📄 Texte de loi
3057
1623
MEMORIAL
MEMORIAL
Journal Officiel
du Grand-Duché de
Luxembourg
Amtsblatt
des Großherzogtums
Luxemburg
RECUEIL DE LEGISLATION
A ––
110
A
–– N°
N° 150
22
mai 2009
4 août
2015
Sommaire
ARCHIVAGE éLECTRONIQUE
Loi du 25 juillet 2015 relative à l’archivage électronique et portant modification:
1. de l’article 1334 du Code civil;
2. de l’article 16 du Code de commerce;
3. de la loi modifiée du 5 avril 1993 relative au secteur financier . . . . . . . . . . . . . .
page 3058
Règlement grand-ducal du 25 juillet 2015 portant exécution de l’article 4, paragraphe 1er de la loi
du 25 juillet 2015 relative à l’archivage électronique . . . . . . . . . . . . . . . . . . . . . . . . 3062
Règlement grand-ducal du 25 juillet 2015 relatif à la dématérialisation et à la conservation de
documents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3114
3058
Loi du 25 juillet 2015 relative à l’archivage électronique et portant modification:
1. de l’article 1334 du Code civil;
2. de l’article 16 du Code de commerce;
3. de la loi modifiée du 5 avril 1993 relative au secteur financier.
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Notre Conseil d’État entendu;
De l’assentiment de la Chambre des députés;
Vu la décision de la Chambre des députés du 2 juillet 2015 et celle du Conseil d’État du 17 juillet 2015 portant qu’il
n’y a pas lieu à un second vote;
Avons ordonné et ordonnons:
Chapitre 1er. - Dispositions générales relatives à la dématérialisation et à la conservation.
Art. 1er. Champ d’application.
(1) La présente loi a pour objectifs:
– de définir les conditions de dématérialisation d’originaux au sens de la présente loi et les conditions de
conservation de copies et d’originaux numériques;
– de déterminer les conditions dans lesquelles les copies visées à l’alinéa précédent peuvent bénéficier d’une
présomption de conformité à l’original; et
– de fixer les règles applicables à l’activité de prestataire de services de dématérialisation ou de conservation.
(2) Ne relèvent pas de la présente loi les activités de simple stockage de données qui ne consistent pas à conserver
une copie ou un original numérique en garantissant son intégrité.
Art. 2. Définitions.
Aux termes de la présente loi, on entend par:
a) «certificateur»: toute personne accréditée par l’ILNAS ou tout autre organisme d’accréditation reconnu
par l’ILNAS dans les cadre des accords de reconnaissance mutuelle européens ou internationaux et dont la
notification a été validée par l’ILNAS;
b) «conservation électronique»: l’activité qui consiste à conserver un original numérique ou une copie à valeur
probante dans des conditions qui assurent des garanties fiables quant au maintien de l’intégrité du document
conservé;
c) «copie à valeur probante»: une reproduction fidèle et durable sous forme numérique ou micrographique d’un
original;
d) «dématérialisation»: l’activité qui consiste à créer une copie à valeur probante d’un original existant sous forme
analogique dans des conditions qui assurent des garanties fiables quant à la conformité de la copie ainsi créée à
l’original;
e) «détenteur»: toute personne qui détient légitimement ou est tenue par la loi de détenir un original existant sous
forme analogique ou numérique ou une copie à valeur probante;
f) «original»: tout acte sous seing privé ou tout document visé à l’article 16 du Code de commerce;
g) «original numérique»: tout acte sous seing privé électronique ou document créé à l’origine sous forme numérique;
h) «prestataire de services de dématérialisation ou de conservation»: toute personne qui exerce à titre principal
ou accessoire, pour ses propres besoins ou pour compte d’autrui, des activités de dématérialisation ou de
conservation électronique et qui est, dans les conditions et selon les modalités de la présente loi, certifiée à cette
fin et inscrite sur la liste visée à l’article 4 (3).
Art. 3. Dématérialisation et conservation électronique.
La dématérialisation de tout original et la conservation électronique doivent répondre aux exigences arrêtées par
règlement grand-ducal.
Chapitre 2. - Prestataires de services de dématérialisation ou de conservation.
Section 1. Statut de prestataire de services de dématérialisation ou de conservation.
Art. 4. Procédure de demande d’inscription et surveillance des prestataires de services de dématérialisation
ou de conservation.
(1) Seules les personnes qui sont certifiées par un certificateur pour avoir mis en place et pour respecter les règles
relatives à l’établissement et à la gestion d’un système de la sécurité de l’information et à une gestion opérationnelle
spécifiques aux processus de dématérialisation ou de conservation peuvent demander auprès de l’ILNAS leur
inscription sur la liste visée au paragraphe 3 afin d’obtenir le statut de prestataire de services de dématérialisation ou
de conservation.
Mémorial A – N° 150 du 4 août 2015
3059
Le certificateur vérifie, au moyen d’audits, que les règles visées à l’alinéa 1 permettent d’assurer que des garanties
fiables existent:
– en matière de dématérialisation, quant à la conformité des copies à valeur probante aux originaux, au caractère
lisible des copies à valeur probante, à la confidentialité des originaux et copies à valeur probante ainsi qu’à
l’intégrité des copies à valeur probante tant que celles-ci sont en la possession du prestataire de services de
dématérialisation ou de conservation; et
– en matière de conservation électronique, quant à l’intégrité, à la confidentialité et à la disponibilité des copies
à valeur probante et des originaux numériques confiés au prestataire de services de dématérialisation ou de
conservation.
Les règles visées au présent paragraphe sont déterminées par règlement grand-ducal.
(2) Les éléments vérifiés pour la validation de la demande d’inscription par l’ILNAS visée au paragraphe 1er portent
notamment sur:
– l’actualité et l’étendue de l’accréditation du certificateur,
– l’actualité et l’étendue de la certification du demandeur d’inscription,
– la connaissance par les auditeurs ayant réalisé l’audit de certification de la législation nationale pertinente,
– la couverture de l’audit de certification sur base du rapport d’audit,
– la rédaction du rapport d’audit dans une des trois langues administratives désignées dans la loi du 24 février 1984
sur le régime des langues ou en anglais,
– le cas échéant, la levée des écarts majeurs soulevés lors de l’audit.
L’ILNAS peut procéder à tout moment à des vérifications supplémentaires dans le contexte de l’attribution ou du
maintien du statut de prestataire de services de dématérialisation ou de conservation. L’ILNAS peut avoir recours au
certificateur pour effectuer ces vérifications.
(3) Une fois la demande d’inscription validée, l’ILNAS inscrit le demandeur sur la liste des prestataires de services
de dématérialisation ou de conservation tenue par l’ILNAS et publiée sur le site Internet de l’ILNAS. L’ILNAS informe
le demandeur de son inscription et de tout changement concernant cette inscription.
Les prestataires de services de dématérialisation ou de conservation inscrits sur la liste prévue à l’alinéa 1 ont le droit
d’utiliser dans leur dénomination sociale, leur nom commercial ou toute communication commerciale la dénomination
de prestataire de services de dématérialisation ou de conservation ou l’acronyme PSDC.
(4) Le prestataire de services de dématérialisation ou de conservation est tenu d’établir annuellement vis-à-vis de
l’ILNAS qu’il remplit les conditions du paragraphe 2, alinéa 1. L’ILNAS peut à tout moment vérifier ou faire vérifier de
sa propre initiative l’existence de ces conditions.
(5) Les personnes qui exercent une activité de dématérialisation ou de conservation électronique limitée à leurs
propres besoins ou ceux d’une ou de plusieurs entreprises appartenant au même groupe peuvent également obtenir le
statut de prestataire de services de dématérialisation ou de conservation. Les dispositions du paragraphe 3 de l’article
5 ainsi que les articles 6, 8 et 9, à l’exception de son paragraphe 1er, ne s’appliquent pas à ces prestataires de services
de dématérialisation ou de conservation.
Art. 5. Suspension de l’inscription ou retrait de la liste des prestataires de services de dématérialisation ou
de conservation.
(1) L’ILNAS peut procéder à tout moment à la suspension de l’inscription ou au retrait de la liste des prestataires
de services de dématérialisation ou de conservation en cas de découverte de tout événement, circonstance ou incident
de nature à causer, ou avoir causé, une violation des dispositions de la présente loi ou des règlements pris en son
exécution.
Dans ce cas, l’ILNAS peut, si une telle mesure de publicité est nécessaire à l’intérêt public, publier un communiqué
soit au Mémorial, soit dans un ou plusieurs journaux luxembourgeois ou étrangers.
(2) Le prestataire de services de dématérialisation ou de conservation est tenu d’informer l’ILNAS sans délai de
la découverte de tout événement, circonstance ou incident de nature à causer, ou avoir causé, une violation des
dispositions de la présente loi ou des règlements pris en son exécution.
(3) Le prestataire de services de dématérialisation ou de conservation est tenu d’informer les détenteurs sans délai
d’une éventuelle suspension de son inscription ou du retrait de la liste des prestataires de services de dématérialisation
ou de conservation. Dans ce cas, le détenteur est en droit de réclamer au prestataire de services de dématérialisation
ou de conservation la restitution ou le transfert à tout tiers de son choix de tout document, copie à valeur probante ou
original numérique lui appartenant ainsi que de toute information relative à la création et à la conservation des copies à
valeur probante ou originaux numériques sans que puissent lui être appliqués des pénalités ou des frais de traitements
excessifs. Toute disposition contractuelle contraire est réputée non écrite.
Section 2. Obligations générales des prestataires de services de dématérialisation ou de conservation.
Art. 6. Obligation d’information préalable.
(1) Préalablement à toute relation contractuelle avec un détenteur, le prestataire de services de dématérialisation
ou de conservation met à disposition, sur un support durable et dans des termes aisément compréhensibles, les
informations relatives aux conditions de dématérialisation ou de conservation électronique pour lesquelles il est certifié.
Mémorial A – N° 150 du 4 août 2015
3060
(2) Ces informations se rapportent, en fonction des services prestés, au moins:
a) à la procédure suivie pour la dématérialisation ou pour la conservation électronique;
b) à la procédure suivie afin de restituer les copies à valeur probante sous une forme lisible en garantissant la fidélité
à l’original;
c) aux modalités et conditions d’une éventuelle sous-traitance y compris le lieu de stockage des données;
d) aux obligations légales que le prestataire de services de dématérialisation ou de conservation doit observer;
e) aux conditions contractuelles de réalisation des prestations, y compris les limites éventuelles de responsabilité
du prestataire de services de dématérialisation ou de conservation; et
f) aux normes et aux procédures mises en œuvre ainsi que les caractéristiques techniques essentielles des
installations utilisées pour la réalisation des prestations.
Art. 7. Obligation au secret professionnel.
(1) Les administrateurs, les membres des organes directeurs et de surveillance, les dirigeants, les employés et les
autres personnes qui sont au service d’un prestataire de services de dématérialisation ou de conservation sont obligés
de garder strictement secrets tous les renseignements, originaux, documents et copies confiés à eux dans le cadre de
leur activité professionnelle, à l’exception de ceux dont le détenteur a accepté ou demandé la révélation. La révélation
de tels renseignements est punie des peines prévues à l’article 458 du Code pénal.
(2) L’obligation au secret cesse lorsque la révélation d’un renseignement est autorisée ou imposée par ou en vertu
d’une disposition législative, même antérieure à la présente loi.
(3) L’obligation au secret professionnel n’existe pas à l’égard de l’ILNAS agissant dans le cadre de ses compétences
légales.
(4) Sous réserve des règles applicables en matière pénale, les renseignements visés au paragraphe 1er, une fois révélés,
ne peuvent être utilisés qu’à des fins pour lesquelles la loi a permis leur révélation.
Art. 8. Propriété, sûretés et garanties sur les matériels et supports de conservation électronique.
Le prestataire de services de dématérialisation ou de conservation qui fournit des services de conservation
électronique doit garantir qu’à tout moment au moins un exemplaire de toutes les copies à valeur probante et des
originaux numériques qu’il conserve pour compte des détenteurs soit placé sur des matériels ou supports dont il a
la pleine propriété. Il ne peut donner en garantie ou constituer de sûreté sur ces matériels ou supports. Les sûretés
et garanties constituées en violation du présent alinéa sont nulles de plein droit. Ces matériels ou supports sont
insaisissables tant que les copies probantes ou les originaux numériques n’ont pas été restitués aux détenteurs.
Ne sont pas visés par les dispositions du présent article les matériels ou supports sur lesquels le prestataire de
services de dématérialisation ou de conservation conserve d’éventuels autres exemplaires de copies probantes ou
originaux numériques pour compte des détenteurs.
Art. 9. Transfert et cessation des activités.
(1) Le prestataire de services de dématérialisation ou de conservation peut transférer à un autre prestataire de
services de dématérialisation ou de conservation tout ou partie de ses activités.
(2) Le transfert des copies à valeur probante ou des originaux numériques est opéré, avec l’accord du détenteur,
aux conditions suivantes:
a) Le prestataire de services de dématérialisation ou de conservation avertit le détenteur au moins un mois à
l’avance qu’il envisage de cesser son activité de prestataire de services de dématérialisation ou de conservation
et de transférer ses copies à valeur probante ou ses originaux numériques.
b) Il précise en même temps l’identité du prestataire de services de dématérialisation ou de conservation auquel le
transfert des copies à valeur probante ou originaux numériques est envisagé.
c) Il indique en même temps au détenteur qu’il dispose du droit de refuser le transfert envisagé, ainsi que les
modalités selon lesquelles il peut exprimer un tel refus. En cas de refus du détenteur, le prestataire de services
de dématérialisation ou de conservation restituera à ce dernier, respectivement à tout prestataire de services
de dématérialisation ou de conservation ou à tout tiers désigné par le détenteur, toute copie à valeur probante
ou tout original numérique lui appartenant ainsi que toute information relative à la dématérialisation et à la
conservation des copies à valeur probante et des originaux numériques.
d) Le transfert a lieu au plus tard à la date de cessation des activités du prestataire de services de dématérialisation
ou de conservation.
(3) Le prestataire de services de dématérialisation ou de conservation qui cesse ses activités sans que celles-ci soient
reprises par un autre prestataire de services de dématérialisation ou de conservation, prend les mesures nécessaires à la
restitution au détenteur, à tout prestataire de services de dématérialisation ou de conservation ou à tout tiers désigné
par celui-ci, dans de bonnes conditions de toute copie à valeur probante ou tout original numérique lui appartenant.
Il doit par ailleurs restituer toute information relative à la dématérialisation et à la conservation des copies à valeur
probante ou des originaux numériques.
(4) Le prestataire de services de dématérialisation ou de conservation qui a l’intention de mettre fin à ses activités
ou qui se trouve dans l’incapacité de pouvoir poursuivre ses activités en informe immédiatement l’ILNAS. Il s’assure,
dans un délai de trois mois, de la reprise de celles-ci par un autre prestataire de services de dématérialisation ou de
Mémorial A – N° 150 du 4 août 2015
3061
conservation, dans les conditions prévues au paragraphe 2 ou, à défaut, prend les mesures prévues au paragraphe 3 et
en informe l’ILNAS.
Chapitre 3. – Sanctions.
Art. 10. Sanctions pénales.
Sont punis d’une amende de 251 à 125.000 euros les personnes qui ont utilisé dans leur dénomination sociale, leur
nom commercial ou toute communication commerciale la dénomination de prestataire de services de dématérialisation
ou de conservation ou l’acronyme PSDC sans être inscrites sur la liste visée au paragraphe 3 de l’article 4 de la présente
loi.
Chapitre 4. – Dispositions modificatives.
Art. 11. Modifications du Code civil.
(1) L’article 1333 du Code civil est complété comme suit:
«Le présent article ne s’applique pas aux copies sous forme numérique qui sont des copies à valeur probante au
sens de la loi.»
(2) Après l’article 1334 du Code civil, il est ajouté un article 1334-1 ainsi rédigé:
«Les copies sous forme numérique qui sont effectuées par un prestataire de services de dématérialisation ou de
conservation ont, sauf preuve contraire, la même valeur probante que l’original ou l’acte faisant foi d’original.
Une copie ne peut être rejetée par le juge au seul motif qu’elle se présente sous forme électronique ou qu’elle n’a
pas été réalisée par un prestataire de services de dématérialisation.».
Art. 12. Modifications du Code de commerce.
L’article 16 du Code de commerce est complété comme suit:
«Les copies sous forme numérique qui sont effectuées par un prestataire de services de dématérialisation ou de
conservation ont, sauf preuve contraire, la même valeur probante que l’original ou l’acte faisant foi d’original.
Une copie ne peut être rejetée par le juge au seul motif qu’elle se présente sous forme électronique ou qu’elle n’a
pas été réalisée par un prestataire de services de dématérialisation.».
Art. 13. Modifications de la loi modifiée du 5 avril 1993 relative au secteur financier.
La loi modifiée du 5 avril 1993 relative au secteur financier est modifiée comme suit:
(1) Au paragraphe 1er de l’article 29-1, sont ajoutés à la fois dans la phrase introductive et au premier tiret après les
mots «d’établissements de paiement,» les mots «d’établissements de monnaie électronique,».
(2) Au paragraphe 1er de l’article 29-2 et de l’article 29-3, sont ajoutés après les mots «établissements de paiement,»
les mots «établissements de monnaie électronique,».
(3) Le paragraphe 1er de l’article 29-4 est modifié comme suit:
a) au premier alinéa, sont ajoutés après les mots «établissements de paiement,» les mots «établissements de
monnaie électronique,» et
b) au dernier alinéa, sont ajoutés après les mots «à l’établissement de paiement,» les mots «à l’établissement de
monnaie électronique,».
(4) Sont ajoutés les articles 29-5 et 29-6 nouveaux de la teneur suivante:
«Art. 29-5. Les prestataires de services de dématérialisation du secteur financier.
(1) Sont prestataires de services de dématérialisation du secteur financier, les prestataires de services de
dématérialisation ou de conservation au sens de la loi du 25 juillet 2015 relative à l’archivage électronique qui
sont en charge de la dématérialisation de documents pour compte d’établissements de crédit, PSF, établissements
de paiement, établissements de monnaie électronique, OPC, FIS, sociétés d’investissement en capital à risque,
fonds de pension, organismes de titrisation agréés, entreprises d’assurance ou entreprises de réassurance, de
droit luxembourgeois ou de droit étranger.
(2) L’agrément pour l’activité de prestataire de services de dématérialisation du secteur financier ne peut être
accordé qu’à des personnes morales. Il est subordonné à la justification d’un capital social d’une valeur de 50.000
euros au moins.
(3) La CSSF et l’ILNAS collaborent aux fins de l’accomplissement de leurs missions respectives de surveillance
des prestataires de services de dématérialisation du secteur financier.
Art. 29-6. Les prestataires de services de conservation du secteur financier.
(1) Sont prestataires de services de conservation du secteur financier, les prestataires de services de
dématérialisation ou de conservation au sens de la loi du 25 juillet 2015 relative à l’archivage électronique qui
sont en charge de la conservation de documents numériques pour compte d’établissements de crédit, PSF,
établissements de paiement, établissements de monnaie électronique, OPC, FIS, sociétés d’investissement en
capital à risque, fonds de pension, organismes de titrisation agréés, entreprises d’assurance ou entreprises de
réassurance, de droit luxembourgeois ou de droit étranger.
Mémorial A – N° 150 du 4 août 2015
3062
(2) L’agrément pour l’activité de prestataire de services de conservation du secteur financier ne peut être
accordé qu’à des personnes morales. Il est subordonné à la justification d’un capital social d’une valeur de 125.000
euros au moins.
(3) La CSSF et l’ILNAS collaborent aux fins de l’accomplissement de leurs missions respectives de surveillance
des prestataires de services de conservation du secteur financier.
(4) Ne relèvent pas du présent article les activités de simple stockage de données qui ne consistent pas à
conserver une copie à valeur probante ou un original numérique au sens de la loi précitée du 25 juillet 2015 en
garantissant son intégrité.»
(5) L’article 41, paragraphe 5 est modifié comme suit:
«(5) L’obligation au secret n’existe pas à l’égard des établissements de crédit et des PSF de support lorsque les
renseignements communiqués à ces professionnels sont fournis dans le cadre d’un contrat de services.»
Chapitre 5. – Dispositions transitoires et finales.
Art. 14. L’ILNAS est autorisé à procéder au cours de l’année 2015 par dérogation aux paragraphes 1er et 2 de
l’article 24 de la loi du 19 décembre 2014 concernant le budget des recettes et des dépenses de l’Etat pour l’exercice
2015 et par dépassement des plafonds prévus dans cette loi, aux engagements supplémentaires de trois employés de
la carrière supérieure.
Art. 15. Les copies et originaux numériques créés et conservés par un organisme dont c’est une des missions en
vertu de dispositions légales existantes, sous le contrôle d’une autorité publique distincte et préalablement à l’entrée en
vigueur de la présente loi, sont des copies à valeur probante et originaux numériques au sens de la présente loi, créés
et conservés conformément aux dispositions du règlement grand-ducal du 25 juillet 2015 relatif à la dématérialisation
et à la conservation des documents à condition de signer électroniquement au sens de l’article 1322-1 du Code civil ces
copies et originaux numériques endéans les 24 mois qui suivent l’entrée en vigueur de la présente loi.
Art. 16. Dans toute disposition légale ou réglementaire future, la référence à la présente loi pourra se faire sous
une forme abrégée en utilisant les termes de «loi du 25 juillet 2015 relative à l’archivage électronique».
Mandons et ordonnons que la présente loi soit insérée au Mémorial pour être exécutée et observée par tous ceux
que la chose concerne.
Cabasson, le 25 juillet 2015.
Henri
Le Ministre de l’Économie,
Étienne Schneider
Doc. parl. 6543; sess. ord. 2012-2013; sess. extraord. 2013 et sess. ord. 2014-2015.
Règlement grand-ducal du 25 juillet 2015 portant exécution de l’article 4, paragraphe 1er
de la loi du 25 juillet 2015 relative à l’archivage électronique.
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Vu la loi du 25 juillet 2015 relative à l’archivage électronique et notamment son article 4, paragraphe 1er;
Vu les avis de la Chambre de commerce et de la Chambre des métiers;
Notre Conseil d’État entendu;
Sur le rapport de Notre Ministre de l’Économie et après délibération du Gouvernement en conseil:
Arrêtons:
Art. 1er. La certification des prestataires de services de dématérialisation ou de conservation prévue à l’article 4,
paragraphe 1er de la loi du 25 juillet 2015 relative à l’archivage électronique intervient selon les conditions et modalités
de l’annexe.
Art. 2. Le présent règlement grand-ducal entre en vigueur le premier jour du troisième mois qui suit sa publication
au Mémorial.
Art. 3. Notre Ministre de l’Économie est chargé de l’exécution du présent règlement qui sera publié au Mémorial.
Cabasson, le 25 juillet 2015.
Henri
Le Ministre de l’Économie,
Étienne Schneider
Mémorial A – N° 150 du 4 août 2015
3063
ANNEXE
Règle technique d’exigences et de mesures pour la certification
des Prestataires de Services de Dématérialisation ou de Conservation (PSDC)
Historique du document
Version #
Date de publication
Règle technique PSDC
1.0
05.06.2012
Le référentiel PSDC est validé comme règle technique
PSDC.
Version initiale de la règle technique.
1.1
12.06.2012
Correction de fautes.
1.2
19.12.2012
Adaptation au nouveau cadre légal national de la règle
technique d’exigences et de mesures pour la certification
des PSDC.
1.3
04.02.2013
Changement d’adresse.
2.0
16.06.2014
Mise à jour, suite à la mise à jour des normes
internationales ISO/IEC 27001:2013 et ISO/IEC 27002:2013.
2.1
11.12.2014
Mise à jour suite à l’avis du Conseil d’Etat
0
Détails des changements effectués
Table des matières
0 Table des matières . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3063
1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3064
2 Domaine d’application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3064
3 Références normatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3065
4 Termes, définitions, abréviations et structure de la règle technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3065
4.1 Termes et définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3065
4.2 Abréviations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3067
4.3 Structure de la règle technique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3068
5 Concepts généraux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3068
5.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3068
5.2 Approche processus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3069
5.3 Concepts clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3069
5.3.1 Processus de dématérialisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3069
5.3.2 Processus de conservation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3070
5.3.3 Principes de sécurité de l’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3071
6 Système de Management de la Sécurité de l’Information (SMSI) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3072
6.1 Exigences générales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3072
6.2 Contexte de l’organisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3072
6.3 Leadership . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3072
6.4 Planification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3073
6.5 Evaluation de la performance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3074
6.6 Amélioration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3074
7 Objectifs et mesures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3074
Annexe A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3103
Annexe B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3104
Annexe C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3104
Annexe D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3112
Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3113
Mémorial A – N° 150 du 4 août 2015
3064
1 Introduction
La loi relative à l’archivage électronique du 25 juillet 2015 [en préparation] dispose qu’une personne peut, si elle
détient une certification selon les exigences et les mesures définies dans la règle technique d’exigences et de mesures
pour la certification des Prestataires de Services de Dématérialisation ou de Conservation (PSDC), en regard de
l’exécution de ses processus de dématérialisation ou de conservation, procéder à une notification auprès de l’Institut
Luxembourgeois de la Normalisation, de l’Accréditation, de la Sécurité et Qualité des Produits et Services (ci-après
«ILNAS»), en vue d’obtenir le statut de «PSDC».
Si les critères de vérification établis par la loi relative à l’archivage électronique et par le système qualité ad hoc
de l’ILNAS (Département de la confiance numérique) sont validés, l’ILNAS procèdera à l’inscription de la personne
concernée dans la liste des PSDC (précisant les processus relatifs à la certification) établissant ainsi le statut de «PSDC».
Tout événement ou incident significatif détecté et tout changement majeur relatif à la portée de la certification, doit
obligatoirement être notifié à l’ILNAS. Tout retrait, suspension ou non renouvellement de la certification entraîne de
facto le retrait du statut de «PSDC».
Ce statut de «PSDC» demeure volontaire, sauf disposition réglementaire ou sectorielle l’imposant.
NOTE 1: Par le terme «dématérialisation», il faut comprendre la numérisation des documents analogiques (non
numériques) et le contrôle des résultats de la numérisation aussi longtemps que nécessaire. Un processus de
dématérialisation doit donc être compris comme un processus composé de processus sous-jacents consistant à
numériser des documents analogiques et à contrôler les résultats de la numérisation aussi longtemps que nécessaire.
NOTE 2: Par le terme «conservation», il faut comprendre la création et la préservation d’archives numériques dans
le temps. Un processus de conservation doit donc être compris comme un processus composé de processus sousjacents consistant à créer et à préserver des archives numériques dans le temps.
La certification effective selon la règle technique d’exigences et de mesures pour la certification des PSDC de toute
personne permet la demande du statut de Prestataire de Services de Dématérialisation ou de Conservation (ci-après
«PSDC») délivré par le Département de la confiance numérique de l’ILNAS et qui se décline de la manière suivante:
·
PSDC-DC: prestataire de services de dématérialisation et de conservation
·
PSDC-D: prestataire de services de dématérialisation
PSDC-C: prestataire de services de conservation.
L’ILNAS reconnaît formellement, via ce statut, la personne concernée en tant que «PSDC».
La personne certifiée doit être en mesure de garantir les résultats de l’exécution des processus de dématérialisation
ou de conservation pour lesquels elle a obtenu la certification. Cela signifie que les documents numériques résultants
de la numérisation des documents analogiques et les archives numériques seront reconnus comme conformes à la
règle technique d’exigences et de mesures pour la certification des Prestataires de Services de Dématérialisation ou
de Conservation (PSDC).
Ainsi une copie sera présumée être conforme à l’original lorsqu’elle sera certifiée comme telle par un Prestataire de
Services de Dématérialisation ou de Conservation.
La règle technique d’exigences et de mesures des PSDC est applicable à toute organisation publique ou privée,
indépendamment de son type, de sa taille, de ses processus ou de ses activités, pour ses besoins internes ou dans le
cadre de services proposés à ses clients.
La présente règle technique a été définie à partir de normes internationales publiées et maintenues par l’Organisation
Internationale de Normalisation (ci-après «ISO»).
La présente règle technique doit donc être considérée comme un supplément à ces normes en amendant et
complétant leur contenu spécifiquement aux processus de dématérialisation et de conservation.
·
2 Domaine d’application
La présente règle technique définit des exigences et des mesures permettant à une organisation d’établir une gestion
de la sécurité de l’information et une gestion opérationnelle spécifiques aux processus de dématérialisation et de
conservation.
Du point de vue de la gestion de la sécurité de l’information, la présente règle technique se base sur les Normes
internationales ISO/IEC 27001:2013 et ISO/IEC 27002:2013 de manière à ce qu’une organisation puisse être en mesure
de définir, d’implémenter, de maintenir et d’améliorer:
a) un Système de Management de la Sécurité de l’Information (ci-après «SMSI») basé sur la Norme internationale
ISO/IEC 27001:2013 et intégrant les processus de dématérialisation ou de conservation.
b) des objectifs et des mesures de la sécurité de l’information basés sur la Norme internationale ISO/IEC 27002:2013
et spécifiques aux processus de dématérialisation ou de conservation.
Du point de vue de la gestion opérationnelle, la présente règle technique intègre les grands principes de la Norme
internationale ISO 30301:2011 [1].
La présente règle technique est utilisée pour les audits d’évaluation de conformité d’une organisation exécutant des
processus de dématérialisation ou de conservation.
Mémorial A – N° 150 du 4 août 2015
3065
Ces audits doivent être effectués par des organismes d’évaluation de conformité indépendants, tandis que l’ILNAS
est la seule autorité nationale luxembourgeoise habilitée à conférer à une organisation un statut de «PSDC-DC»,
«PSDC-D» ou «PSDC-C».
NOTE:
Comme indiqué précédemment, les grands principes de la Norme internationale ISO 30301:2011 ont été intégrés dans la
présente règle technique. Il est à noter que cette norme adresse essentiellement la problématique de la conservation et non de la
dématérialisation.
Afin d’assurer une consistance générale dans la définition des exigences et des mesures de la présente règle technique, ces grands
principes ont été également adaptés autant que possible à la problématique de la dématérialisation afin d’adresser ce domaine selon
l’approche adoptée pour la conservation.
La Norme internationale ISO 30301:2011 n’est pas indispensable à l’organisation dans l’application de la présente règle technique.
3 Références normatives
Les documents de référence suivants sont indispensables pour l’application de la présente règle technique.
Pour les références datées, seule l’édition citée s’applique. Pour les références non datées, la dernière édition du
document de référence s’applique (y compris les éventuels amendements).
ISO/IEC 27001:2013, Technologies de l’information -- Techniques de sécurité -- Systèmes de gestion de la sécurité de
l’information -- Exigences
ISO/IEC 27002:2013, Technologies de l’information -- Techniques de sécurité -- Code de bonne pratique pour la gestion de
la sécurité de l’information
4 Termes, définitions, abréviations et structure de la règle technique
4.1 Termes et définitions
Pour les besoins de la présente règle technique, les termes et définitions suivants s’appliquent:
4.1.1
actif
tout élément représentant de la valeur pour l’organisation
NOTE 1: Il existe plusieurs sortes d’actifs, dont:
a) l’information (4.1.8)
b) les documents (4.1.6)
c) les archives (4.1.3)
d) les actifs techniques, par exemple un scanner, un serveur ou des disques durs
e) les actifs techniques immatériels, par exemple des unités de stockage virtuelles
f) le personnel d’une organisation
g) les actifs incorporels, par exemple la réputation et l’image
NOTE 2: Définition adaptée de l’ISO/IEC 30300:2011, définition 3.1.2.
4.1.2
analogique
non numérique
NOTE: Un support de stockage analogique est un support de stockage non numérique, comme par exemple le papier, le film
argentique ou le disque vinyle.
4.1.3
archivage électronique
conservation d’archives numériques sur support électronique en vue de leur utilisation pérenne
4.1.4
archive
document conservé en l’état en vue d’une utilisation pérenne
NOTE: Définition adaptée de l’ISO/IEC 30300:2011, définition 3.1.1.
4.1.5
certification pouvant ouvrir au statut de «PSDC»
procédure par laquelle un organisme de certification (accrédité par l’organisme national d’accréditation ou tout
autre organisme d’accréditation reconnu en tant que tel par l’OLAS) évalue la conformité d’une personne comme
Mémorial A – N° 150 du 4 août 2015
3066
étant conforme pour exercer une activité de dématérialisation ou de conservation, aux exigences de la règle technique
d’exigences et de mesures pour la certification des Prestataires de Services de Dématérialisation ou de Conservation.
4.1.6
conservation
la création et la préservation d’archives numériques dans le temps
NOTE 1: Un processus de conservation est composé de processus sous-jacents consistant à créer et à préserver des archives
numériques dans le temps.
NOTE 2: Définition adaptée de l’ISO 15489-1:2001, définition 3.14.
4.1.7
dématérialisation
la numérisation des documents analogiques et le contrôle des résultats de la numérisation aussi longtemps que
nécessaire
NOTE: Un processus de dématérialisation est composé de processus sous-jacents consistant à numériser des documents
analogiques et à contrôler les résultats de la numérisation aussi longtemps que nécessaire.
4.1.8
document
information ou objet documentaire enregistré qui peut être traité comme une unité
[ISO 15489-1:2001]
4.1.9
établissement
définition, mise en œuvre ou en exploitation, maintenance et amélioration
NOTE: L’établissement d’un processus de dématérialisation correspond à sa définition, mise en œuvre, maintenance et
amélioration.
4.1.10
indexation
définition de points d’accès pour faciliter la recherche des documents
NOTE 1: La génération de métadonnées liées aux documents numériques et aux archives numériques est généralement utilisée
pour faciliter leur recherche.
NOTE 2: Définition adaptée de l’ISO 15489-1:2001, définition 3.11.
4.1.11
information
savoir ou données représentant de la valeur pour l’organisation
NOTE: Définition adaptée de l’ISO/IEC 27000:2009, définition 2.18.
4.1.12
intégrité
propriété de protection de l’exactitude et de la complétude des actifs
[ISO 27000:2009]
4.1.13
métadonnées
données décrivant le contexte, le contenu et la structure des documents ainsi que leur gestion dans le temps
NOTE: Définition adaptée de l’ISO/IEC 30300:2011, définition 3.1.6.
4.1.14
prestataire de services de dématérialisation ou de conservation (PSDC)
statut attribué par l’ILNAS à une organisation exerçant à titre principal ou secondaire, pour ses propres besoins ou
dans le cadre de services proposés à ses clients, des processus de dématérialisation ou de conservation formellement
reconnus par l’ILNAS comme conformes aux exigences et aux mesures définies dans la présente règle technique
Mémorial A – N° 150 du 4 août 2015
3067
NOTE:
a) Une organisation ayant obtenu le statut de «PSDC-DC» par l’ILNAS signifie qu’elle exécute des processus de dématérialisation
et de conservation conformes aux exigences et aux mesures définies dans la présente règle technique.
b) Une organisation ayant obtenu le statut de «PSDC-D» par l’ILNAS signifie qu’elle exécute uniquement un processus de
dématérialisation conforme aux exigences et aux mesures définies dans la présente règle technique.
c) Une organisation ayant obtenu le statut de «PSDC-C» par l’ILNAS signifie qu’elle exécute uniquement un processus de
conservation conforme aux exigences et aux mesures définies dans la présente règle technique.
4.1.15
preuve
document démontrant l’effectivité d’une opération
NOTE 1: La preuve d’une opération signifie qu’il peut être démontré qu’elle a été créée dans le cadre normal de la conduite de
l’activité de l’organisation et qu’elle est intacte et complète. Ne se limite pas au sens légal du terme.
NOTE 2: Définition adaptée de l’ISO/IEC 30300:2011, définition 3.1.5.
4.1.16
processus
ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie
[ISO 9000:2005]
4.1.17
système
ensemble d’actifs techniques corrélés ou interactifs
NOTE 1:
a) Un système spécifique aux processus de dématérialisation ou de conservation sera dénommé système de dématérialisation
ou de conservation (ci-après «SDC»)
b) Un système spécifique aux processus de dématérialisation et de conservation sera dénommé système de dématérialisation et
de conservation (ci-après «SDC-DC»)
c) Un système spécifique au processus de dématérialisation sera dénommé système de dématérialisation (ci-après «SDC-D»)
d) Un système spécifique au processus de conservation sera dénommé système de conservation (ci-après «SDC-C»)
NOTE 2: Définition adaptée de l’ISO 9000:2005
4.1.18
traçabilité
fait de créer, d’enregistrer et de préserver les données relatives aux mouvements et à l’utilisation des documents
analogiques et numériques et des archives numériques
NOTE: Définition adaptée de l’ISO 15489-1:2001, définition 3.19
4.2 Abréviations
Dans la présente règle technique, les abréviations suivantes s’appliquent:
DdA
Déclaration d’Applicabilité (terme anglais: Statement of Applicability (SoA)), Déclaration relative
à l’applicabilité des objectifs et mesures de sécurité
DPI
Dots Per Inch (terme anglais)
L2TP
Layer 2 Tunneling Protocol (terme anglais)
IPSec
Internet Protocol Security (terme anglais)
OID
Object Identifier (terme anglais)
PPP
Point to Point Protocol (terme anglais)
PSDC
Prestataire de Services de Dématérialisation ou de Conservation
PSDC-DC
Prestataire de Services de Dématérialisation et de Conservation
PSDC-C
Prestataire de Services de Conservation
PSDC-D
Prestataire de Services de Dématérialisation
RT
Règle technique d’exigences et de mesures pour la certification des PSDC
SDC
Système de Dématérialisation ou de Conservation
SDC-DC
Système de Dématérialisation et de Conservation
Mémorial A – N° 150 du 4 août 2015
3068
SDC-C
Système de Conservation
SDC-D
Système de Dématérialisation
SFTP
SSH File Transfer Protocol (terme anglais)
SMSI
Système de Management de la Sécurité de l’Information
SSH
Secure SHell (terme anglais)
STD
Norme internationale ISO/IEC 27002:2013
TLS
Transport Layer Security (terme anglais)
UTC
Temps Universel Coordonné
4.3 Structure de la règle technique
La clause 5 décrit les processus de la dématérialisation et de conservation, ainsi que les principes de sécurité de
l’information à appliquer dans le cadre de l’établissement de ces processus.
La clause 6 définit les exigences relatives à l’établissement d’un Système de Management de la Sécurité de l’Information
(SMSI) basé sur la Norme internationale ISO/IEC 27001:2013 et spécifiques aux processus de dématérialisation ou de
conservation.
La clause 7 définit les objectifs et les mesures requises pour la gestion de la sécurité de l’information et de gestion
opérationnelle spécifiques aux processus de dématérialisation ou de conservation.
L’Annexe A indique les clauses de la Norme internationale ISO/IEC 27001:2013 pour lesquelles des exigences
complémentaires ont été définies dans la présente règle technique.
L’Annexe B énumère des exemples de risques liés à l’établissement des processus de dématérialisation ou de
conservation.
L’Annexe C décrit un tableau montrant les liens entre la Norme internationale ISO/IEC 27002:2013 et la présente
règle technique. Ce tableau énumère également les clauses, les objectifs de sécurité et les mesures de sécurité
à considérer par l’organisation dans le cadre de l’appréciation des risques liés à l’établissement des processus de
dématérialisation ou de conservation.
L’Annexe D décrit des exemples de niveaux de service liés à l’exécution des processus de dématérialisation ou de
conservation.
5 Concepts généraux
5.1 Introduction
La règle technique d’exigences et de mesures des PSDC est applicable à une organisation ou un groupement
d’organisations:
a) indépendamment du secteur d’activités de l’organisation;
b) indépendamment de la taille et de la complexité de l’organisation;
c) pour les besoins internes de l’organisation ou dans le cadre de services proposés à des clients;
La présente règle technique s’adresse à toute organisation qui:
a) collecte, numérise, stocke, exploite, restitue, transfère, détruit ou supprime des documents analogiques et
numériques ainsi que des archives numériques;
NOTE: La destruction s’applique aux documents analogiques et implique l’utilisation de moyens physiques comme une
déchiqueteuse. La suppression s’applique aux documents et archives numériques et implique l’utilisation de moyens applicatifs.
b) reconnaît l’importance de la gestion de ces documents et de ces archives, de l’information contenue dans ces
documents et ces archives et de leur nature;
c) est consciente des risques qui impactent ces documents et ces archives, sur les activités et les actifs de
l’organisation liés à ces documents et ces archives;
d) souhaite introduire une gestion du risque permettant d’identifier et d’évaluer les risques pouvant avoir un
impact sur l’organisation, les documents analogiques et numériques ainsi que les archives numériques gérés par
l’organisation;
e) souhaite mettre en œuvre des mesures de sécurité et des mesures opérationnelles adéquates pour protéger les
documents analogiques et numériques ainsi que les archives numériques gérés par l’organisation, et réduire ainsi
le niveau général du risque à un niveau acceptable.
La présente règle technique doit être utilisée par toute organisation qui souhaite:
a) définir, implémenter, maintenir et améliorer un SMSI, des mesures de sécurité et des mesures opérationnelles
afin de gérer correctement les risques liés aux processus de dématérialisation ou de conservation;
b) s’assurer de la conformité de sa gestion de la sécurité de l’information et de sa gestion opérationnelle liées aux
processus de dématérialisation ou de conservation;
Mémorial A – N° 150 du 4 août 2015
3069
c) démontrer la conformité de sa gestion de la sécurité de l’information et de sa gestion opérationnelle liées aux
processus de dématérialisation ou de conservation en demandant auprès de l’ILNAS l’obtention du statut de
«PSDC-DC», «PSDC-D» ou «PSDC-C».
5.2 Approche processus
La gestion de la dématérialisation et de la conservation doit être organisée selon une approche «processus»,
permettant ainsi:
a) de définir pour chacun de ces domaines un ensemble de processus;
b) d’y associer un ensemble d’activités corrélées et interactives;
c) de pouvoir améliorer l’ensemble de manière continue tant sur le plan de la sécurité de l’information que du point
de vue opérationnel.
5.3 Concepts clés
Les processus de dématérialisation et de conservation peuvent être définis respectivement de la manière suivante:
5.3.1 Processus de dématérialisation
Le processus de dématérialisation est composé de processus sous-jacents tels que présentés dans le diagramme
suivant:
Stockage temporaire des
documents analogiques
Documents analogiques
Système de
dématérialisation
SDC (D)
Documents numériques
Collecte des documents
analogiques
Création et stockage
temporaire des
documents numériques
Restitution, transfert,
destruction éventuelle des
documents analogiques et
suppression des
documents numériques
Processus sous-jacents au processus de dématérialisation
Figure 1: Processus de dématérialisation et processus sous-jacents
Processus sous-jacents au processus de dématérialisation
a) collecte des documents analogiques
Ce processus correspond à la récupération des documents analogiques par l’organisation, ou à la soumission
de ces derniers, par le client (interne ou externe à l’organisation) et à leur stockage dans un site sous la
responsabilité de l’organisation.
b) création et stockage temporaire des documents numériques
Ce processus correspond:
1. à la préparation des documents analogiques en vue de leur numérisation,
2. à la conversion de ces documents au format numérique (opération de numérisation) et à l’association de
métadonnées aux documents numériques,
Mémorial A – N° 150 du 4 août 2015
3070
3. au stockage temporaire des documents numériques.
NOTE: Le mot temporaire doit être compris comme une période inférieure à la durée légale de rétention des documents.
c) stockage temporaire des documents analogiques
Ce processus correspond au stockage des documents analogiques dans un site géré par l’organisation en attente
(dans un premier temps) de leur numérisation et (dans un second temps) en attente de leur restitution au client
(interne ou externe à l’organisation) ou de leur destruction éventuelle.
NOTE: Le mot temporaire doit être compris comme une période inférieure à la durée légale de rétention des documents.
d) restitution, transfert, destruction éventuelle des documents analogiques et suppression des documents
numériques
Ce processus correspond:
1. à la restitution des documents analogiques et numériques par l’organisation auprès du bénéficiaire ou à leur
récupération par ce dernier
2. au transfert des documents analogiques et numériques par l’organisation auprès d’un tiers
3. à la destruction éventuelle des documents analogiques par l’organisation
4. à la suppression des documents numériques par l’organisation.
Système de dématérialisation SDC-D
Système composé d’un ensemble d’actifs techniques permettant la création des documents numériques à partir
des documents analogiques, le stockage temporaire des documents analogiques et numériques, leur restitution, leur
transfert, la destruction éventuelle des documents analogiques et la suppression des documents numériques.
5.3.2 Processus de conservation
Le processus de conservation est composé de processus sous-jacents tels que présentés dans le diagramme suivant:
Documents numériques
Système de
conservation
SDC (C)
Archives numériques
Collecte des
documents
numériques
Création et
conservation des
archives numériques
Restitution, transfert et
suppression des
archives numériques
Processus sous-jacents au processus de conservation
Figure 2: Processus de conservation et processus sous-jacents
Processus sous-jacents au processus de conservation
a) collecte des documents numériques
Ce processus correspond à la récupération des documents numériques par l’organisation ou à leur soumission
par le client (interne ou externe à l’organisation) et à leur versement dans le SDC-C pour traitement.
b) création et conservation des archives numériques
Ce processus correspond:
1. à la préparation des documents numériques en vue de leur archivage,
2. à la conversion de ces documents en archives numériques et à l’association de métadonnées aux archives
numériques ainsi créées
NOTE 1: la principale différence entre un document numérique et une archive numérique est que cette dernière contient
des informations figées, c’est-à-dire un contenu qui n’est plus modifié à partir du moment où cette archive est créée. Il
Mémorial A – N° 150 du 4 août 2015
3071
convient également de créer une archive numérique de telle manière à pouvoir y associer un ensemble de métadonnées
destinées en particulier à suivre son évolution dans le temps.
NOTE 2: Les Normes internationales ISO 14721:2012 [2], ISO/IEC 15489-1:2001 [3] ISO 23081-1:2006 et ISO230812:2009 [4] décrivent des lignes directrices en matière de gestion des métadonnées associées à des documents numériques
ou des archives numériques.
3. à la conversion (si nécessaire et à la demande du client) des archives numériques dans un format différent de
leur format initial
4. à la suppression des documents numériques dont le versement dans le SDC-C a été confirmé
5. à la conservation des archives numériques aussi longtemps que nécessaire.
c) restitution, transfert et suppression des archives numériques
Ce processus correspond:
1. à la restitution partielle ou totale des archives numériques par l’organisation auprès du client ou à leur
récupération partielle ou totale par ce dernier;
NOTE: Le mot partiel doit être compris comme des informations liées à l’archive numérique et non l’archive
numérique en tant que telle.
La restitution partielle d’une archive numérique peut par exemple correspondre à la transmission par le SDC-C
d’informations liées à l’existence de cette archive en réponse à une requête soumise par un client souhaitant disposer
d’une confirmation de son archivage effectif.
2. au transfert des archives numériques par l’organisation auprès d’un tiers;
3. à la suppression des archives numériques par l’organisation.
Système de conservation SDC-C
Système composé d’un ensemble d’actifs techniques permettant le stockage temporaire des documents numériques
en vue de leur archivage, leur conversion en archives numériques, leur suppression et la conservation des archives
numériques aussi longtemps que nécessaire, leur exploitation, leur restitution partielle ou totale, leur transfert et leur
suppression.
5.3.3 Principes de sécurité de l’information
L’établissement des processus de dématérialisation ou de conservation au sein d’une organisation nécessite la
conformité aux principes suivants de la sécurité de l’information afin de garantir une confidentialité, une intégrité et
une disponibilité des documents analogiques et numériques et des archives numériques aussi longtemps que nécessaire:
Authenticité
L’organisation doit pouvoir démontrer que toutes les activités effectuées dans le cadre de l’établissement des
processus de dématérialisation ou de conservation sont authentiques, à savoir que l’organisation peut prouver que:
a) le document analogique ou numérique a bien été transmis par la personne qui est supposée l’avoir transmis;
b) le document numérique résultant de la numérisation d’un document analogique ou l’archive numérique a bien
été créé par la personne ou le système au moment présumé;
c) le document numérique ou l’archive numérique est bien ce qu’il est supposé être.
Fiabilité
L’organisation doit pouvoir démontrer que:
a) toutes les activités effectuées dans le cadre de l’établissement des processus de dématérialisation ou de
conservation sont fiables, c’est-à-dire exécutées conformément aux politiques et aux procédures définies et
mises en œuvre par l’organisation en la matière;
b) le document numérique ou l’archive numérique créé et exploité est conforme et non modifié de son état original
ou par des modifications non autorisées.
Exploitation
L’exploitation des processus de dématérialisation ou de conservation doit pouvoir permettre de créer un document
numérique ou une archive numérique qui soit à tout moment localisable, lisible, intelligible, utilisable avec les
informations nécessaires à la compréhension de son origine et disponible aussi longtemps que nécessaire.
L’organisation doit par conséquent définir et mettre en œuvre des politiques et des procédures pour contrôler
la collecte, la création, le stockage, la conservation, l’exploitation, la restitution partielle ou totale, le transfert,
la destruction éventuelle de documents analogiques et la suppression de documents numériques ou d’archives
numériques de manière à s’assurer de leur origine, de leur protection contre les accès, modifications, altérations,
destructions et suppressions non autorisées, de leur utilisation et de leur disponibilité aussi longtemps que nécessaire.
Mémorial A – N° 150 du 4 août 2015
3072
6 Système de Management de la Sécurité de l’Information (SMSI)
Pour pouvoir prétendre à l’obtention par l’ILNAS du statut de «PSDC-DC», «PSDC-D» ou «PSDC-C», l’organisation
doit se conformer à l’ensemble des exigences de la présente clause 6, relative à l’établissement, l’implémentation, la
maintenance et l’amélioration continue d’un SMSI basé sur la Norme internationale ISO/IEC 27001:2013 et spécifiques
aux processus de dématérialisation ou de conservation.
6.1 Exigences générales
L’organisation doit établir, définir, implémenter, maintenir et améliorer un SMSI afin de gérer les risques liés aux
processus de dématérialisation ou de conservation.
L’établissement de ce SMSI doit respecter l’ensemble des exigences de la sécurité de l’information spécifiées dans:
a) la Norme internationale ISO/IEC 27001:2013, en particulier aux clauses suivantes du standard:
4. Contexte de l’organisation
5. Responsabilité de la Direction
6. Planification
7. Support
8. Mise en œuvre
9. Evaluation des performances
10. Amélioration
b) la présente clause 6, complétant les exigences définies dans la Norme internationale ISO/IEC 27001:2013.
NOTE: L’Annexe A de la présente règle technique indique les clauses de la Norme internationale ISO/IEC 27001:2013 pour
lesquelles des exigences complémentaires ont été définies dans la présente règle technique.
L’organisation est libre d’intégrer les processus de dématérialisation ou de conservation dans un SMSI existant ou
de définir, d’implémenter, de maintenir et d’améliorer un SMSI spécifique à ces processus.
La clause 7 de la présente règle technique fournit des objectifs et des mesures de gestion de la sécurité de
l’information et de gestion opérationnelle qui doivent être appliqués dans le traitement de risques liés aux processus
de dématérialisation ou de conservation, en supplément des objectifs de sécurité et des mesures associées définis dans
la Norme internationale ISO/IEC 27002:2013.
6.2 Contexte de l’organisation
En complément des exigences définies à la clause 4 «Contexte de l’organisation» de la Norme internationale ISO/
IEC 27001:2013, l’organisation doit s’assurer:
a) de prendre en considération des facteurs internes et externes liés au processus de dématérialisation et de
conservation dans la compréhension de l’organisation et de son contexte;
b) de la bonne compréhension des exigences, des besoins et des attentes des intervenants dans le processus de
dématérialisation et de conservation;
c) que la définition du domaine d’application du SMSI, de ses limites et de la politique de sécurité intègre les
processus de dématérialisation et de conservation, ainsi que les actifs supportant ces processus.
6.3 Leadership
En complément des exigences définies à la clause 5.1 Implication de la direction de la Norme internationale ISO/IEC
27001:2013, la direction de l’organisation doit fournir:
a) la preuve de l’existence légale de l’organisation et de la stabilité de sa situatio …
Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.