A l’heure où AFNOR Certification commence à délivrer une certification NF Logiciel et où la CNIL publie une recommandation sur le sujet, les coffres-forts numériques ou électroniques font l’actualité. Quels sont les différents usages de ces dispositifs techniques ? Sont-ils uniquement dédiés aux problématiques d’archivage électronique probant ?

***

La diversité de mise en œuvre du coffre-fort numérique peut être facilement appréhendée si l’on insiste sur le fait que l’archivage à vocation probatoire des documents électroniques n’est pas son seul domaine d’usage. Certes, le fait que les premières offres de coffres-forts numériques soient apparues au début des années 2000, dans le contexte de l’adoption de la Loi du 13 mars 2000, n’est en rien le fait du hasard. Les solutions ont été conçues pour répondre au nouveau besoin de conservation des originaux électroniques ayant une valeur juridiques. Par extension, elles ont eu également vocation à archiver des documents numérisés, issus d’originaux papiers, pouvant être considérés comme des copies fidèles et durables.

Doit-on en déduire que le coffre-fort électronique est uniquement une solution destinée à des professionnels pour procéder à la conservation de document électronique ? La réponse à cette question est triplement négative.

Le coffre-fort numérique est également un service pouvant être mis à la disposition du grand public. L’adoption par la CNIL, le 19 septembre 2013, d’une recommandation relative aux services dits de « coffre-fort numérique ou électronique » destinés aux particuliers témoigne de cette réalité. Mis en œuvre par des opérateurs postaux, des banques, des compagnies d’assurances ou des mutuelles, les services de coffres-forts numériques pour le grand public utilisent les mêmes technologies cryptographiques (empreintes d’intégrité, signature électroniques, contremarque de temps) que les coffres-forts professionnels. Mais les usages sont plus naturellement orientés vers la préservation et la diffusion du patrimoine numérique personnel que vers des considérations d’archivage règlementaire.

Comme le montre la recommandation de la CNIL, des exigences strictes en matière de confidentialité doivent alors venir compléter celles déjà présentes dans tous les coffres-forts électroniques pour ce qui a trait à l’intégrité et à la traçabilité. A tire d’illustration, la CNIL demande à ce que le fournisseur du service ne soit pas techniquement en mesure d’accéder au contenu du coffre-fort d’un utilisateur. Une demande qui n’est pas sans rappeler une des exigences de la norme AFNOR NF Z42-020 de juillet 2012 selon laquelle les profils administrateurs des composants coffre-fort numérique ne doivent pas, à la différence des utilisateurs, avoir accès aux objets numériques conservés. A l’évidence, les travaux de normalisation et la doctrine de la CNIL présente de fortes complémentarités.

Le domaine d’usage du bulletin de paie électronique, consacré par la loi du 12 mai 2009, met en évidence le caractère partiellement artificiel de la stricte distinction entre les coffres-forts professionnels d’archivage et les services de coffres-forts électroniques destinés au grand public. En l’espèce, avec ce type de projet de dématérialisation, la DRH de l’entreprise disposera dans son CCFN d’un double électronique de tous les bulletins de paie, avec une durée deconservation conforme aux obligations légales (5 ans), alors que les salariés volontaires accèderont à leurs bulletins de salaire électroniques dans leurs coffres-forts électroniques personnels.

Si la norme AFNOR NF Z42-020 relative au CCFN a pris le soin de parler d’objet numériques et non de document, ce n’est pas le fait du hasard. En effet, les coffres-forts numériques peuvent voir pour vocation de conserver d’autres contenus numériques que des documents, en l’occurrence des traces ou des logs. L’Autorité de Régulation des Jeux En Ligne (ARJEL) définit ainsi un coffre-fort électronique comme « élément […], dont la fonction est de chiffrer, signer, horodater, et archiver les données tracées […], afin d’en garantir la confidentialité, l’authenticité et l’exhaustivité dans le temps ». Les opérateurs de jeux et paris en ligne sur internet ont l’obligation d’archiver tous les évènements de jeux dans un coffre-fort certifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les traces de jeux sont déposées par l’opérateur de jeux et chiffrées de façon à être uniquement consultables par l’ARJEL. Dans un monde numérique et où les questions de traçabilité deviennent de plus en plus critiques, ce type d’usage du coffre-fort électronique est naturellement appelé à se développer.

Enfin, si la métaphore du « coffre-fort » induit naturellement à envisager des usages de conservation sécurisé, les technologies mises en œuvre dans cet univers sont aussi utilisées pour déployer des solutions de communication électroniques certifiées, correspondant à des recommandés numériques. L’enjeu principal n’est plus alors l’archivage mais bien la transmission tracée au moyen d’accusés de réception ou de lecture qui font eux-mêmes l’objet d’un archivage sécurisé. Des professions réglementées telles que les Greffiers des Tribunaux de Commerce ou les Huissiers de Justice sont en pointe pour ce type d’usage où le coffre-fort électronique doit plutôt être considéré comme une boite aux lettres électronique sécurisée.

Alain Borghesi