La couche « confiance et preuves »
La conservation ne se confond pas avec le stockage. Le stockage permet de maintenir les fichiers à disposition. Une couche de confiance et de preuve contribue à garantir que les documents restent explicables et défendables même des années plus tard, grâce à des enregistrements de preuves, des horodatages, des renouvellements et, lorsque le cas d'utilisation l'exige, une conservation qualifiée. C'est cette couche qui transforme l'archivage à long terme, qui ne se limite pas à la simple conservation des fichiers, en une conservation solide sur le plan probatoire.
Prestataire de services de confiance agréé pour la conservation certifiée, s'inscrivant dans un vaste Archivage électronique offre.
Pourquoi " confiance " et " preuve " ?"
La plupart des solutions d'archivage mettent l'accent sur la durée de conservation, la sécurité et les journaux d'audit. Ces aspects sont bien sûr importants, mais ils ne répondent pas à eux seuls à la question la plus épineuse : que se passe-t-il lorsqu'un document est contesté des années plus tard ?
À ce stade, la question ne se limite pas à savoir si le fichier existe toujours. Il s'agit de déterminer si l'organisation est encore en mesure d'expliquer d'où il provient, ce qu'il est advenu de ce fichier, quelles preuves cryptographiques l'étayent et pourquoi ces preuves restent fiables. C'est là que la couche « Confiance et preuves » prend toute son importance.
Dans certains cas d’utilisation, ce niveau implique une conservation conforme au cadre eIDAS. Dans d’autres, il s’agit de regrouper les enregistrements probatoires, les preuves temporelles, les renouvellements, le contexte de validation et la gouvernance de manière à garantir la traçabilité au fil du temps. Dans les deux cas, les archives nécessitent davantage qu’un simple stockage durable.
À l'attention des responsables de la conformité
Ce qu'exige le cadre réglementaire, dans quels cas le statut de « qualifié » revêt une importance particulière, et pourquoi l'assurance fondée sur des éléments probants prend toute son importance dans des domaines tels que
AMLR
EHDS
DORA
NIS2
Cadres nationaux de confiance
À l'attention des architectes
Voici à quoi ressemble la couche de confiance et de vérification d'un point de vue technique :
Dossiers de preuves
Augmentation
Contexte de validation à long terme
Conception d'un ensemble OAIS/E-ARK
Limites opérationnelles
Le cadre des services de confiance prévu par le règlement eIDAS
Le règlement eIDAS (règlement (UE) n° 910/2014, tel que modifié par le règlement (UE) n° 2024/1183) établit le cadre européen applicable aux services de confiance. Concrètement, il définit quelles fonctions de confiance numérique peuvent être fournies en tant que services réglementés, selon quel cadre juridique, et quelles sont les exigences en matière de surveillance et de conformité.
Les services de fiducie comprennent signatures électroniques qualifiées (QES), les signatures électroniques qualifiées (QESl), les horodatages qualifiés, les envois recommandés électroniques qualifiés et, dans le cadre actualisé, l'archivage électronique qualifié. En matière d'archivage et de conservation, deux éléments revêtent une importance capitale.
Conservation qualifiée des signatures et cachets électroniques qualifiés.
En vertu des articles 34 et 40 du règlement eIDAS, un prestataire de services de confiance qualifié peut préserver la fiabilité des signatures et des cachets qualifiés au-delà de leur période de validité technique initiale. La norme ETSI TS 119 511 définit la politique et les exigences de sécurité applicables aux prestataires proposant ce service.
Archivage électronique qualifié.
Le cadre eIDAS modifié reconnaît également l'archivage électronique qualifié comme un service de confiance pour les données et documents électroniques au sens large. Pour les acheteurs, cela signifie concrètement que l'archivage à long terme s'inscrit de plus en plus dans un contexte formel de services de confiance, et non l'inverse.
Lorsqu’un service est fourni par un prestataire de services de confiance qualifié figurant sur les listes de confiance applicables, il s’inscrit dans un cadre supervisé, assorti d’une évaluation accréditée, d’un périmètre publié et d’une reconnaissance transfrontalière au titre du règlement eIDAS. Cela diffère sensiblement d’un simple fournisseur qui se contente de présenter ses archives comme sécurisées ou conformes.
C'est pourquoi le statut d'établissement agréé revêt une importance particulière. Il ne s'agit pas d'un simple choix de présentation. Il s'inscrit dans un cadre juridique et prudentiel bien défini.
L'approche fondée sur le dossier de preuves
Le mécanisme technique qui sous-tend conservation à long terme des éléments de preuve Il s'agit du modèle « evidence-record ». En termes de normes, il s'appuie sur les RFC 4998 et 6283 de l'IETF et est étroitement lié aux spécifications de conservation de l'ETSI, telles que les normes ETSI TS 119 511 et ETSI TS 119 512.
D'une manière générale, la conservation fondée sur les éléments de preuve et les dossiers combine trois éléments :
Preuve d'intégrité basée sur un hachage
L'objet archivé fait l'objet d'un hachage, ce qui permet au processus d'archivage de garantir son intégrité sans modifier l'objet sous-jacent.
Preuve chronologique fiable
Un horodatage fiable atteste de l'existence de ce hachage à un moment précis.
Évolution au fil du temps
À mesure que les certificats arrivent à expiration et que les hypothèses cryptographiques deviennent obsolètes, le service de conservation peut prolonger la chaîne de preuves en y intégrant de nouvelles preuves temporelles, plutôt que de s'appuyer indéfiniment sur le contexte cryptographique d'origine.
Ensemble, ces éléments confèrent à une archive ce que le simple stockage ne peut offrir : une chaîne vérifiable dont l'origine pourra encore être expliquée ultérieurement.
Pour décrire les modèles de conservation, il est utile de se référer à trois profils récurrents :
PDS (Préservation des signatures numériques)
Utilisé lorsque la validité d'une signature ou d'un cachet numérique doit pouvoir être justifiée au fil du temps.
PGD (Conservation des données générales)
Utilisé lorsque des données générales, signées ou non, nécessitent tout de même une preuve durable de leur intégrité et de leur existence.
AUG (Augmentation)
Utilisé pour actualiser et renforcer les preuves au fil du temps, à mesure que le paysage cryptographique évolue.
L'architecture de confiance de Docbyte s'articule autour d'un modèle ERS et des processus de vérification et de validation qui y sont associés, plutôt que de considérer les preuves comme un simple complément facultatif au stockage.
Augmentation : comment la préservation résiste au temps
La manière la plus simple de comprendre l'augmentation consiste à examiner le mode de défaillance qu'elle permet d'éviter.
Imaginez un document archivé en 2025, accompagné des preuves cryptographiques en vigueur à cette époque. Dix ou quinze ans plus tard, la question essentielle n’est plus seulement de savoir si ce document existe toujours. Il s’agit de déterminer si l’on peut encore se fier de la même manière à la signature d’origine, à la chaîne de certificats, à la preuve temporelle et au contexte de validation.
Même sans mise à jour, les archives peuvent toujours conserver le fichier et la preuve d'origine, mais la valeur probante de celle-ci peut s'affaiblir à mesure que les certificats expirent, que les algorithmes deviennent obsolètes et que les écosystèmes de validation évoluent.
Grâce à l'enrichissement, les archives prolongent la chaîne de preuves dans le temps. De nouvelles preuves chronologiques fiables viennent s'ajouter à la chaîne existante, de sorte que le document conservé ne reste pas figé à l'époque technologique d'origine. La chaîne antérieure reste ancrée, tandis que la couche la plus récente reflète l'état actuel de la conservation.
C'est la réponse concrète au problème de la conservation à long terme dans un monde où la technologie évolue sans cesse. C'est également la raison pour laquelle la préservation diffère du simple fait de conserver un fichier sur un support durable.
Pour les organisations soumises à des obligations de conservation des documents sur cinq ans, dix ans ou plusieurs décennies, l'enrichissement constitue l'un des mécanismes permettant de garantir la validité des preuves au fil du temps.
Archives originales
- hash
- horodatage
- éléments de preuve
Renouvellement 1
- nouvel horodatage
- enrichissement des métadonnées
Renouvellement 2
- Couche IA/contexte
- résistant à la migration
Renouvellement 3
- normes actualisées
- chaîne de vérification
Le document reste explicable
- les preuves originales ont été conservées
- chaque augmentation associée
- chaîne de traçabilité intacte
L'avantage du QTSP
La conservation qualifiée n'est pas seulement un modèle technique. Il s'agit d'un service de confiance réglementé. Cela signifie que le statut « qualifié » revêt une importance particulière.
Pour un acheteur d'archives, cela revêt de l'importance à trois égards concrets :
Effet juridique qualifié
Un service de confiance qualifié bénéficie des effets juridiques qui lui sont attachés en vertu du règlement eIDAS. Un service non qualifié ne bénéficie pas de ce même statut de service qualifié.
Reconnaissance transfrontalière
Les services de confiance qualifiés sont reconnus dans tous les États membres de l'UE dans le cadre de la directive eIDAS. Pour les organisations exerçant leurs activités au-delà des frontières, cela revêt une grande importance.
Mesures disciplinaires prises par la hiérarchie
Un QTSP s'inscrit dans un cadre comprenant une évaluation de la conformité accréditée, un champ d'application défini, des informations publiées sur la liste de confiance et une surveillance continue. Les clients ne se fient pas uniquement aux déclarations des fournisseurs.
Un produit d'archivage standard peut intégrer des contrôles rigoureux. Il ne devient toutefois un service de confiance qualifié que s'il s'inscrit dans ce cadre réglementaire dédié aux services de confiance. Cette distinction revêt une importance particulière lorsque l'assurance probatoire, le contrôle réglementaire ou la valeur juridique transfrontalière font partie des critères d'achat.
À quoi cela ressemble-t-il dans Docbyte Vault ?
Docbyte Vault réunit les aspects liés à la confiance et à la traçabilité au sein d'un modèle de conservation cohérent, plutôt que sous la forme d'un ensemble de contrôles disparates.
Architecture de confiance basée sur l'ERS
L'architecture de Vault comprend un service de gestion des dossiers de preuves (Evidence Record Service) qui gère ces dossiers ainsi que les processus de vérification et de validation associés aux objets conservés.
Preuve de l'ancienneté et renouvellement
Le modèle de conservation de Vault associe des preuves fondées sur des horodatages à un renouvellement au fil du temps, de sorte que la fiabilité des preuves ne dépend pas indéfiniment de l'état cryptographique d'origine.
Préservation du contexte de validation
Lorsque des objets signés ou scellés sont concernés, le préservation Ce modèle conserve le contexte nécessaire pour expliquer ultérieurement l'évaluation de validité initiale, plutôt que d'imposer une nouvelle évaluation fondée uniquement sur les repères de confiance actuels.
Traitement des éléments de preuve liés aux portefeuilles
Pour les cas d'utilisation liés à l'intégration et à l'attestation via un portefeuille numérique, le modèle de conservation doit préserver à la fois la présentation, l'attestation, la preuve temporelle et le contexte de vérification, plutôt que de se contenter de conserver un fichier PDF dérivé, une capture d'écran ou un ensemble de champs extraits.
Conception d'un ensemble OAIS/E-ARK
Vault utilise les concepts opérationnels SIP, AIP et DIP, tandis que les métadonnées de conditionnement et de conservation, conformes aux normes OAIS/E-ARK, contribuent à garantir la traçabilité et la portabilité des archives.
Cadrage fondé sur les normes
Parmi les références pertinentes relatives au modèle de confiance et d’archivage, on peut citer les normes ETSI TS 119 511, ETSI TS 119 512, CEN TS 18170:2025, OAIS / ISO 14721, ISO 14641, ISO 15801, ISO 27001 et EN 319 401, en fonction du champ d’application et du niveau d’assurance.
En quoi cela est-il important : le cadre réglementaire
La couche de confiance et de preuve devient visible lorsqu’un régulateur, un auditeur, un enquêteur ou un tribunal demande des preuves. Plusieurs cadres réglementaires, existants ou en cours d’élaboration, incitent les organisations à s’orienter dans cette direction.
AMLR (règlement (UE) n° 2024/1624, applicable à compter du 10 juillet 2027)
L'article 77 fixe une durée minimale de conservation de cinq ans assortie de délais de suppression, tandis que l'article 22 renforce la pertinence des justificatifs d'inscription basés sur le portefeuille numérique et les attestations. Cela amène la conception des archives au-delà du simple stockage de documents.
EHDS (règlement (UE) n° 2025/327)
Les dossiers médicaux doivent rester fiables, consultables et correctement gérés, tant sur de longues périodes de conservation que dans des contextes transfrontaliers. Les archives font désormais partie intégrante de la base de preuves.
eIDAS 2.0 (règlement (UE) 2024/1183)
Élargit et renforce le cadre des services de confiance en matière de conservation qualifiée et d'archivage électronique qualifié.
DORA (règlement (UE) n° 2022/2554, applicable depuis le 17 janvier 2025)
Renforce les attentes en matière de gestion des risques liés aux TIC, de traçabilité des incidents et de conservation des preuves dans les environnements financiers.
NIS2 (directive (UE) 2022/2555)
Renforce les exigences en matière de documentation des incidents, de gouvernance et de traçabilité pour les entités essentielles et importantes.
Loi belge sur le numérique
Les cadres nationaux en matière de confiance numérique et de preuve accordent une attention accrue à l'archivage certifié et aux contrôles rigoureux de conservation dans certains cas d'utilisation en Belgique.
ICH GCP, FDA 21 CFR Partie 11, Annexe 11 de l'EMA
Les longs délais de conservation dans le secteur des sciences de la vie confèrent une importance particulière, tant sur le plan commercial qu'opérationnel, au renforcement des contrôles en matière de conservation et de preuve.
Dans chaque cas, la même question se pose : l'organisation sera-t-elle encore en mesure, des années plus tard, d'expliquer, de retrouver et de défendre ces archives ?
Foire aux questions
Quelle est la différence entre des archives et un service de conservation qualifié ?
Une archive stocke des fichiers et applique des règles de conservation. Un service de conservation certifié vise à préserver la valeur probatoire des documents archivés au fil du temps, grâce à des mécanismes tels que les enregistrements de preuve, la certification chronologique et le renouvellement. Une archive ne bénéficiant pas d'une conservation certifiée peut certes conserver des données, mais celles-ci ne bénéficient pas du même statut juridique ni de la même valeur probatoire.
Pourquoi la conservation à long terme nécessite-t-elle de faire appel à un prestataire de services de confiance agréé ?
En effet, la conservation qualifiée est un service de confiance réglementé au titre du règlement eIDAS. Un prestataire non qualifié peut mettre en œuvre des contrôles techniques similaires, mais il n'offre pas le même statut qualifié, la même valeur juridique ni le même cadre de surveillance.
Qu'est-ce que l'augmentation, et pourquoi est-ce important ?
L'augmentation consiste à renouveler les preuves de conservation au fil du temps. Elle ajoute de nouvelles preuves temporelles fiables à la chaîne existante, de sorte que les documents conservés ne dépendent plus uniquement de certificats, d'algorithmes ou de contextes de validation qui vieillissent. C'est important car la garantie probatoire doit résister aux évolutions techniques, et pas seulement aux délais de conservation.
En quoi cela concerne-t-il la procédure d'inscription à EUDI Wallet ?
Dans le cadre d’une procédure d’intégration via un portefeuille numérique, les justificatifs pertinents ne se limitent souvent plus à une simple copie d’un document. Ils peuvent inclure des présentations du portefeuille, des attestations, des preuves temporelles et le contexte de validation. Si ces justificatifs doivent rester vérifiables plusieurs années plus tard, les archives doivent conserver l’ensemble complet des justificatifs et leur contexte, et non pas seulement un fichier PDF dérivé ou une capture d’écran.
Puis-je vérifier par moi-même si Docbyte dispose d'un statut de prestataire agréé ?
Oui. Le statut de prestataire de services de confiance qualifié doit pouvoir être vérifié à l'aide de l'entrée correspondante dans la liste de confiance et de la documentation de confiance qui l'accompagne. La liste de confiance de l'UE est accessible au public.
Intégrez la couche de confiance et de preuve à vos archives
Si vos documents doivent rester valables juridiquement dans plusieurs années, la couche de confiance et de preuve doit être conçue de manière explicite, et non laissée implicite. Contactez Docbyte pour évaluer la conformité de votre système d'archivage actuel à la norme ETSI TS 119 511, relative à la conservation qualifiée et à la garantie de la valeur probante à long terme.