Certifications et labels de l'archivage électronique

Article mis en ligne le 23 juillet 2013

Certification NF 461 Système d’archivage électronique, certification NF Logiciel coffre-fort numérique, Label Coffre-fort électronique, Label Tiers-archiveur, Certificat de sécurité de premier niveau pour les coffres-forts, agrément pour la conservation d’archives publiques courantes et intermédiaires, certification ISO 27001 management de la sécurité de l’information, … : en matière de certifications et labels relatifs à l’archivage électronique, la profusion semble de mise. Est-ce bien raisonnable ? Comment s’y retrouver ?

Cet article s’inspire largement du contenu d’une table ronde qui s’est déroulée dans le cadre du congrès FedISA le 17 mai 2013 à Paris. Animée par Jean-Louis Pascon (FedISA), cette table ronde a vu intervenir Armelle Trotin (LSTI), Hervé Streiff (Locarchives), Michel Jacobson (SIAF Service interministériel des archives de France) et l’auteur de ces lignes.

***

Foisonnant et complexe le paysage des labels et certifications applicables à l’archivage électronique et à la dématérialisation pourrait susciter la défiance ce qui serait tout de même un comble pour des technologies et services de confiance. Moyennant un effort de clarification, le brouillard peut se dissiper. Visite guidée.

Pour se repérer dans le paysage des labels et certifications de l’archivage électronique il faut en premier lieu mettre en évidence ce qui est commun à tous les dispositifs et les trois critères qui permettent ensuite de les classer dans leurs catégories respectives.

Un diplôme ou un concours ?

Agréments, certifications et labels reposent tous sur une organisation similaire. On y retrouve à chaque fois un texte de référence, ou référentiel, qui définit des exigences ainsi que des auditeurs indépendants qui vont vérifier la conformité d’une organisation, d’un service ou d’un produit à ces exigences. Sur la base du rapport d’audit, une autorité va délivrer une marque distinctive que l’entreprise pourra alors afficher publiquement (en vertu de ces points communs et afin de faciliter la lecture, on utilisera pour la suite de cet article uniquement le terme de certification pour évoquer les certifications et labels).

Pour l’entreprise à la recherche d’un prestataire, la marque distinctive correspond à un gain de temps car elle n’a pas à vérifier elle-même la conformité aux exigences ni même à déterminer la nature de ces exigences. C’est aussi une forme de garantie car l’entreprise certifiée ne se contente pas de prétendre à la conformité sur la base d’une auto-évaluation. A l’opposé, pour l’entreprise candidate, la recherche de certification s’inscrit dans une démarche qualité qui la fait invariablement progresser.

Dans le domaine des technologies et services de confiance, le sujet est d’importance car les normes jouent souvent un rôle essentiel et la certification permet alors de garantir une conformité avec le contenu de ces normes. Ce n’est donc pas un hasard si une association comme la Fédération Nationale des Tiers de Confiance (FNTC) dispose depuis cette année d’un collège spécifique aux « prestataires et éditeurs de confiance labellisés ou certifiés ».

Le dispositif est proche de celui en vigueur pour les examens en milieu scolaire avec le programme à  maîtriser (liste des exigences), le jury (auditeurs indépendants) et le diplôme (marque distinctive). On soulignera également que ces dispositifs ont le plus souvent un caractère facultatif. La certification CSPN délivrée par l’Agence nationale de sécurité des systèmes d’information (ANSSI), obligatoire pour les coffres-forts que les opérateurs de jeux et paris en ligne doivent utiliser, constitue une exception.

Au-delà de ces similitudes, les différents dispositifs ont également des différences. Le premier critère permet de distinguer d’une part les agréments et d’autre part les certifications. Les agréments correspondent à une autorisation d’exercer une activité alors que les certifications se limitent à être des marques de confiance. Pour poursuivre la comparaison avec l’univers scolaire, l’agrément serait l’équivalent d’un concours qui donne des droits alors que les certifications correspondraient à un diplôme qui témoigne d’un niveau. L’agrément pour la conservation d’archives publiques courantes et intermédiaires (agrément SIAF) tout comme le dispositif d’agrément des hébergeurs de données de santé appartiennent à cette catégorie des autorisations d’exercer.

Management, services et produits

Une fois cette première distinction opérée, on peut ensuite analyser ce que recouvrent les certifications. Peuvent être en effet certifiés un produit, un service ou encore une organisation. La certification ISO 27001 management de la sécurité de l’information va se situer à un niveau managérial. La certification NF 461 d’AFNOR Certification ou le label Tiers-archiveur de la Fédération Nationale des Tiers de Confiance (FNTC) concernent la dimension services. Enfin le label coffre-fort électronique de la FNTC et la certification NF Logiciel d’AFNOR Certification sont applicables aux produits.

Une dernière distinction peut enfin être effectuée entre les autorités qui décernent les certifications selon qu’il s’agit d’organismes publics ou de représentants d’une profession. Ce critère permet de distinguer AFNOR certification pour le premier type et la Fédération Nationale des Tiers de Confiance pour le second.

Cette clarification étant opérée, la question de la profusion des certifications n’en reste pas moins posée. L’unicité ne serait-elle pas souhaitable ? La multiplicité ne conduit-elle pas à une concurrence nuisible entre les dispositifs avec le risque que les « mauvaises » certifications prennent la place des « bonnes » ?

Précurseurs et complémentaires

L’unicité des certifications n’est pas envisageable car les différents dispositifs ne recouvrent pas les mêmes choses. Pour illustrer la différence qu’il peut exister entre un produit (coffre-fort numérique) et un service (tiers-archivage), on peut quitter l’univers scolaire pour rejoindre celui de la cuisine. Il est tout à fait possible d’avoir d’une part des produits alimentaires et d’autre part des restaurants labellisés. Les deux types de labels ne seront pas équivalents car les démarches qui consistent à acheter un produit alimentaire ou à choisir un restaurant sont foncièrement différentes même si elles ne sont pas totalement sans rapport. On perçoit également facilement avec cette illustration qu’il est possible d’accéder à des produits alimentaires labellisés sans être obligé d’aller au restaurant ou encore qu’un restaurant peut parfaitement être labellisé sans être contraint d’utiliser uniquement des produits labélisés.

Il y a donc bien une véritable complémentarité entres les dispositifs concernant les niveaux management, services et produits. Celle-ci se recouvre naturellement dans les textes qui régissent les différentes certifications. A titre d’exemple, les règles de certification de services NF 461 relatives au Système d’archivage électronique (SAE) prévoient que les audits puissent être allégés si le demandeur de la certification met en œuvre un produit bénéficiant de la certification produit NF Logiciel.

En ce qui concerne la coexistence de certification AFNOR et de labels FNTC semblant couvrir les mêmes domaines, il faut souligner que les labels professionnels comme ceux de la FNTC ont bien souvent été les précurseurs de travaux de normalisation qui ont eux-mêmes abouti à des certifications AFNOR. On constate ainsi une progression dans le temps entre la délivrance du premier label coffre-fort électronique de la FNTC en 2009, la publication de la norme AFNOR NF Z42-020 relative au coffre-fort numérique en juillet 2012 et enfin les règles de certification NF Logiciel coffre-fort numérique de juillet 2013. Par ailleurs, les labels FNTC peuvent aborder des thématiques qui ne sont pas encore couvertes par les certifications ANFOR comme c’est par exemple le cas avec l’interopérabilité qui est au cœur du label Tiers-Archiveur de la FNTC.

En attendant, une éventuelle simplification du paysage des certifications de l’archivage électronique, il faut prendre la pluralité actuelle comme une richesse qui permet de trouver des réponses adaptées à chaque type de question. L’ensemble est encore perçu, non sans raison comme complexe, mais il importe de souligner que les différentes briques ont été conçues pour être en cohérence avec les autres. Il n’y a ni contradiction entre les exigences ni concurrence dévastatrice entre les dispositifs qui inciterait à prétendre que de « bonnes » certifications coexistent avec des « mauvaises ».

Au cas par cas, il sera toujours possible de regarder qui possède la certification la plus appropriée ou qui dispose du plus grand nombre de labels pour l’ensemble de ses activités. Mais en première analyse, il sera toujours pertinent de considérer que les sociétés qui bénéficient d’au moins une certification sont à considérer avec plus d’attention que celles qui n’en ont aucune.

Arnaud Belleil

Partager cet article

Restez informé !

Abonnez-vous à notre newsletter

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

A lire aussi

Avec la loi du 7 octobre 2016 pour une République numérique et
En savoir plus
Cecurity.com a sponsorisé la journée de la facture électronique organisée par le
En savoir plus
Téléphone Email