Le coffre-fort numérique

Le coffre-fort numérique

  • garantir l'intégrité des données ou documents électroniques durant tout leur cycle de vie au sein du service ;
  • garantir la traçabilité des opérations effectuées sur le service (maintien en condition opérationnelle et de sécurité) ou sur les données et documents électroniques eux-mêmes ;
  • garantir la confidentialité des données en autorisant l'accès au coffre-fort numérique aux seuls utilisateurs ou tiers explicitement autorisés par l'utilisateur principal (le cas échéant le prestataire de service de coffre-fort numérique) ;
  • garantir la portabilité des données notamment par leur restitution dans des standards ouverts aisément réutilisables et exploitables par un système d'information.
? Définition. ? Le coffre-fort numérique est un service proposé par de nombreux prestataires aujourd'hui. Il s'est très vite développé avec l'essor du numérique et plus spécialement depuis les années 2010. Mais à l'origine, faute de cadre légal, les pratiques trompeuses voire mensongères se sont propagées. La Commission des clauses abusives a dû proposer trois recommandations dès 2014 afin d'éradiquer certaines clauses La recommandationo 14-02 de la Commission des clauses abusives, Contrats de fourniture de services de réseaux sociaux, recommande que soient éliminées des contrats proposés par les fournisseurs de service de réseautage social les clauses ayant pour objet ou pour effet : 19) de prévoir la conservation des données à caractère personnel du consommateur ou du non-professionnel sans aucune limitation de durée ou pour une durée qui excède celle nécessaire aux finalités du traitement ; 30) de conférer au professionnel, qui s'est engagé à fournir une prestation de stockage et de mise à disposition de tous contenus, le pouvoir discrétionnaire d'accepter ou de supprimer un contenu généré par le consommateur, hors modération contractuellement prévue ; 31) de reconnaître au professionnel, postérieurement à la résiliation du contrat, le droit de conserver les contenus mis en ligne par le consommateur ou le non-professionnel hors les hypothèses de cession licite ou de motif légitime, au-delà de la durée nécessaire aux opérations techniques de suppression du contenu. . En pratique, les niveaux de sécurité vendus par les prestataires de coffre-fort numérique sont loin d'être homogènes. Il en existe trois. Le niveau #1 est un espace de conservation simple sans garantie du prestataire et sans responsabilité particulière en cas de perte totale ou partielle des données. Le niveau #2 est un système d'archivage qui assure un certain niveau de sécurité avec le plus souvent une redondance, un accès contrôlé par des droits, des URL sécurisées, etc. L'intégrité des documents est favorisée, mais pas forcément garantie par le prestataire. Le niveau #3 est un système d'archivage mobilisant plusieurs mécanismes de sécurité réalisés par des tiers pour apporter une valeur juridique aux documents stockés : horodatage irréversible, empreinte unique du document, signature numérique, etc. Ce n'est qu'assez récemment, par une loi dite « Lemaire » du 7 octobre 2016, que le législateur a défini les exigences fonctionnelles du coffre-fort numérique L. no 2016-1321 pour une République numérique, 7 oct. 2016 (www.legifrance.gouv.fr/affichTexte.do;jsessionid=98B94224F1FC2B4CB2C2973D4BF987DD.tplgfr34s_2?cidTexte=JORFTEXT000033202746&dateTexte=29990101">Lien). . Il doit ainsi :
Avec l'adoption de cette loi, l'appellation « coffre-fort numérique » est désormais protégée E. A. Caprioli, Coffre-fort numérique dans la loi pour une République numérique : Comm. com. électr. mars 2017, no 3, comm. 28. À titre indicatif, la grande majorité des espaces de stockage numérique ne pourront pas être considérés comme des coffres forts numériques. . De plus, le fournisseur de service de coffre-fort numérique se prévalant d'une offre de ce type pourra être sanctionné s'il ne respecte pas les obligations pesant sur lui C. consom., art. L. 122-22. . En 2018, deux décrets relatifs aux modalités de mise en œuvre du service de coffre-fort numérique viennent préciser les déclinaisons techniques minimales de ces exigences fonctionnelles D. no 2018-418, 30 mai 2018, relatif aux modalités de mise en œuvre du service de coffre-fort numérique (www.legifrance.gouv.fr/affichTexte.do;jsessionid=98B94224F1FC2B4CB2C2973D4BF987DD.tplgfr34s_2?cidTexte=LEGITEXT000036965293&dateTexte=20180531&categorieLien=cid#LEGITEXT000036965293">Lien) ; D. no 2018-853, 5 oct. 2018, relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique (www.legifrance.gouv.fr/affichTexte.do;jsessionid=98B94224F1FC2B4CB2C2973D4BF987DD.tplgfr34s_2?cidTexte=LEGITEXT000037471516&dateTexte=20181007&categorieLien=cid#LEGITEXT000037471516">Lien). . La loi prévoit également un mécanisme de certification par l'État permettant d'accroître la fiabilité du service et de renforcer la confiance des utilisateurs vis-à-vis de celui-ci. Cette certification est établie selon un cahier des charges proposé par l'ANSSI après avis de la Cnil. Le cadre juridique étant bien défini, tout semble vouer cet outil à un bel avenir.
? Avantages. ? Le coffre-fort numérique offre à ses usagers une meilleure sécurité juridique que la blockchain en tant que registre de stockage, pour les raisons suivantes :
  • sur le plan juridique, le coffre-fort numérique est soumis depuis 2016 à une réglementation stricte imposant des exigences fonctionnelles garantissant une protection des usagers. À l'inverse, la blockchain n'a pour seule réglementation que celle que les mineurs auront bien voulu lui donner ;
  • le coffre-fort numérique permet la conservation d'une image de la pièce déposée, alors que la blockchain ne conserve qu'une empreinte du même document qui doit donc être conservé par ailleurs. La technologie blockchain ne permet pas de reconstituer le document original à partir de son empreinte ;
  • le fonctionnement d'un coffre-fort numérique dépend d'un prestataire disposant d'un seul site de stockage numérique quand la blockchain publique ou privée nécessite plusieurs sites multipliant les risques de fraude, malversation…
? Limites. ? Il existe pourtant des freins à un développement garantissant une parfaite sécurité juridique des contractants. Les limites du coffre-fort numérique sont aujourd'hui bien identifiées.
  • La certification précitée n'est pas obligatoire à ce jour. Dès lors, faute de contrôle, il est à craindre que les offres commerciales attractives, mais trompeuses sur le plan de la sécurité des données, puissent continuer de se propager malgré des sanctions dissuasives. Le contractant n'a ni les compétences ni les connaissances lui permettant d'apprécier la sécurité juridique offerte par chaque prestataire.
  • Seuls des documents non signés comme les factures, les bulletins de paie, les relevés de compte bancaire, les devis et les différentes attestations… peuvent être archivés sans précaution. Ils ne constituent que des commencements de preuve par écrit n'ayant ni la valeur d'un original ni même celle de la copie d'un original signé. En revanche pour les originaux papier signés ou de plus grande importance, type contrats, chèques…, l'archivage des documents numérisés dans un coffre-fort numérique n'exonère pas de la conservation de l'original papier. En effet, ce sont les signatures qui confèrent toute la valeur juridique aux documents. Or, pour que les copies numériques aient la même valeur que les documents originaux, il faut assurer une certaine qualité du procédé de numérisation, la date de sa création, la conservation pérenne du document numérisé, et surtout son intégrité. L'empreinte électronique justifiant de cette intégrité est présumée fiable par l'usage d'un horodatage qualifié, d'un cachet électronique qualifié ou d'une signature électronique qualifiée. Seuls des professionnels ou des administrations sont à même de respecter ces prérequis. En cas de litige, seul un juge sera habilité à juger de la force probatoire d'un document numérisé, qu'il soit signé ou non.
  • La question de la durabilité des supports utilisés pour la conservation reste posée. Si, pour les prestataires ayant obtenu la certification, la fiabilité pérenne du support s'impose, il en va différemment de tous les autres prestataires. Rien ne garantit aujourd'hui que les documents déposés existeront toujours dans cinq ou dix ans.
Malgré ces inconvénients, le coffre-fort numérique constitue le procédé de stockage de l'information le plus sécurisé à ce jour. Il garantit la confiance dans les documents et vise à maintenir leur recevabilité juridique durant toute la période de conservation.
Hervé Jacquemin
Professeur à l'Université de Namur (Belgique)
Directeur du Centre de recherche Information Droit et Société (CRIDS/NaDI)
Avocat au barreau de Bruxelles
Introduction
Avec la dématérialisation croissante des procédures et le recours au numérique dans divers secteurs, un grand nombre de documents sont désormais établis?et conservés?au format électronique. Parallèlement, il devient fréquent de numériser des documents produits à l'origine sur un support papier, pour les conserver (uniquement) de manière dématérialisée.
La conservation des documents sur des périodes plus ou moins longues, ainsi que la mise en place de politiques d'archivage efficaces, constituent des enjeux majeurs, tant dans le secteur privé qu'au sein des pouvoirs publics.
Des délais de conservation spécifiques peuvent en effet être imposés par la loi : en Belgique, par exemple, la durée minimale est de 7 ans en matière fiscale et comptable, et de 5 ans en matière sociale ou pour les livres et documents des sociétés. Sur le plan contractuel, il est en tout cas prudent de conserver les documents pendant le délai de prescription (extinctive) applicable, soit 10 ans. En cas de litige, c'est en effet la durée à l'issue de laquelle la demande pourra être déclarée irrecevable ou non-fondée (car prescrite). Parallèlement, on se gardera néanmoins de toute durée de conservation excessive, qui pourrait être contraire aux Règlement général sur la protection des données.
Eu égard à ces exigences (et au risque corrélatif en cas de non-respect), il faut s'assurer que le recours au numérique pour procéder à l'archivage des documents offre un niveau de sécurité juridique au moins équivalent à la conservation « papier » traditionnelle.
La conservation des documents à long terme, en toute confiance, est l'un des services que les notaires offrent aux citoyens, au bénéfice de ces derniers, et de l'intérêt général. Normalement, cette conservation reste toutefois limitée aux actes pour lesquels le notaire est intervenu en qualité d'officier public.
A l'instar d'autres professions, le rôle des notaires pourrait toutefois évoluer à l'avenir, de manière à intégrer de nouvelles fonctions et activités, rendues possibles par les progrès du numérique. En Belgique, la Fédération du notariat belge a ainsi lancé Izimi, un « coffre-fort numérique » mis à la disposition des citoyens gratuitement (jusque 1 Go), pour y stocker leurs documents et, le cas échéant, les partager avec leur notaire ou des tiers.
Dans cette contribution, on présente les règles applicables à l'archivage électronique, conformément au droit belge. On ne trouve pas de règles similaires en droit français, où le cadre normatif reste plus général. Même si, comme on le verra, des critiques peuvent être formulées, les mécanismes mis en place par le législateur belge pourraient servir d'inspiration à ses homologues européens.
Après avoir brièvement présenté le cadre normatif applicable à l'archivage électronique (principalement en droit belge), on définit la notion, avant de présenter les exigences auxquelles le service est soumis et les effets juridiques qui y sont attachés.
I. Cadre normatif applicable à l'archivage électronique
Les services de confiance sont encadrés, en droit de l'Union, par le règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE (ci-après, « règlement eIDAS » ou « règlement »).
Cet instrument n'établit pas de régime spécifique en matière d'archivage électronique.
Le législateur belge a toutefois décidé d'encadrer le service d'archivage électronique, en suivant la même logique régulatoire que celle applicable aux autres services de confiance. En 2016, des dispositions spécifiques ont ainsi été introduites dans le livre XII du Code de droit économique (C.D.E.).
Il est intéressant de noter que le cadre normatif pourrait évoluer à brève échéance, sous l'impulsion du législateur européen. Celui-ci est en effet conscient que des approches nationales, nécessairement fragmentées, ne servent pas les objectifs du marché intérieur. Aussi la Commission européenne a-t-elle a repris l'initiative, à l'occasion du processus de révision du règlement eIDAS. Le 3 juin 2021, une proposition de règlement, modifiant le règlement eIDAS, a été déposée (ci-après, la Proposition de règlement). Le cœur du nouvel instrument porte sur l'établissement d'un cadre normatif pour une identité numérique européenne. Parallèlement, et c'est ce qui retient notre attention en l'espèce, de nouveaux services de confiance sont introduits, en particulier un service d'archivage électronique et un service de registre électronique. Nous présenterons brièvement ces nouvelles règles, tout en gardant à l'esprit qu'à ce stade, il s'agit d'une proposition de règlement, dont l'adoption reste incertaine et le contenu probablement soumis à des amendements ultérieurs.
II. Notion d'archivage électronique
Le service d'archivage électronique (simple) est défini par le Code de droit économique comme un « service de confiance supplémentaire à ceux visés par l'article 3, paragraphe 16, du règlement 910/2014, qui consiste en la conservation de données électroniques ou la numérisation de documents papiers, et qui est fourni par un prestataire de services de confiance au sens de l'article 3, paragraphe 19, du règlement 910/2014 ou qui est exploité pour son propre compte par un organisme du secteur public ou une personne physique ou morale ».
Cette définition appelle deux commentaires.
D'abord, on constate que la notion d'archivage recouvre deux hypothèses. D'une part, conservation de données électroniques (générées, initialement au format électronique), d'autre part, la numérisation de documents papier et, même si ce n'est pas expressément indiqué, la conservation ultérieure des données électroniques (telles qu'elles résultent du processus de numérisation). Sur le plan de la formulation, l'alternative entre « la conservation de données électroniques ou la numérisation de documents papiers » nous paraît maladroite. La numérisation n'est en effet réalisée que dans la perspective d'une conservation ultérieure au format électronique. On regrette aussi que la définition ne liste pas les fonctions que le procédé doit préserver dans l'environnement numérique : ces fonctions résultent néanmoins de la présomption établie à l'article XII.25, § 5, alinéa 2, du C.D.E. qui exige que les données électroniques soient conservées de manière à les « préserver de toute modification, sous réserve des modifications relatives à leur support ou leur format électronique ». Ici aussi, on aurait espéré que l'accent soit davantage mis sur ce qui constitue le cœur du service d'archivage, à savoir une conservation qui s'inscrit dans la durée contractuellement convenue (généralement, à la lumière des exigences légales), et qui permet à l'utilisateur de récupérer les informations archivées sous un format lisible (c'est cette possibilité de consultation ultérieure des données archivées qui justifie que les données aient été conservées). La fonction consistant à empêcher les modifications est importante mais, d'après nous, plus accessoire.
Ensuite, et c'est une particularité du droit belge en la matière, le service peut non seulement être fourni par un tiers (un prestataire de service de confiance), à l'instar des autres services de confiance, mais également exploité par la partie utilisatrice pour son propre compte. Cette entité pourrait donc s'abstenir de faire appel à un tiers, en exploitant le service elle-même, en interne. Cette option doit être approuvée, d'autant que, comme on le verra, les conditions à remplir pour bénéficier du statut de qualifié?et, par conséquent, d'effets juridiques offrant un niveau élevé de sécurité juridique?sont moins sévères que pour les prestataires tiers.
A l'instar des services (et des prestataires de services) de confiance visés par le règlement eIDAS, une distinction est faite entre le service d'archivage électronique (simple) et le service d'archivage électronique qualifié. Ce dernier désigne le « service d'archivage électronique fourni par un prestataire de services de confiance qualifié au sens de l'article 3, paragraphe 20, du règlement 910/2014 se conformant aux dispositions du titre 2 et de l'annexe I du livre XII ou exploité pour son propre compte par un organisme du secteur public ou une personne physique ou morale et se conformant aux dispositions du même titre et de la même annexe, à l'exception des e), i), j) et k) »Comme on le verra, il est soumis à des conditions additionnelles de nature à garantir que les fonctions attendues du procédé sont atteintes avec un niveau renforcé de sécurité technique (et donc, juridique).
Dans la Proposition de règlement, l'archivage électronique est défini comme « a service ensuring the receipt, storage, deletion and transmission of electronic data or documents in order to guarantee their integrity, the accuracy of their origin and legal features throughout the conservation period ». L'accent est ainsi mis sur les fonctions à préserver tout au long de la période de conservation : l'intégrité des données ou du document, leur origine et leurs caractéristiques légales. A la différence de la définition belge, aucune référence n'est faite à la numérisation possible de documents papiers ou à la possibilité, pour une entité, d'exploiter le service pour son propre compte. Le « service d'archivage électronique qualifié » est aussi défini, par un renvoi aux conditions prescrites par le futur article 45g du règlement eIDAS. La lecture de cette disposition est malheureusement peu instructive puisqu'une délégation est donnée à la Commission pour établir des numéros de référence des standards en matière d'archivage. Tout au plus est-il indiqué que le prestataire de service de confiance qualifié devra mobiliser des procédures et des technologies de nature à étendre la confiance à l'égard du document électronique au-delà de sa période de validité technologique.
L'enregistrement de données électroniques dans un registre électronique (« recording of electronic data into an electronic ledger ») figure parmi les nouveaux services de confiance introduits par la Proposition de règlement. Le « registre électronique » désigne le « tamper proof electronic record of data, providing authenticity and integrity of the data it contains, accuracy of their date and time, and of their chronological ordering ». Il s'agit d'une définition fonctionnelle, qui met l'accent sur les finalités que le procédé utilisé permet de préserver : l'authenticité et l'intégrité des données enregistrées dans le registre, l'exactitude de la date et de l'heure d'enregistrement, et leur ordre chronologique. Ces caractéristiques font écho aux propriétés de la blockchain (même si celle-ci n'est pas expressément mentionnée). La technologie blockchain désigne en effet la base de données dont la fonction principale est de créer la confiance des utilisateurs sans autorité centrale, en garantissant l'intégrité, la conservation à long terme et, dans une certaine mesure, la transparence des informations stockées. Cet objectif est atteint par la mise en place d'un registre distribué, le recours à la cryptographie asymétrique, ainsi que le respect de règles de consensus et de processus de validation pouvant impliquer des tiers (de type proof of work, par exemple) - . L'encadrement normatif des blockchains est une question délicate, qui dépasse le cadre de la présente contribution. On observe toutefois que le service de confiance tel que défini dans la Proposition de règlement, semble principalement viser un service de conservation des données, qui remplit également une fonction d'horodatage. Aussi peut-on se demander en quoi il diffère du service d'archivage électronique défini par ailleurs (et comment articuler les deux concepts). En pratique, la technologie blockchain présente en effet des caractéristiques intéressantes pour servir de support à l'archivage électronique, même si certaines questions demeurent (en lien avec l'identification des utilisateurs, notamment).
III. A quelles conditions le service d'archivage électronique est-il soumis ?
Pour connaître les exigences auxquelles tout service d'archivage électronique doit répondre, une double distinction doit être opérée. La première se trouve déjà dans le règlement eIDAS, et concerne la summa divisio entre le prestataire (ou le service) qualifié et le prestataire (ou le service) non-qualifié. Elle est également consacrée dans la Proposition de règlement. La seconde est propre à l'archivage régi par le livre XII du Code de droit économique et a trait à la possible exploitation du service, par une entité donnée, pour son propre compte.
A. Service de confiance non-qualifié
Le service d'archivage électronique peut d'abord être fourni par un prestataire de services de confiance, qui peut être qualifié ou non qualifié.
La loi belge reprend la logique du règlement eIDAS en imposant des règles communes aux prestataires non-qualifiés et aux prestataires qualifiés, tout en soumettant ces derniers à des exigences additionnelles.
L'article XII.27 du C.D.E. énonce ainsi qu'« un prestataire de service d'archivage électronique satisfait aux dispositions du règlement 910/2014 applicables au prestataire de services de confiance non qualifié ». Conformément au règlement eIDAS, un prestataire de service de confiance non-qualifié doit respecter les exigences en matière de sécurité visées à l'article 19. Curieusement, aucune référence n'est faite aux conditions posées par les articles 5 et 15 du règlement. En faisant de l'archivage électronique et du registre électronique des services de confiance, la Proposition de règlement les soumet aux mêmes règles que les autres services de confiance non-qualifiés.
B. Service de confiance qualifié
Des conditions supplémentaires doivent être respectées si le service d'archivage électronique est qualifié.
A ce stade, on examine uniquement les règles établies en droit belge : la Proposition de règlement se borne en effet à donner délégation à la Commission pour établir les normes de référence en la matière (on peut d'ailleurs regretter que certains principes directeurs ne figurent pas en annexe du règlement eIDAS, comme pour les autres services de confiance).
a) Exigences applicables à tout prestataire ou à celui qui exploite le service pour son propre compte
Conformément à l'article XII.28, § 1er, du Code de droit économique, « un prestataire de service d'archivage électronique qualifié et un organisme du secteur public ou une personne physique ou morale qui exploite pour son propre compte un service d'archivage électronique qualifié satisfont aux dispositions du règlement 910/2014 applicables au prestataire de services de confiance qualifié et aux exigences visées par le présent titre et son annexe I ».
La livre XII du C.D.E. fait une distinction suivant que le service est fourni par un tiers, prestataire de service de confiance, ou s'il est exploité pour son propre compte.
Dans la première branche de l'alternative, le prestataire doit observer les exigences du règlement applicables aux prestataires de services de confiance qualifiés : autorisation préalable, audit tous les 24 mois et obligations diverses, relatives notamment à la compétence du personnel employé, aux mesures de sécurité à prendre, ainsi qu'à l'existence de ressources financières suffisantes et/ou d'une assurance de responsabilité appropriée. Il est également soumis à toutes les conditions de l'annexe I du livre XII, propres à l'archivage électronique en tant que tel.
Dans la seconde branche de l'alternative (service d'archivage électronique exploité pour son propre compte), l'entité est dispensée de respecter certaines exigences imposées à tout prestataire au moment de lancer son activité ou en cours d'exercice de celle-ci : pas d'audit tous les 24 mois ; pas d'autorisation préalable de la part de l'organe de contrôle avant de lancer l'activité (remplacée par une simple notification à l'organe de contrôle) ; pas d'information de l'organe de contrôle de toute modification dans la fourniture des services et de l'intention éventuelle de cesser les activités ; pas d'information à fournir à la personne désireuse d'utiliser le service ; pas de plan actualisé d'arrêt d'activité afin d'assurer la continuité du service ; pas de réponse à fournir à l'utilisateur suite à sa demande de restitution des données ; pas d'informations à fournir aux utilisateurs du service, avant la conclusion du contrat et en cours d'exercice de celui-ci ; pas d'obligation de faire preuve d'impartialité vis-à-vis des utilisateurs de son service et des tiers et pas d'obligation de disposer des moyens financiers suffisants.
Aux termes de l'article XII.28, § 3, du Code de droit économique, « sans préjudice de l'article 34, paragraphe 2, du règlement 910/2014, le Roi peut déterminer les numéros de référence des normes applicables au service d'archivage électronique qualifié. Le service d'archivage électronique qualifié qui respecte ces normes est présumé satisfaire à tout ou partie des exigences du présent titre et de son annexe I. Le cas échéant, le Roi spécifie les exigences présumées satisfaites ». Un arrêté royal 29 mars 2019 fixant les numéros de référence des normes applicables au service d'archivage électronique qualifié a ainsi été adopté. L'objectif de ce texte est d'offrir un niveau accru de sécurité juridique aux prestataires d'archivage électronique (ou aux personnes qui exploitent le service pour leur propre compte). Ils peuvent en effet se demander comment respecter les exigences précitées, telles qu'elles figurent notamment dans l'article 24, § 2, du règlement eIDAS, ou l'annexe I du livre XII du Code de droit économique. Une présomption est établie en leur faveur : s'ils respectent les normes techniques indiquées, on présume que l'exigence légale est satisfaite.
b) Exigences spécifiques applicables au prestataire qualifié en cas d'arrêt des activités ou de fin du contrat
Le règlement eIDAS reste malheureusement très vague sur la question?pourtant capitale en pratique?de l'arrêt, par un prestataire de services de confiance qualifié, de ses activités. On trouve uniquement l'obligation de sauvegarder les données et de disposer d'un plan actualisé d'arrêt des activités afin d'assurer la continuité des activités, ce qui doit être vérifié par l'organe de contrôle. Conscient des conséquences potentiellement préjudiciables d'un tel arrêt, le législateur belge s'attache à compléter le cadre normatif en précisant « les conditions et modalités de mise en œuvre du plan d'arrêt des activités ». L'intention est assurément louable, même si, d'après nous, le législateur belge aurait pu se montrer plus exigeant. On note aussi que ces règles ne s'appliquent qu'aux prestataires soumis à l'autorité de l'organe de contrôle, ce qui exclut les prestataires de services de confiance qualifiés soumis aux organes de contrôle des autres Etats membres et dont leurs services de confiance peuvent être utilisés par les consommateurs belges avec les mêmes effets juridiques, par application du principe de reconnaissance mutuelle.
Ainsi, l'article XII.36 du C.D.E. impose au prestataire de services de confiance qualifié qui offre un ou plusieurs services de confiance qualifiés, d'informer « l'Organe de contrôle dans un délai raisonnable de son intention de mettre fin à au moins une de ses activités ainsi que de toute action ou fait qui pourrait conduire à la cessation d'au moins une de ses activités. Dans ce cas, il doit tenter la reprise de celles-ci par un autre prestataire de services de confiance ». D'après nous, il eût été préférable que l'organe de contrôle soit informé sans délai et tenu au courant de l'état d'avancement des opérations de reprise éventuelle. Nous sommes également d'avis que les pouvoirs publics?ou une entité désignée par eux?devraient avoir l'obligation, à titre transitoire ou définitif, sauvegarder les données de manière à garantir le respect de l'obligation prévue à l'article 24, § 2, h), du règlement eIDAS (enregistrement et accessibilité des informations pertinentes concernant les données délivrées et reçues par le prestataire, notamment à de fins probatoires ou de continuité du service). Elle repose en effet sur le prestataire mais, s'il cesse ses activités, on peut craindre qu'elle ne soit pas suivie d'effets (spécialement ne cas de cessation totale de ses activités).
L'article XII.36, alinéas 2 et suivants, envisage ensuite l'hypothèse dans laquelle la reprise des activités n'est pas possible. Pour les activités consistant en la délivrance de certificats qualifiés de signature ou de cachet, le prestataire doit avertir leurs titulaires et révoquer les certificats dans les deux mois. S'agissant des services d'archivage, d'horodatage et de recommandé électronique, les utilisateurs doivent être informés sans délai de la date d'arrêt du service. Dans tous les cas, le prestataire doit également informer la personne concernée des mesures prises pour satisfaire à l'obligation prévue à l'article 24, § 2, h), du règlement eIDAS. S'agissant de l'archivage, le prestataire doit aussi leur offrir « la possibilité de transférer les données dans les trois mois et sans frais supplémentaires vers un autre prestataire de services de confiance qualifié ou de se faire restituer les données conformément à l'article XII.38 ». Pour les services de recommandé, il est requis que les envois effectués avant cet arrêt des activités soient transmis à leur destinataire.
Curieusement, une procédure différente est prévue lorsque l'arrêt des activités intervient pour des raisons indépendantes de la volonté du prestataire de services de confiance qualifié ou en cas de faillite. Dans cette hypothèse, il doit, d'une part, informer immédiatement l'organe de contrôle, d'autre part, « informe[r] les utilisateurs des mesures prises pour satisfaire à l'obligation visée à l'article 24, paragraphe 2, point h) du règlement 910/2014 et procède[r], le cas échéant, à la révocation des certificats qualifiés ». Le motif des « raisons indépendantes de la volonté du prestataire » nous parait très vague. A tout le moins, les conditions de la force majeure auraient pu être visées. On regrette aussi qu'aucune obligation, même de moyen, ne soit imposée au prestataire (voire au curateur, dans le cadre de la faillite), pour tenter la reprise des activités. De manière générale, une solution de « back up » offerte ou organisée par les pouvoirs publics n'aurait probablement pas été superflue, de sorte que les finalités probatoires et de continuité du service, visées à l'article 24, paragraphe 2, point h), du règlement, puissent effectivement être atteintes.
En cas de dissolution du contrat relatif au service d'archivage électronique, pour quelque motif que ce soit, l'article XII.38 du C.D.E. interdit au prestataire qualifié d'opposer à l'utilisateur un quelconque droit de rétention des données et lui impose de demander, par envoi recommandé, le sort qui doit être réservé aux données qui avaient été confiées. On aurait pu espérer une formulation plus positive du droit à la portabilité ou à la restitution des données. Quant à l'exigence de l'envoi recommandé, elle nous paraît exagérément lourde en ce qu'elle est requise de manière systématique. Il eût été plus raisonnable de permettre à l'entreprise de prendre contact avec l'utilisateur par le canal habituel de communication (une adresse email par exemple) et de passer au recommandé uniquement lorsque l'utilisateur n'y réserve pas de suite. S'agissant des données à caractère personnel, cette exigence devra être articulée avec le droit à la portabilité des données consacré à l'article 20 du Règlement général sur la protection des données. Suite à l'interpellation du prestataire, l'utilisateur peut opter pour la restitution des données ou leur transfert vers un autre prestataire. Il incombe alors au prestataire de restituer « les données et, le cas échéant, les informations visées à l'article 24, paragraphe 2, point h) du règlement 910/2014 à l'utilisateur du service ou [de] les transf[érer] vers l'autre prestataire désigné dans un délai raisonnable et sous une forme lisible et exploitable convenue avec l'utilisateur du service ou avec le nouveau prestataire, en accord avec l'utilisateur du service ».
L'article XII.38, § 2, alinéa 2, du C.D.E. ajoute qu' « en l'absence de réponse de l'utilisateur dans les trois mois de la demande visée à l'alinéa 1er, le prestataire peut procéder à la destruction des données, sauf interdiction expresse d'une autorité judiciaire ou administrative compétente et sous réserve de l'application des dispositions légales et réglementaires relatives à la préservation et à l'élimination des archives du secteur public, en particulier de l'article 5 de la loi du 24 juin 1955 relative aux archives ».
De manière générale, on se demande encore pour quelle raison ces obligations (voire certaines d'entre elles seulement) s'appliquent uniquement au prestataire de services d'archivage électronique qualifié et pas à tout prestataire de services d'archivage, peu importe qu'il ait été qualifié ou pas. En tout état de cause, dans le règlement général de protection des données, on ne trouve pas de telles distinctions.
c) Obligation de recourir à un service d'archivage électronique qualifié
Dans certaines hypothèses, le législateur belge s'est substitué à la volonté des parties (et à leur liberté d'opter pour un service qualifié ou un service non-qualifié) pour leur imposer, sans choix possible, de recourir à un service de confiance qualifié.
Aux termes de l'article XII.25, § 5, alinéa 3, « sous réserve de l'application d'exigences légales ou réglementaires particulières, lorsqu'une obligation de conservation de données ou de documents est imposée de manière expresse par un texte légal ou réglementaire, il est recouru à un service d'archivage électronique qualifié si l'utilisateur du service opte pour la voie électronique ». Les travaux préparatoires le justifient par un motif de sécurité juridique.
Cette exigence ne nous paraît pas justifiée. En outre, on complique inutilement la tâche des acteurs économiques, avec des exigences lourdes, complexes et coûteuses, qui sont disproportionnées par rapport à celles qu'elles assumaient dans l'environnement papier. En matière d'archivage papier, par exemple, aucune exigence spécifique n'est imposée, sans que cela semble poser de difficulté en pratique. Pourquoi dès lors faire preuve d'un tel dirigisme réglementaire dans l'environnement électronique ? Cette exigence est d'autant plus excessive qu'à l'heure actuelle, il n'existe pas encore de marché suffisamment mûr permettant de choisir un prestataire qualifié en faisant utilement jouer la concurrence.
Le législateur en est d'ailleurs conscient puisque l'entrée en vigueur des dispositions concernées est reportée sine die (mais laissée à l'appréciation discrétionnaire du Roi).
d) Existe-t-il des prestataires de service d'archivage électronique qualifié en Belgique ?
La liste des prestataires de services de confiance qualifiés établis en Belgique est disponible sur le site du SPF Economie.
A l'heure où nous écrivons ces lignes (fin juin 2021), il n'existe pas encore de prestataire qualifié offrant des services d'archivage électronique (ce qui n'empêche pas que certaines entités aient pu faire les démarches auprès du SPF Economie pour exploiter le service pour leur propre compte).
IV. Quels sont les effets juridiques attachés au service d'archivage électronique qualifié ou non-qualifié
Pour déterminer les effets juridiques du service d'archivage électronique (qualifié ou non-qualifié), le droit belge a repris les principes directeurs consacrés par le règlement eIDAS pour les autres services de confiance : un principe de non-discrimination, associé à des présomptions.
Sur ce point, on s'étonne que la Proposition de règlement ne suive pas la même logique. Aucun effet juridique n'est en effet attaché à l'archivage électronique en général, ou au service d'archivage électronique qualifié en particulier. Le registre électronique bénéficie quant à lui du principe de non-discrimination et, s'il est qualifié, jouit d'une présomption d'unicité et d'authenticité des données, d'exactitude de la date et de l'heure, et de l'ordre chronologique et séquentiel dans le registre.
A. Principe de non-discrimination
A l'instar des autres services de confiance, le service d'archivage électronique bénéficie du principe de non-discrimination. Aux termes de l'article XII.25, § 4, du C.D.E., « l'effet juridique et la recevabilité d'un archivage électronique comme preuve en justice ne peuvent être refusés au seul motif que cet archivage se présente sous une forme électronique ou qu'il ne satisfait pas aux exigences du service d'archivage électronique qualifié ». L'interdiction de toute discrimination est double, en ce qu'elle s'applique, d'une part, au bénéfice d'un service de confiance non-qualifié (par rapport à un service qualifié), d'autre part, au bénéfice d'un service de confiance?par définition de nature électronique?par rapport à un procédé correspondant dans l'environnement papier (un système d'archivage papier, par exemple). La juridiction saisie d'un litige dans lequel une partie voudrait se fonder sur des données archivées électroniquement ne pourrait donc pas se voir opposer une fin de non-recevoir sur pour ces motifs.
D'un point de vue légistique, la formulation employée, suivant laquelle « l'effet juridique et la recevabilité d'un archivage électronique comme preuve en justice ne peuvent être refusés… » nous paraît critiquable : ce n'est pas le service d'archivage électronique en tant que tel qui est soumis au principe de non-discrimination mais les données électroniques conservées au moyen de celui-ci. Aussi la disposition aurait-elle dû être formulée comme suit : « l'effet juridique et la recevabilité des données conservées au moyen d'un service d'archivage électronique comme preuve en justice ne peuvent être refusés… ».
B. Présomptions
L'application du principe de non-discrimination ne signifie pas que le procédé d'archivage électronique mis en œuvre recevra des effets juridiques équivalents à un système d'archivage papier traditionnel. Pour ce faire, il convient de poursuivre l'analyse, en distinguant suivant que le service d'archivage électronique est qualifié ou non-qualifié.
Pour le service d'archivage électronique qualifié, le législateur instaure en effet plusieurs présomptions ayant pour effet de renverser la charge de la preuve (et donc le risque) en faveur des utilisateurs de tels services.
Le recours à un service qualifié permet d'abord de présumer que les données ont été conservées sans modification et donc, que la fonction d'intégrité du contenu a été préservée (pour l'utilisateur, la preuve est donc plus facile à faire). Cette présomption est réfragable (la preuve contraire peut donc être apportée).
Le législateur belge double cette présomption d'une autre présomption, suivant laquelle « sous réserve de l'application d'exigences légales ou réglementaires particulières, lorsqu'une obligation de conservation des données ou des documents est imposée, de manière expresse ou tacite, par un texte légal ou réglementaire, cette obligation est présumée satisfaite par le recours à un service d'archivage électronique qualifié ». Cette présomption nous paraît inutile, dans la mesure où elle résulte déjà de la présomption suivant laquelle les fonctions sont atteintes par le recours à un service qualifié (si on présume que les fonctions sont atteintes, il faut nécessairement en conclure que l'exigence d'archivage est satisfaite). S'agissant de l'archivage, il faut donc articuler une présomption réfragable sur les fonctions avec une présomption irréfragable sur l'obligation de conservation : on peut donc démontrer que service d'archivage électronique qualifié n'a pas permis de préserver les données de toute modification (présomption réfragable sur les fonctions) ; par contre, et nonobstant cette preuve contraire, l'obligation de conservation sera présumée satisfaite par le recours à un service d'archivage électronique qualifié (sans qu'il soit possible de renverser la présomption). Il faudra donc considérer que l'obligation légale de conservation est respectée, alors même que la démonstration de l'atteinte à l'intégrité du contenu a été faite.
De telles présomptions n'existent pas pour le service d'archivage électronique non-qualifié. Concrètement, il incombera donc à l'utilisateur de démontrer que le procédé choisi a permis de préserver la fonction d'intégrité des données électroniques (et donc d'empêcher les modifications de ces données) et de respecter l'obligation de conservation des données. La charge de la preuve repose sur l'utilisateur. Le risque de ne pas prouver?et de subir les conséquences quant à l'issue éventuelle d'un litige?lui incombe aussi.
Les dispositions de l'article 13 du règlement, en matière de responsabilité, s'appliquent également aux prestataires de services d'archivage électronique, non-qualifiés ou qualifiés. Le régime probatoire est donc plus favorable aux utilisateurs de ces derniers, puisque le règlement présume que le prestataire de service de confiance a agi intentionnellement ou par négligence.
Par contre, le principe de reconnaissance mutuelle, consacré par le règlement eIDAS pour la signature, le cachet et l'horodatage électronique qualifiés, ne vaut pas pour le service d'archivage électronique. C'est logique puisque la matière n'est pas harmonisée par le règlement ; les dispositions introduites par la loi du 21 juillet 2016 ne s'appliquent d'ailleurs qu'aux prestataires établis en Belgique. Cet élément souligne la nécessité d'un cadre harmonisé sur l'archivage électronique en droit de l'Union.
Une présomption de copie fidèle et durable est également introduite. Aux termes de l'article XII.25, § 6, du C.D.E., « sous réserve de l'application d'exigences légales ou réglementaires particulières, une copie numérique effectuée à partir d'un document sur support papier est présumée en être une copie fidèle et durable lorsqu'elle est réalisée et conservée au moyen d'un service d'archivage électronique qualifié. Dans ce cas, la destruction de l'original papier est autorisée, sous réserve de l'application des dispositions légales et réglementaires relatives à la préservation et à l'élimination des archives du secteur public, en particulier de l'article 5 de la loi du 24 juin 1955 relative aux archives ». Cette disposition vise uniquement l'hypothèse de la numérisation de documents « papier ». Si on recourt à un service d'archivage électronique qualifié, le C.D.E. présume qu'il s'agit d'une copie « fidèle et durable », autorisant normalement la destruction de l'original papier. La présomption est réfragable. Une telle présomption n'existe pas pour le service d'archivage électronique non-qualifié. Concrètement, dans ce cas, il incombera donc à l'utilisateur de démontrer que le document électronique conservé au moyen de ce procédé (après numérisation) constitue une copie fidèle et durable. Il devra donc établir que le procédé a permis de garantir sa pérennité et l'intégrité de son contenu.
Conclusion
Suite à la Proposition de règlement de la Commission, introduisant de nouveaux services de confiance d'archivage électronique et de registre électronique dans le règlement eIDAS, on peut normalement s'attendre à ce que le cadre normatif évolue à brève échéance. A ce stade, les dispositions modificatives suscitent cependant diverses questions (et réserves) et on espère vivement qu'au cours des prochains mois, des amendements seront apportés en la matière.
Il nous paraît en effet indispensable de réguler le service d'archivage électronique, en le considérant comme un service de confiance additionnel (de préférence en droit de l'Union). Le législateur belge a fait un premier pas en ce sens et, même si les règles restent encore perfectibles à certains égards, c'est d'après nous une solution efficace et de nature à assurer un niveau élevé de sécurité juridique. Aussi formons-nous le vœu qu'elle puisse servir d'inspiration utile à la Commission et aux autres législateurs nationaux.
Les nouvelles technologies numériques ont indéniablement de nombreux atouts en matière de conservation des données, mais pâtissent aujourd'hui encore de quelques inconvénients pouvant nuire à la sécurité juridique.