Jean-Marc Rietsch

Jean-Marc Rietsch a rappelé que la Certification d’un Système d’Archivage Electronique (SAE) a pour objectif d’établir la confiance entre client et fournisseur et une norme de qualité des prestations fournies en matière d’archivage. Le groupe de travail à l’origine de cette certification est composé d’experts, de clients comme France Telecom, Arkea, Areva, de fournisseurs STS Group, CDC Arkhineo… Elle a bénéficié du support de l’ANSSI. L’organisme certificateur retenu est le LSTI. A la genèse du projet, le groupe de travail a choisi de se référer, du fait de la convergence entre la sécurité et l’archivage, à l’ISO 27000 en particulier sur le volet du management de la sécurité de l’information. Pour être exhaustive elle s’appuie aussi sur des normes techniques comme la Z42-013. Pour la partie analyse du risque, elle est réalisée à partir d’EBIOS développé par l’ANSSI. Enfin sur la partie qualité elle est conforme à la norme 20000.

Pierre Fort, STS Group - Isabelle Renard Avocat - Paul Richy, France Telecom

La certification SAE permet à France Telecom de mieux gérer les risques

Paul Richy a présenté la direction de la sécurité de France Telecom créée il y a 5 ans et qui est rattachée à la Direction Générale. Cette direction est transverse et a pour objectif de définir la politique de sécurité du groupe. En parallèle à cette activité, elle a aussi déterminé une politique d’archivage. Depuis deux ans, elle intègre le volet écologique et la santé sécurité au travail. France Telecom s’est rapidement vers la certification qui lui permet de prendre en compte les aspects règlementaires, les normes et la gestion des risques.

La Certification SAE n’a pas de valeur probante mais peut constituer un élément de preuve d’une gestion en bon père de famille

Isabelle Renard a rappelé que les juges ne se fient pas de prime à bord à la technologie en tant que valeur probante. Ainsi, une jurisprudence de 2008 confirme cette vision des juges. La seule valeur probante reconnue fait référence à l’article 1316-1 du code civil dont les mots clés sont : l’identification de la personne physique ou morale, l’intégrité des données masi pas au sens informatique (changer un bit ne signifie pas que le document est changé). Ainsi, la certification SAE doit faire référence à cet article pour pouvoir être acceptable en matière de valeur probante. Elle doit être conçue et évoluée en faisant référence à l’état de l’art suivant l’usage de la jurisprudence qui fait référence à la « gestion en bon père de famille. » La certification SAE doit donc être conçue comme un projet qui se conçoit sur le long terme et être remise à jour en permanence. De plus, il est nécessaire qu’un tiers extérieur puisse certifier le SAE de l’entreprise.
Cependant, malgré toutes ces conditions, Isabelle Renard a précisé que toute certification ne pourra pas faire office de valeur probante et ne sera donc pas une garantie absolue. Toutefois, elle reste une valeur de confiance pour tous les partenaires.

Pierre Fort de STS Group a montré les avantages pour un éditeur d’obtenir une certification en termes d’avantages concurrentiels. Le problème pour un éditeur est de trouver une certification suffisamment fiable pour obtenir la confiance de ses clients. Il a précisé que toute l’offre de son groupe est conçue autour de la certification.

Armelle Trotin

La certification constitue un réseau de preuve et établi la confiance entre les partenaires

Armelle Trotin de LSTI a dressé un panorama rapide des différentes certifications présentent sur le marché. « La certification fait aussi référence à l’article L115-27 du code de la consommation » a-t-elle rappelé. Pour elle, une bonne certification doit être attribuée par un tiers distinct et indépendant de tout fournisseur. Elle doit être établit par écrit et fait office d’assurance qui atteste de la conformité avec une date de délivrance et d’expiration. L’usage est qu’elle soit délivrée pour une période de trois ans avec des contrôles annuels. C’est aussi un référentiel d’exigence sur la qualité des prestations.

L’organisme indépendant qui délivre la certification doit posséder trois caractéristiques :
L’indépendance
_ La compétence
L’impartialité

Les preuves de ces trois points restent l’accréditation, en France la COFRAC qui délivre une accréditation ISO 17021 dans le domaine des systèmes de management. Elle permet une reconnaissance internationale en particulier avec l’European Cooperation for Accreditation (EA) et l’International Accreditation Forum (IAF).
Elle a rappelé l’importance de la publication publique d’une certification afin d’obtenir une véritable reconnaissance. Ainsi, la certification SAE en faisant référence à l’ISO 27001 rentre dans la catégorie des certifications reconnues qui lui permet d’être homologuée. Cette homologation offre la possibilité de répondre à des appels d’offre publique.

Elle a conclu son intervention en énonçant les principaux avantages d’une certification. Pour le client c’est la confiance et la simplification de ses appels d’offre. Pour l’entreprise certifiée c’est en premier lieu un avantage concurrentiel, mais aussi le fait de pouvoir démontrer que cette certification peut servir de preuve même si elle n’a pas valeur probante. Enfin, la certification répond aux exigences de la plus part des obligations règlementaires comme Sox, Bâle II, LCEN, CNIL… Bien entendu pour être réellement efficace il est primordial de la faire évoluer avec l’état de l’art.