Perspectives et opportunités offertes en matière d’archivage électronique

L’évolution prévue du cadre légal

Il existe déjà au Luxembourg un cadre légal concernant l’archivage électronique. Toutefois, ce cadre n’offre pas de garantie légale suffisante en ce qui concerne la destruction d’un document original papier qui a été numérisé.

Pour surmonter cette contrainte, une équipe d’experts a été réunie afin de concevoir un nouveau cadre légal basé sur une nouvelle loi sur l’archivage électronique et une mise à jour des autres lois concernées (Code civil, Code du commerce, loi relative au le secteur financier) et du Règlement Grand-Ducal (RGD) y relatif.

Le cadre légal proposé met en avant trois considérations majeures :

• Création du statut de Prestataire de Services de Dématérialisation et de Conservation (défini par l’abréviation “PSDC” dans le projet de loi) : l’objectif est d’organiser l’activité de numérisation et d’archivage de manière à instaurer la confiance de ces services auprès des entreprises, des juges, des ministères, des administrations et des tribunaux. Les PSDC seront contrôlés par l’ILNAS avec un système d’accréditation spécifié. Un organisme peut choisir de se faire accréditer pour l’activité de numérisation et d’archivage.
• Renversement de la charge de la preuve : dans l’hypothèse d’une copie fidèle du document original produite et archivée par un PSDC selon les conditions énoncées par le RGD, il incombera à la partie plaignante de prouver que la copie n’est pas une reproduction fidèle et durable du document original.
• Exigences techniques et organisationnelles : le RGD, et plus particulièrement le système d’accréditation, définira précisément les exigences techniques, les contraintes organisationnelles et les conditions de mise en oeuvre.
  

Exigences et mesures de réglementation technique

Dans le cadre du système d’accréditation, des exigences techniques ont été publiées par l’ILNAS. Celles-ci s’articulent en 3 couches. La première couche est la fondation et applique les normes ISO/IEC 27001 et 27002.

La seconde fournit plus de détails sur un certain nombre de contrôles ISO/IEC 27002 et les adapte aux activités de numérisation/d’archivage. La troisième couche comprend des contrôles additionnels à l’ISO/IEC 27002 qui concernent directement l’activité et le système de numérisation/d’archivage.

Le système d’accréditation comprend également des documents liés à la supervision des PSDC et des directives en matière d’audit.

Qu’en est-il des services de numérisation et d’archivage assurés auprès d’institutions financières ?

Dès lors qu’il y a prestation de services de numérisation/d’archivage auprès d’institutions financières, tous les PSDC ont l’obligation d’obtenir un statut de PSF. Deux nouveaux statuts de PSF de support (Articles 29-5 et 29-6) seront ajoutés à la loi du 5 avril 1993 relative au secteur financier. Les conditions énoncées pour le statut de PSF prévoient un capital social de 50.000 € pour les prestataires de services de numérisation (PSF/PSDC-D) et de 125.000 € pour les prestataires de services d’archivage (PSF/PSDC-C).

Par conséquent, le PSDC sera supervisé à la fois par l’ILNAS pour son statut de PSDC et par la CSSF pour son statut de PSF. A ce jour, outre les circulaires déjà applicables au PSF de support, la CSSF n’a publié aucun(e) règlement/circulaire spécifique aux PSF/PSDC.

Les choses évoluent

L’avant-projet de loi, les projets de mise à jour des lois concernées, et les projets de mise à jour du RGD ont été initialement soumis en février 2013 et ont fait l’objet de quatre objections majeures de la part du Conseil d’Etat en novembre 2013. Le gouvernement de Xavier Bettel a fait de cet avant-projet de loi l’une de ses priorités et des mesures ont été prises dans ce sens.

L’une des principales actions menées est une communication à la Commission européenne permettant de reconnaître une preuve dématérialisée en dehors des frontières du Luxembourg. La commission économique procède actuellement à l’examen des mises à jour et l’on estime que l’adoption devrait intervenir en décembre 2014.

L’ILNAS envisage pour sa part de mettre à jour les “Exigences et mesures de réglementation technique” en fonction de la version 2013 de la norme ISO27001.