Experts-Comptables

Comment choisir un coffre-fort numérique ?

3 Juin 2019

De plus en plus d’opérateurs proposent des services de coffre-fort numérique. Toutes les offres ne se valent pas, tant s’en faut. Comment s’orienter parmi les outils disponibles sur le marché, quelles sont les premières questions à se poser et les règles à suivre pour sélectionner une solution adaptée en tous points à ses besoins ? Des pistes pour faire le bon choix et verrouiller ses orientations en toute sécurité.

Les bénéfices du coffre-fort électronique sont aujourd’hui bien connus – sécurité et simplicité du stockage, intégrité et authentification des documents, réduction des risques liés à la destruction ou au piratage, accessibilité et partage de l’information, etc. Ce service s’impose peu à peu dans le droit commun, avec un cadre juridique et normatif de plus en plus précis. La loi Travail et ses décrets d’application stipule ainsi que le salarié « pourra consulter tous ses bulletins de paie émis sous forme électronique via un coffre-fort intégré à son compte personnel d’activité » dont l’employeur ou le prestataire agissant pour son compte devra garantir l’accessibilité.

Cependant le foisonnement des offres, la multiplicité des usages et la complexité de certaines spécifications techniques peuvent rendre difficile le choix d’une telle solution, qui constitue pourtant une étape importante du processus de dématérialisation.

 

Que choisir, et pour quoi ?

Première question : que cherche-t-on, avant tout, quand on souhaite recourir à ce service ou le proposer à ses clients quand on est expert-comptable ?

Car le coffre-fort électronique n’est pas un simple système d’archivage électronique. Son intérêt fondamental tient à la valeur probantedes documents numérisés qu’il conserve.

Selon que l’objectif principal poursuivi est d’abordla taille de l’espace de stockage, ou bien en premier lieul’authenticité des données, ou encore l’intelligibilité et la simplicité d’accès aux documents numérisés, les arbitrages pourront varier notablement. Selon les cas on sera davantage sensible à la capacité-mémoire du coffre-fort, ou à l’efficacité et à la fiabilité de l’horodatage et du scellement des pièces avant archivage, ou encore à l’ergonomie et au confort opérationnel.

De même, le choix sera en partie tributaire des services de confiance additionnels proposés ou non par le prestataire : signature électronique, envoi recommandé dématérialisé, etc. Des problématiques spécifiques impacteront la sélection, par exemple lorsque sont en jeu des données de santé, qui font l’objet d’une obligation d’agrément supplémentaire.

En somme, il n’existe pas de « bon choix dans l’absolu », univoque et valable en toutes situations ! Tout dépendra des attentes de l’utilisateur, des particularités des documents destinés au coffre-fort ou encore des gains escomptés : contrôle du risque et optimisation de la conformité au sein de l’entreprise, prévention des litiges avec des clients ou des fournisseurs, capacités accrues à faire face à d’éventuels contrôles fiscaux ou sociaux, services supplémentaires offerts aux clients et à leurs salariés.

 

A lire aussi : Coffre-fort numérique et Expert-Comptable : pourquoi c’est important ?

 

Les règles d’or pour ne pas se tromper

Quelle que soit la diversité des attentes et des situations, que l’on agisse pour soi-même ou pour ses clients, il reste des points incontournables à maîtriser pour éviter les mauvais choix.

1. Etre vigilant sur les normes

La notion de coffre-fort numérique n’est pas une expression journalistique ! Elle correspond à une réalité juridique bien précise, à une appellation contrôléedéfinie par les articles L 103 et L 122-22 du Code de la consommation1.

Il faut donc, pour commencer, s’assurer de la conformité du service choisi avec certaines normes et exigences, dont, en tout premier lieu, la norme AFNOR NF Z 42-020. Celle-ci énonce les mesures techniques et organisationnelles à mettre en œuvre pour le versement, l’archivage, la consultation, l’élimination et la restitution de documents électroniques, dans des conditions qui en garantissent l’intégrité.

 

D’autres dispositions légales sont à prendre en considération, comme :

  • le décret du 30 mai 2018 pour la garantie de la confidentialité grâce au chiffrement des documents et données ou le décret du 5 octobre 2018 sur la réversibilité ;
  • la certification ISO 27001 relative à la sécurité des systèmes d’information, la certification ISO 9001 concernant les sites de stockage, le label délivré par la Fédération des tiers de confiance du numérique (FNTC) et attestant du bon respect par le prestataire de certains processus et mécanismes (horodatage, calcul d’empreintes, journal de preuves, signature électronique).
  • au plan international, on peut aussi se référer à l’Open Archival Information System (OAIS), à la notion de « Trusted Digital Repositories » et à celle de « Trustworthy Digital Objects ».

 

2. Choisir ce qu’on va mettre au coffre

Une fois encore : les contenus déterminent en partie le choix du contenant et des spécificités du service de CFN nécessaire.

3. Veiller à la capacité d’intégration du service de coffre-fort à ses applications métiers

L’aisance dans le versement des documents et la supervision des flux, la rapidité d’accès aux documents, la facilité dans la consultation, etc., constituent des critères de choix importants. Mais il n’est pas moins crucial de veiller à l’intégration du service à d’autres usages pour profiter de ses avantages. Par exemple : la possibilité d’envoyer des bulletins d’un simple clic dans le coffre-fort proposé par l’éditeur du logiciel de paie.

4. S’assurer de la fonctionnalité du service : confidentialité, pérennité, partage et restitution

Voici les principaux points à surveiller :

  • L’intégrité des documents, grâce à l’empreinte numérique apposée lors du dépôt :
  • La confidentialité, grâce au cryptage et au contrôle d’accès, et la traçabilité de l’ensemble des utilisateurs accédant aux documents :
  • la pérennité du service dans le temps, grâce aux contrôles périodiques et à la duplication du stockage ;
  • la préservation de la valeur probantequi en découle ;
  • la réversibilité, c’est-à-dire le droit à la récupération des données déposées, de façon « complète, intègre et dans un délai raisonnable » selon les termes du décret du 5 octobre 2018 entré en vigueur le 1erjanvier 2019. La restitution des données en question devra pouvoir s’effectuer soit dans leur format d’origine, soit dans un format électronique « ouvert, couramment utilisé, aisément réutilisable et exploitable par un système de traitement automatisé de données. »

 

Pour aller plus loin : Quand la dématérialisation des documents devient une évidence

 

RIC ou pas RIC ?

Devant la profusion des produits proposés autour de cette nouvelle possibilité, la réflexion porte aujourd’hui à l’échelle nationale et internationale sur la mise au point d’un moyen universel d’identifier un coffre-fort spécifique parmi tous ceux qui ont été ouverts.

Ce moyen, c’est le RIC ou « Relevé d’Identité du Coffre-Fort », un chantier porté notamment par la FNTC. Rien à voir, pour ce RIC, avec un nouveau genre de référendum… Mais une réponse aux légitimes questions de sécurité, de transparence et d’assurance du bon fonctionnement de la solution –  la confiance des utilisateurs envers l’avenir de la dématérialisation en dépend aussi !

[1] https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070987&idArticle=LEGIARTI000006465960&dateTexte=&categorieLien=cid

 

Rester informé

Recevoir gratuitement la newsletter Cegid

S'abonner