Archivage légal : votre entreprise est-elle en règle ?
Publié par La rédaction le | Mis à jour le
Obligations réglementaires. casse-tête pour les entreprises qui oublient parfois l'archivage électronique. Pourtant, les pénalités de 5 pour mille ne sont pas négociables ! Explications avec Philippe Delahaye, directeur du développement chez CDC Arkhinéo.
Détenu à 100% par la Caisse des Dépôts et Consignations, CDC Arkhinéo se positionne en tiers de confiance archiveur.
Sa solution de Coffre-fort électronique assure la conservation sécurisée à long terme de tous types de documents électroniques (e-mails, factures, contrats, images-chèques, bulletins de salaire, etc.), ainsi que leur consultation/restitution immédiate et intègre. Conformément aux obligations qui s'imposent aux entreprises françaises.
Pouvez-vous revenir sur la législation concernant la force probante des documents électroniques ?
Reprenant une directive européenne de 1999, la loi française du 13 mars 2000 et ses décrets d'application accordent une reconnaissance légale à un écrit numérique en tant que preuve (via l'article 1316-1 du Code civil).
Toutefois, pour obtenir une force probante, l'écrit sur support numérique doit répondre à deux conditions : la possibilité de rattacher le document à une personne de façon certaine et la conservation de ce document dans des conditions garantissant son intégrité et les moyens de consultation appropriés.
Sont concernés tous les documents purement et nativement électroniques ayant fait l'objet d'une signature électronique (ou sans signature dans certains cas). Dans le cas de documents papier numérisés, seul le papier fait force de preuve.
Dès 1999, la Caisse des Dépôts et Consignations (CDC) lançait un projet afin de proposer aux propriétaires d'écrits électroniques de faire valoir leurs droits et de répondre à leurs obligations. Elle créait Arkhinéo en avril 2001, une société de droit privé (en quelque sorte une extension de la consignation aux écrits).
Aujourd'hui, nous totalisons un demi-milliard de documents numériques archivés.
Quelles obligations s'imposent aux entreprises concernant l'archivage de ces documents électroniques ? Et avec quelles pénalités ?
En application de l'article 28 de la loi sur la confiance numérique (LCEN), le décret du 18 février 2005 fixe à 120 euros le montant à partir duquel tout professionnel de la vente par contrat électronique est tenu d'assurer pendant 10 ans la conservation de « l'écrit qui constate la commande » et d'en permettre la consultation par le client.
L'article 289 du Code Général des Impôts définit trois formats de transmission électronique : l'EDI (fichiers structurés), un fichier PDF signé par signature électronique ou une facture libre (comme un PDF non signé, mais avec obligation d'en garantir l'authenticité, l'intégrité et la disponibilité depuis la création jusqu'à la fin de la conservation).
Ces dispositions sont d'autant plus importantes qu'une loi du 29 décembre 2012 a inversé la charge de la preuve. Désormais, c'est à l'entreprise de prouver qu'elle répond bien à ces contraintes, ce qui l'oblige à documenter ses processus pour pouvoir le démontrer.
Cette loi étend également le pouvoir de contrôle de l'administration fiscale qui peut intervenir juste pour contrôler que ses processus sont effectifs, via un audit.
Des pénalités fixées non négociables ont également été définies à hauteur de 5 pour 1000 du chiffre d'affaires de l'entreprise. Ce qui représente tout de même 100.000 euros pour 20 millions de CA. Notez que cela concerne uniquement les comptabilités informatisées.
Quels moyens matériels utilisez-vous ?
CDC Arkhinéo se positionne uniquement sur la conservation physique des données. Pour cela, nous disposons de notre propre infrastructure sécurisée utilisant nos deux datacenters de région parisienne avec une réplication en temps réel active/active et une sauvegarde vers notre datacenter de secours de Bordeaux.
Ces datacenters nous appartiennent et nous avons développé nos propres logiciels en utilisant des briques open source et notre code afin de rester indépendant de tout éditeur.
Nous avons par ailleurs déposé ce code chez un prestataire spécialisé, à même de déployer en un temps record toute la solution, sans pour autant avoir accès au code.
Avec quels logiciels ces informations sensibles sont-elles traitées ?
Afin de pouvoir fournir la preuve sans participer à son processus de création, Arkhinéo s'interdit d'intervenir en conseil ou autre accompagnement de ce type.
Pourtant, il y a bien un écosystème de partenaires ? Y compris les sociétés de services ?
Nous ne nouons pas de partenariat avec des sociétés de service. Ce sont ces prestataires qui nous appellent afin d'utiliser notre solution pour leurs clients. Et lorsque les entreprises nous contactent, c'est souvent dans le cadre d'un projet où intervient déjà un prestataire.
Lorsqu'une entreprise nous sollicite directement, nous lui indiquons une liste de plusieurs spécialistes.
80% de notre activité provient de partenariats avec des spécialistes de la dématérialisation (contrats, factures, fiches de paie.) comme Docapost BPO (avec qui nous avons plus de 70 clients communs) ou b-process (filiale de SAP/Ariba), entre autres. Arkhinéo a noué des partenariats avec d'autres spécialistes, comme Keynectis pour la signature électronique et l'horodatage (120 clients en commun).
Pour acheminer tous ces documents à des fins d'archivage, quel type d'intégration l'entreprise peut-elle mettre en place ?
Dans l'approche standard, le client dispose d'une Web API Arkhinéo qu'il intègre dans ses applicatifs. Cette bibliothèque de fonctions permet la mise en place des flux vers nos datacenters et l'accès en consultation en mode sécurisé (avec possibilité de différentes vérifications pour les audits : intégrité, identité, horodatage, chaînage des archives.).
Une démarche qui permet l'entreprise d'intégrer la solution dans ses politiques internes d'accès et de contrôle.
Les coûts sont de trois natures : les frais d'installation tenant compte des volumes, le coût de la conservation (une facture initiale pour toute la durée, 10 ans ou autres) et un coût d'abonnement à l'API uniquement pour la consultation (à l'acte et par paliers).
Cette API est proposée en direct ou en vente indirecte.
Pour quelles raisons développez-vous aujourd'hui de nouveaux partenariats, comme celui que vous avez noué avec salesforce.com ?
La dématérialisation entre de plus en plus dans les processus de type gestion de la relation client (CRM). Ainsi lorsqu'une affaire est gagnée, les éléments du contrat sont automatiquement générés avec possibilité d'intégrer la signature électronique.
Suite à l'accord avec salesforce.com, nous avons développé le code de l'application CDC Arkhinéo afin qu'il soit intégrable aux applications de cette plate-forme. Disponible depuis mai 2013, ce code est utilisable par les intégrateurs sur la plate-forme force.com (pour le développement) ou depuis la place de marché AppExchange pour une vente indirecte.
Dans ce modèle, nous proposons un prix à l'usage par utilisateur et par mois aussi bien pour la conservation que pour l'accès aux archives numériques. Tant que l'abonnement est payé, toutes ces fonctions restent accessibles.
Plusieurs entreprises sont déjà utilisatrices comme Docapost BPO, Keynectis, ou encore l'intégrateur français Devenson.
Cette API sous salesforce.com présente un avantage en permettant aux entreprises françaises d'échapper aux inconvénients du Patriot Act américain. Dans ce modèle hybride, le client n'envoie pas ces données à l'application salesforce.com, mais directement à CDC Arkhinéo. Ensuite, elles restent consultables sans modification par un utilisateur de salesforce. Toutefois les données ne quittent pas le territoire et ne transitent pas par le cloud de salesforce.com.
Voir aussi
Quiz Silicon.fr - Le vocabulaire du cloud