Dématérialisation et conservation : PSDC – Luxembourg

PSDC – Le Luxembourg crée un nouveau statut autour de la dématérialisation et de la conservation

Le Grand Duché de Luxembourg a publié le 12 juin 2012 la version 1.1 de son document intitulé : « Règle technique d’exigences et de mesures pour l’accréditation des Prestataires de Services de Dématérialisation et/ou de Conservation ». Ce document  expose le futur système d’accréditation de l’ILNAS prochainement disponible pour toutes les organisations privées ou publiques qui souhaiteront faire certifier leur système de dématérialisation et/ou de conservation des documents numériques et archives numériques. Elles obtiendront alors le statut de PSDC. Les membres du gouvernement du Luxembourg ont adopté le 18 janvier 2013 le projet de loi relatif à l’archivage électronique et modifiant la loi modifiée du 5 avril 1993 relative au secteur financier ainsi que le projet de règlement grand-ducal relatif à la dématérialisation et à la conservation de documents. 

PSDC – de quoi s’agit-il?

Le document publié le 12 juin 2012 par l’ Institut luxembourgeois de la normalisation, de l’accréditation, de la sécurité et qualité des produits et services (ILNAS) fixe les règles techniques d’exigences et de mesures pour l’accréditation des Prestataires de Services de Dématérialisation et/ou de Conservation (PSDC). Ce nouveau statut au Grand Duché de Luxembourg est accessible pour toute organisation publique ou privée, indépendamment de son type, de sa taille , de ses processus ou de ses activités, que se soit pour ses besoins internes ou dans le cadre de services proposés à ses clients.

Vous êtes donc concernés si votre société est au Luxembourg et si vous souhaitez dématérialiser par la numérisation vos documents papiers, et/ou si vous souhaitez mettre en place un Système de conservation de documents analogiques et numériques. L’accréditation se traduit par l’obtention d’un statut de Prestataire de Services de Dématérialisation et/ou de Conservation (PSDC).

Si votre société est en France, vous n’êtes pas concernés, mais il existe également une certification pour la dématérialisation et la conservation de vos documents. AFNOR Certification propose un processus de certification de votre SAE afin d’obtenir la Marque NF 461 SAE.

Une exigence au Luxembourg : la certification ISO 27001-2005

Le principe retenu par le Luxembourg consiste à orienter les exigences pour obtenir le statut de PSDC autour de la norme ISO 27001. La règle technique d’exigence et de mesures pour l’accréditation passe par une intégration  des processus de dématérialisation et/ou de conservation dans la définition du domaine d’application du Système de Management de la Sécurité de l’information (SMSI).  L’accréditation correspond donc à une certification ISO 27001 étendue. Le SMSI doit respecter l’ensemble des exigences des clauses 4, 5, 6, 7 et 8 de la norme ISO 27001 :2005. La clause 6 du document de l’ILNAS complète les exigences de l’ISO 27001 :2005.

Comparaison avec la Marque NF 461

La marque NF 461 repose sur la norme ISO 14641-1 et NF Z42-013 et non pas exclusivement sur la norme ISO 27001:2005. Bien que l’esprit soit assez similaire, le référentiel de certification de la marque NF 461 n’impose pas une certification ISO 27001:2005. L’ISO 27001 est exclusivement orientée sur le  Système de Management de la Sécurité de l’information (SMSI). Le principe d’un PDCA cyclique ( Plan, Do, Check, Act) dans l’ISO 2700-1,  que l’on retrouve également dans la famille des normes ISO 30300 est également le principe de base de la certification NF 461. La politique d’archivage décrite dans le référentiel de la marque NF 461, le Dossier de Description Technique du Système (DDTS), l’évaluation des activités liées au SAE par l’auto évaluation, la gestion des indicateurs de performance, le suivi et l’exploitation des résultats permettent une   mise en oeuvre de la roue de Deming et  l’amélioration des activités liées au SAE.

la marque NF 461 prend en compte les aspects liés à la sécurité du Système d’Archivage Electronique (SAE) au sein du SI. Elle fait référence, via le paragraphe 5.4 de la norme NF Z42-013:2009,  aux  normes de la famille NF ISO/CEI 27001. Elle conseille de se  reporter  aux préconisations définies par  ces normes. Cependant, elle n’impose pas d’obtenir une certification ISO 27001.  Dans son référentiel, la marque NF 461 reconnait l’utilité d’une telle certification. Une organisation ayant obtenu un statut de PSDC au Luxembourg  pourrait alors prétendre à une phase d’audit plus courte en vu de l’obtention de  la marque NF461 du fait de la reconnaissance de sa certification ISO 27001.

La différence majeure entre la France et le Luxembourg réside sur le choix de référentiel ISO lié à la certification de procédures de dématérialisation et de conservation. La France a préféré partir de la norme ISO 14641-1 particulièrement dédiée à l’archivage des documents électroniques et traitant de la sécurité, de l’intégrité et de la  pérennité autour du documents. Le Luxembourg a préféré partir de la norme ISO 27001 orientée exclusivement autour de la sécurité de l’information et de l’étendre aux processus de dématérialisation et de conservation.

Bien que différents sur la forme, les deux référentiels sont assez proches (cela semble logique non !!!). Ils convergent sur de nombreux points. Cependant, les exigences de sécurité du référentiel Luxembourgeois intègrent l’utilisation de mécanismes cryptographiques de sécurité d’une manière obligatoire. Les règles de manipulations des supports et de mise au rebut reposent sur la norme ISO 27002:2005 avec quelques compléments.

Les exigences du référentiel de la marque NF 461 semblent plus simples et tout aussi efficaces la différence  d’approche Cette  vient du concept de niveaux d’exigences développées dans la norme ISO 14641-1 qui permet à chacun de mettre en oeuvre le niveau d’exigence et de sécurité adapté à ses contraintes et à ses risques.

Evolution de la loi au Luxembourg

En parallèle du projet d’accréditation des PSDC, le Grand Duché de Luxembourg a travaillé sur une révision de ses textes de loi. Comme dans d’autres pays d’Europe, la loi permet au Luxembourg l’eArchivage depuis plus de 20 ans. Cependant, elle repose sur des principes difficiles à appliquer. le grand Duché de Luxembourg a entamé une réforme permettant d’assurer la reconnaissance des archives électroniques et une présomption d’équivalence à l’original d’un document analogique numérisé. L’enjeu est important pour le Grand Duché du Luxembourg qui souhaite en tirer un avantage compétitif important.

La version 1.1 du 12/06/2012 de la règle technique d’exigences pour l’accréditation des PSDC fait déjà référence à la futur loi dès la première phrase  son introduction : « La loi relative à la dématérialisation et à la conservation du xx/xx/xx modifiant la loi modifiée du 14 août 2000 relative au commerce électronique dispose en son article 34-5 qu’une organisation peut, en regard de l’exécution de ses processus de dématérialisation et de conservation, demander une accréditation ad hoc auprès de l’Institut Luxembourgeois de la Normalisation, de l’Accréditation, de la Sécurité et Qualité des Produits et Services (ci-après « ILNAS »), selon les exigences et les mesures définies dans la présente règle technique. »

Adoption du projet de loi du 18 janvier 2013

Les membres du gouvernement du Luxembourg ont adopté le 18 janvier 2013 le projet de loi relatif à l’archivage électronique et modifiant la loi modifiée du 5 avril 1993 relative au secteur financier ainsi que le projet de règlement grand-ducal relatif à la dématérialisation et à la conservation de documents.

Sur le périmètre financier, le projet de loi adopté concerne les conditions de dématérialisation d’originaux au sens de la loi et les conditions de conservation de copies et d’originaux numériques. Il précise les conditions dans lesquelles les copies peuvent bénéficier d’une présomption de conformité à l’original ; et fixe les règles applicables à l’activité de prestataire de services de dématérialisation ou de conservation.

En ce qui concerne le projet de règlement grand-ducal, il a pour but de remplacer le règlement grand-ducal du 22 décembre 1986 pris en exécution des articles 1348 du Code civil et 11 du Code de commerce. En effet, ce texte ancien n’était pas adapté aux besoins spécifiques de l’archivage électronique pour des durées de conservation et d’archivage de plus de 25 ans. Le nouveau texte fixe le détail des conditions auxquelles doivent satisfaire les copies, les règles à observer lors des processus de dématérialisation et de conservation des documents. Enfin il reprend de l’ancien texte les règles qui doivent être respectées lors de la copie par micrographie.

Sources :  

Que fait la France sur le périmètre législatif

Sur ce point la France, comme les autres pays européen a du retard… L’APROGED, toujours à la pointe de l’économie numérique a monté un groupe de travail « Elimdoc » pour avancer sur le sujet. Espérons que ce groupe puisse rapidement proposer un texte aux parlementaires Français.