter un certain nombre de lois (marché publics dématérialisés, conservation électronique de la comptabilité…). Il est aujourd’hui incontournable, sinon obligatoire. Cette étude intitulée « Archivage électronique et records management en 2011: acteurs, besoins et tendances« , qui vient de paraître aux Editions Serdalab, réalisée en partenariat avec notre cabinet, aborde les aspects techniques, économiques et juridiques de la mise en place d’un système d’archivage électronique.




Archivage électronique:création d’une nouvelle norme

La nouvelle version de la norme française NF Z 42-013 (1), homologuée par le Directeur général d’AFNOR le 4 février 2009, vient d’entrer en vigueur le 4 mars 2009. Cette nouvelle version constitue «Le» référentiel permettant d’évaluer la force probante des systèmes d’archivage électronique. Cette nouvelle version était très attendue, dans la mesure où elle est largement utilisée pour auditer la conformité des systèmes d’archivage électronique aux exigences techniques et juridiques, d’une part, de copie fidèle et durable, issue de la loi du 12 07 1980 (2) et, d’autre part, d’identification et d’intégrité, issue de la réforme du droit de la preuve du 13 03 2000 (3).

Historiquement, la 1ère version de la norme NF Z 42-013 (4) visait à définir les conditions techniques et organisationnelles permettant de répondre aux exigences de durabilité, définie par la loi et de fidélité, non définie par la loi. Ainsi, la norme NF Z 42-013 définit la fidélité comme l’aptitude à reconstituer toute l’information nécessaire aux usages auxquels le document d’origine était destiné. Compte tenu de l’adaptation du droit de la preuve à l’électronique et de l’introduction de l’équivalence de la signature électronique à la signature manuscrite, issues de la loi du 13 mars 2000, la norme NF Z 42-013 fût modifiée en décembre 2001 pour prendre en compte la signature électronique.

Outre les nombreuses options, complexifiant l’application de la norme NF Z 42-013, la norme NF Z 42-013 privilégiait le support physique «Worm», Write Once Ready Many. La généralisation des baies de stockage, comprenant des supports (disques) réinscriptibles, sous réserve de protection logique des fichiers de toute suppression ou modification pour la durée de conservation initialement arrêtée, se heurtait à l’obsolescence de la norme NF Z 42-013, ne reconnaissant que le support physique Worm. Le principe du consensus et l’enquête probatoire des normes officielles, comme la norme NF Z 42-013, ont entretenu, trop longtemps, ce décalage entre l’offre du marché et les exigences normatives et ce, bien que certaines solutions de stockage n’utilisant pas le Worm physique répondaient déjà à des exigences particulièrement contraignantes pour le secteur financier (5).

La nouvelle version de la norme NF Z 42-013 arrive à point nommé pour les organisations qui souhaitent disposer d’un référentiel de conformité et mesurer la conformité des systèmes d’archivage électronique basés sur le Worm logique aux exigences de copie fidèle et durable, ainsi que d’identification et d’intégrité. La norme NF Z 42-013 ne limite pas l’option au Worm physique ou logique, mais admet le recours aux supports réinscriptibles, sous réserve du recours à la cryptologie, dont l’usage est totalement libéralisé (6), voire à la signature électronique (7), selon le niveau de sécurisation recherché.

Les nouvelles exigences organisationnelles contenues dans la norme NF Z 42-013 impliqueront d’auditer la conformité des systèmes d’archivage électronique existant à ces nouvelles exigences, même dans le cas d’utilisation de Worm physique .

La conformité du système d’archivage électronique repose, non seulement sur le système informatique, mais également sur des politiques d’archivage (8) et de sécurité (9) auxquelles la norme NF Z 42-013 renvoie. La conception du système d’archivage ne peut être limitée au seul système informatique, sans avoir identifié, au préalable, les pré-requis, notamment réglementaires, qui déterminent la politique d’archivage d’une organisation (10). La norme NF Z 42-013 contient un avertissement sur la prise en compte des exigences liées à la législation sur la protection des données à caractère personnel (11), faute de quoi, le système d’archivage électronique se heurterait à une impossibilité juridique de mise en oeuvre, voire au rejet des preuves en résultant.

A l’instar des archives publiques, pour lesquelles les tiers archiveurs relèvent d’un régime d’agrément instauré par la réforme du 15 07 2008 (12), la norme NF Z 42-013 impose de nouvelles exigences aux prestataires d’archivage et précise les clauses contractuelles minimales devant figurer dans les contrats liant ces fournisseurs à leurs clients. Ces exigences, auxquels fournisseurs et clients devront se conformer à l’avenir, impliquent, pour ces derniers, d’auditer les solutions et contrats en vigueur afin d’identifier les écarts résultant de ces nouvelles exigences et s’assurer de leur mise en conformité.

(1) NF Z 42-013 Mars 2009 Archivage électronique – Spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes
(2) C. civ., art. 1348 al.2
(3) C. civ., art. 1316-1
(4) NF Z 42-013 Juillet 1999 Archivage électronique – Recommandations relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes
(5) Rule 17 a4 f), Records to be preserved by certain exchange members, brokers and dealers, Security exchange commission
(6) Loi n°2004-575 du 21 juin 2004, art. 30 I
(7) C. civ., art.1316-4 et décret n°2001-272 du 30 mars 2001
(8) Voir, notamment, NF ISO 15489-1 Avril 2002 Records management – Principes directeurs
(9) NF ISO/CEI 27001 Décembre 2007 Techniques de sécurité — Systèmes de gestion de la sécurité de l’information
(10) Voir www.fedisa.eu Chronique juridique, Compliance d’un SAE.
(11) Loi n°78-17 du 06 janvier 1978, dite Loi Informatique et libertés ; C. pén., art. 226-16 à 226-24
(12) Loi n°2008-696 du 15 juillet 2008, art. 5 II

Autres brèves