Normes, standards, certifications, labels français ou internationaux… de nombreux textes encadrent l’archivage électronique. Cet environnement réglementaire complexe et évolutif est néanmoins clé pour bien choisir votre tiers-archiveur et maîtriser les risques dans vos projets de mise en place de SAE (Système d’Archivage Electronique). Explications.
La certification NF 461 : garantir l’intégrité, la pérennité, la traçabilité, la lisibilité et la sécurité des documents conservés.
La certification NF 461 – Système d’archivage électronique, est délivrée par l’Afnor Certification. Elle atteste de la conformité à la norme NF Z42-013, si le projet est exclusivement français, et à son équivalent international ISO 14641-1. Ces deux normes sont référentes en matière d’archivage électronique. Elles définissent l’ensemble des mesures techniques et organisationnelles nécessaires à la conception et l’exploitation d’un Système d’Archivage Electronique (SAE) et au service associé. La marque NF 461 apporte la garantie que votre tiers-archiveur est en conformité avec les exigences de la réglementation française et internationale en matière d’intégrité des documents conservés, de gestion du cycle de vie des archives, au respect des durées de conservation et à la traçabilité de toutes les actions associées (versement, stockage, consultation, modification, restitution et destruction d’un document), tout en respectant leur valeur probante.
Agrément HDS : conserver en toute sécurité des données de santé à caractère personnel sur support numérique
Les données personnelles de santé à caractère personnel sont des données sensibles. Leur accès est encadré par la loi pour protéger les droits des personnes. L’hébergement de ces données doit être réalisé dans des conditions de sécurité adaptées à leur criticité et seuls les établissements ou hébergeurs externes agréés HDS peuvent héberger ces données. L’agrément Hébergeur de Données de Santé (HDS) est délivré par le Ministère de la santé et des solidarités pour une durée de trois ans. L’hébergeur externe est agréé si les garanties d’ordre éthique, déontologique, technique, financière et économique sont atteintes. S’agissant de l’archivage électronique, cet agrément concerne la conservation de document contenant les données de santé à caractère personnel.
En effet, suite à l’article L1111-8 du Code de la Santé Publique, modifié par la loi n° 2016-41 du 26 janvier 2016 de modernisation de notre système de santé, un établissement (hôpital, laboratoire pharmaceutique, laboratoire d’analyse etc.) ou un professionnel de santé est dans l’obligation de conserver les données de santé à caractère personnel auprès d’un hébergeur agrée HDS.
L’agrément SIAF : conserver les archives courantes et intermédiaires des collectivités publiques
Externaliser la gestion des archives publiques est possible depuis le 15 juillet 2008. Depuis cette date, s’il n’est pas réalisé en interne par la collectivité publique, l’archivage peut donc être confié à un tiers-archiveur agréé par l’Etat qui sera responsable de l’intégrité, de l’authentification, de la pérennité et de la sécurité des documents. Cette procédure est encadrée par l’agrément du Service interministériel des Archives de France (SIAF), lequel contrôle l’ensemble des garanties que doivent fournir les prestataires, notamment pour la conservation des archives numériques de la sphère publique. L’agrément, délivré pour une durée de 3 ans, est publié par arrêté au Journal Officiel.
La certification ISO 27001 définit les exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI)
L’ISO 27000 est une famille de normes garantissant la sécurité des systèmes d’information. Elle n’est pas propre aux prestataires d’archivage électronique mais fait foi en matière de sécurité des systèmes d’information. L’objectif est de protéger les informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique. ISO 27001, norme internationale de référence, certifie la prise en compte de la sécurité des systèmes d’information et garantit l’engagement de la société certifiée dans un processus d’amélioration continue de son SMSI. Elle atteste enfin des compétences et de l’expertise de ses équipes dans la protection et la gestion des risques liés au traitement des informations sensibles.
Conformité au RGPD
Lorsque l’archivage électronique est confié à un tiers-archiveur, le responsable du traitement doit s’assurer que son prestataire présente des garanties en matière de sécurité et de confidentialité des données. La certification ISO 27001 sur la sécurité des systèmes informatiques et la certification NF 461 sur la conception et l’exploitation du SAE sont des réponses fiables à la conformité au Règlement Général sur la Protection des Données, dit RGPD.
Qualification eIDAS
Le règlement « eIDAS » du 23 juillet 2014 renforce la confiance dans les transactions électroniques à l’échelle européenne par la mise en place de services de confiance opérés par des prestataires dûment qualifiés et placés sur une « trusted-list » officielle européenne. L’organisme reconnu Prestataire de Service de Confiance Qualifié (PSCQ) apporte ainsi le plus haut niveau de confiance et de pérennité disposant d’un effet juridique au niveau européen pour les documents signés électroniquement et archivés. Cette qualification de PSCQ eIDAS permet ainsi à toute entreprise utilisant son service d’archivage électronique à valeur probatoire, de disposer de documents recevables juridiquement en cas de contentieux, de se protéger d’éventuelles cyber-attaques et d’éviter le vol de données.