Du tiers Archiveur NF461 au prestataire de service d’archivage électronique qualifié eIDAS

L’Europe s’est dotée en 2014 de plusieurs services de confiance dit « qualifiés » dans le cadre du règlement européen eIDAS. Ils permettent de proposer des services pour les transactions électroniques dans toute l’Union Européenne. Pour rappel, un service de confiance qualifié proposé par un fournisseur d’un des pays de l’UE a la même reconnaissance juridique dans toute l’UE.

En juin 2021, l’Europe décide d’élargir les services de confiance du règlement eIDAS en dotant ce dernier de trois nouveaux services de confiance. Il s’agit de permettre la mise en place des services suivants :

• Fourniture de services de registres électroniques.
• Fourniture de services d’archivage électronique.
• Fourniture de dispositifs de création de signatures et de cachets électroniques à distance.

L’arrivée de nouveaux moyens technologiques de type blockchain également appelés registres électroniques apportent un socle intéressant pour le partage de la confiance numérique au niveau de l’UE . Comme le mentionne le dossier interinstitutionnel de juin 2021, « Les registres électroniques combinent l’horodatage et le séquençage des données à des garanties concernant l’initiateur, de manière analogue au processus de signature électronique, ce qui a pour avantage supplémentaire de permettre une gouvernance plus décentralisée adaptée à la coopération multipartite ». L’article 45 nonies mentionne les effets juridiques de ces « ledgers » :

• La recevabilité d’un registre électronique comme preuve en justice ne peuvent être refusés;
• un registre électronique qualifié bénéficie d’une présomption quant au caractère univoque et à l’authenticité des données qu’il contient, à l’exactitude de la date et de l’heure de ces données et à leur classement chronologique séquentiel dans le registre.

L’article 45 decies mentionne les exigences applicables aux registres électroniques qualifiés :

• ils sont créés par un ou plusieurs prestataires de services de confiance qualifiés;
• ils garantissent le caractère univoque, l’authenticité et le classement correct des données contenues dans le registre;
• ils garantissent le classement chronologique séquentiel correct des données dans le registre ainsi que l’exactitude de la date et de l’heure de l’entrée de ces données;
• ils enregistrent les données de telle sorte que toute modification ultérieure des données soit immédiatement détectable.

Une autre avancée considérable de la révision eiDAS v2 est liée à La fourniture de services qualifiés d’archivage électronique au niveau de l’UE. Ainsi, « l’article 45 octies relatif aux services qualifiés d’archivage électronique complète les articles 34 et 40 concernant les services de conservation qualifiés pour les signatures électroniques qualifiées et les cachets électroniques qualifiés. » 

Le détail de ce nouveau service est proposé via l’article 45 octies de la manière suivante :

« Un service qualifié d’archivage électronique de documents électroniques ne peut être fourni que par un prestataire de services de confiance qualifié qui utilise des procédures et des technologies permettant d’étendre la fiabilité du document électronique au-delà de la période de validité technologique. »

Les Tiers Archiveurs électronique Français qui ont mis en place un service d’archivage certifié marque NF461 comme « Spark Archives TAE », sont de potentiels fournisseurs de ce nouveau service qualifié à venir. En France, la qualification relèvera alors probablement de l’ANSSI qui est en charge actuellement de la qualification des fournisseurs de service qualifiés et non plus de la certification NF461 d’Afnor Certification.

Comme pour l’agrément préfectoral autour des services d’archivages électroniques qui reposent sur l’obtention de la marque NF461 (ex-agrément SIAF), l’ANSSI pourrait également se reposer sur la marque NF461 pour la future qualification des prestataires de service d’archivage électronique qualifié eIDAS. Il faudrait probablement alors qu’Afnor certification fasse évoluer son référentiel pour passer d’une certification produit à une certification de service.

D’autre part, il serait assez logique que les services d’archivage qualifié puissent utiliser le nouveau service de registres qualifiés pour ancrer la confiance des journaux chaînés au sens NF Z42-013 de 2020 dans une confiance partagée par les services qualifiés eIDAS à venir.

Enfin, le dossier interinstitutionnel précise que « de nombreux États membres ont introduit des exigences nationales pour les services fournissant un archivage numérique sécurisé et fiable visant à permettre la conservation à long terme des documents électroniques et des services de confiance associés. Pour garantir la sécurité juridique et la confiance, il est essentiel de fournir un cadre juridique pour faciliter la reconnaissance transfrontalière des services qualifiés d’archivage électronique. Ce cadre pourrait également ouvrir de nouveaux débouchés aux prestataires de services de confiance de l’Union. »

Christian Dubourg – Directeur Lab innovation et conformité
Spark Archives / KleeGroup. Responsable du GT eIDAS eFutura

Source : Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL modifiant le règlement (UE) nº 910/2014 en ce qui concerne l’établissement d’un cadre européen relatif à une identité numérique – Juin 2021