Dématérialisation: un contrôle sur plusieurs niveaux
Cela fait maintenant un mois que la nouvelle loi encadrant l’archivage électronique au Luxembourg a été publiée au Mémorial A. Le cadre concerne les actes sous seing privé, soit les contrats et les actes commerciaux. De nombreuses organisations sont intéressées par leur dématérialisation et sont accompagnées par plusieurs acteurs, dont l’Institut luxembourgeois de la normalisation, de l’accréditation, de la sécurité et qualité des produits et services (ILNAS). Rencontre avec Alain Wahl, chef du département de la confiance numérique de l’ILNAS.
Deux mois après l’adoption de la loi sur l’archivage électronique par la Chambre des Députés, peut-on déjà tirer un premier bilan?
C’est un peu tôt pour déjà faire un premier bilan. La loi vient d’être publiée dans le Mémorial A début août. Les futurs Prestataires de Services de Dématérialisation ou de Conservation (PSDC) sont en train de se préparer. Ils se conforment aux exigences définies dans le règlement grand-ducal depuis la loi du 25 juillet. Ils vont ensuite se faire certifier conformes à ces exigences pour pouvoir après coup nous contacter, le département de la confiance numérique de l’ILNAS, pour introduire une demande de surveillance.
L’ILNAS a-t-elle déjà enregistré beaucoup de demandes de surveillance?
Non, jusqu’à présent, ce sont plutôt des demandes d’information. La plupart des entreprises qui nous contactent font surtout de l’archivage électronique et de la dématérialisation. Mais une banque nous a aussi appelés car elle était intéressée.
Quelle est la première étape pour les futurs PSDC?
La première chose que les futurs PSDC doivent faire, c’est se faire certifier. Ils doivent ainsi passer par un organisme d’évaluation de la conformité qui est accrédité par l’Office Luxembourgeois d’Accréditation et de Surveillance (OLAS). Il doit être accrédité selon un standard qui définit les exigences pour les organismes d’évaluation de la conformité. Lors de cette accréditation, ces organismes doivent démontrer leur compétence, leur connaissance des exigences du règlement grand-ducal, de la loi. L’OLAS vérifie cela lors du premier audit de certification. Ensuite, l’organisme d’évaluation de la conformité peut certifier le futur PSDC. C’est seulement à ce moment que l’ILNAS, en tant qu’organisme de supervision national, recevra les demandes de surveillance.
Comment assurerez-vous cette surveillance ?
Nous rencontrerons les PSDC au moins tous les six mois. Nous les verrons aussi en cas de changement majeur dans une infrastructure ou s’il y a eu un incident critique, comme par exemple un vol ou un changement de données.
Les résultats de vos contrôles sont actuellement publiés sur une liste sur votre portail qualité. En sera-t-il de même concernant les PSDC?
Les différents PSDC vont être publiés. Notre procédure définit plusieurs états de surveillance comme par exemple «under supervision». Ce sont les mêmes statuts que ceux des prestataires de services de confiance. La différence est que ces derniers ont été réglementés par un règlement européen: l’eIDAS de juillet 2014. Alors que ceci est une loi nationale qui définit l’activité de PSDC.
Est-ce que, comme le prévoyait le ministre de l’Economie Étienne Schneider, le cadre légal moderne et pragmatique relatif à l’archivage électronique a déjà attiré de grandes entreprises cherchant à centraliser leurs archives électroniques dans un seul pays?
C’est encore un peu tôt pour le dire. Nous avons maintenant un cadre légal au Luxembourg. Le PSDC bénéficie de la présomption de conformité de la copie électronique par rapport à l’original. Le règlement grand-ducal, avec toutes ses exigences, définit un bon cadre. Cela peut attirer des entreprises intéressées dans la dématérialisation. Grâce à cette dernière, on peut prendre les contrats, les dématérialiser et détruire les contrats originaux. Le juge ne peut plus dire que le contrat papier a une valeur plus élevée que la copie.
Des consommateurs vous ont-ils déjà appelés pour exprimer des craintes, par exemple concernant le vol de données?
Non, ça ne nous est pas encore arrivé. On n’est jamais protégé à 100%. Les contrats sur papier peuvent aussi disparaître, notamment lors d’un vol, d’une inondation, d’un incendie, etc. Je ne pense pas qu’on augmente les risques en les dématérialisant. Cette loi donne au contraire beaucoup de garanties car un contrôle est mis en place à plusieurs niveaux.
En tant que département de la confiance numérique, votre objectif premier est de donner confiance aux utilisateurs. Quel message voulez-vous leur faire passer?
Nous voulons leur dire: vous pouvez utiliser cet archivage électronique. Nous garantissons que les copies sont bien conformes à l’original. Pour pouvoir donner une telle garantie, beaucoup d’exigences dans ce règlement grand-ducal concernent aussi l’organisation des entreprises. Par exemple, l’accès physique des personnes est interdit dans les locaux de stockage. Ce n’est pas une exigence technique mais plutôt élémentaire. Ce genre de choses doit être démontré au certificateur: seules les personnes autorisées peuvent être physiquement présentes dans les locaux de stockage des documents. CD