Le SAE certifié pour maîtriser le cycle de vie et la valeur probante de vos archives
Archivage numérique et nouveau règlement eIDAS v2
Hervé Streiff – Expert en archivage électronique
En France, nous disposons d’un cadre robuste pour archiver les documents numériques : normes d’archivage éprouvées, référentiels techniques structurants en matière d’interopérabilité et un écosystème mature de prestataires d’archivage électronique.
Avec eIDAS v2, l’Europe franchit un cap : le règlement renforce la sécurité et étend l’harmonisation à l’échelle européenne, avec des exigences nouvelles autour de la préservation des documents signés et de la cybersécurité, dans un contexte de menaces croissantes.
Cet avis d’expert décrypte ce que change eIDAS v2 et ce que cela implique, dès maintenant, pour votre stratégie d’archivage numérique à moyen et long terme.
eIDAS : de quoi parle-t-on ?
eIDAS est l’acronyme de Electronic IDentification, Authentication and trust Services : en français, identification électronique, authentification et services de confiance.
C’est un règlement européen : il s’applique directement dans tous les États membres, sans transposition nationale.
Son objectif est simple : harmoniser les pratiques numériques en Europe pour sécuriser les échanges et réduire le risque juridique.
Concrètement, eIDAS vise à éviter qu’un acte ou un contrat signé dans un pays (par exemple en Allemagne) puisse être contesté ou jugé moins recevable dans un autre (par exemple en France), uniquement à cause de différences de cadre ou de niveau de confiance.
Pour établir cette confiance, l’Europe s’appuie sur des Prestataires de Services de Confiance Qualifiés (PSCQ).
Leur rôle : délivrer des services encadrés (signature électronique, horodatage, etc.) en respectant un socle commun d’exigences de sécurité et des spécifications propres à chaque service.
Un PSCQ est qualifié à l’issue d’évaluations réalisées par des organismes indépendants : il engage alors sa responsabilité sur la conformité du service délivré.
À retenir – Qualification eIDAS : un vrai effet juridique
 |
La qualification n’est pas un simple label : elle produit un effet juridique concret. |
|
Le prestataire a une obligation de résultat sur le service qualifié. |
|
En cas de litige, la charge de la preuve est inversée : c’est au prestataire de démontrer sa conformité. |
|
Si un préjudice résulte d’une non-conformité avérée, le prestataire peut être tenu d’indemniser le client, dans les limites du contrat. |
Cybersécurité : le socle commun des services de confiance
Le levier le plus efficace pour réduire le risque consiste à imposer un niveau de cybersécurité homogène à l’ensemble des services de confiance.
C’est précisément le rôle de la norme ETSI EN 319 401, qui définit des exigences de sécurité et de gestion de la cybersécurité pour les prestataires de services de confiance (qualifiés ou non), complétées par un dispositif d’évaluation/audit réalisé par des organismes indépendants.
Dans la pratique, ce cadre est plus spécifique et plus exigeant qu’une démarche ISO 27001 “générique”, car il cible directement les risques et obligations propres aux services de confiance. Il constitue également un socle cohérent avec les exigences européennes de sécurité et de résilience (notamment dans l’esprit de NIS2).
La deuxième version du règlement, eIDAS v2 est entré en vigueur le 20 mai 2024.
Son déploiement opérationnel repose en grande partie sur des actes d’exécution : ils précisent les exigences techniques de conformité et peuvent s’appuyer sur des normes européennes ou internationales.
Les services de confiance eIDAS : ce qui change avec eIDAS v2
Avec eIDAS v2, l’union européenne renforce plusieurs services de confiance existants, introduit de nouveaux services clés (dont l’archivage électronique, les registres électroniques et l’attestation d’attributs) et durcit les exigences de cybersécurité pour sécuriser les échanges numériques à l’échelle européenne.
| Services | eIDAS V1 (2014) | eIDAS V2 (2014) |
| Identité numérique | Pas de portefeuille européen | EUDI Wallet
Cadre européen + mise à disposition par les États membres + obligations d’acceptation (selon les acteurs) Identité, attributs certifiés, signatures qualifiées |
| Signature électronique | Signature qualifiée avec dispositif local | Signature à distance qualifiée (PVID) via environnement sécurisé |
| Cachet électronique | Oui | Oui (inchangé) |
| Label de certification | Oui | Oui (inchangé) |
| Type de certification | Oui | Oui (inchangé) |
| Organisme de certification | Oui | Oui (inchangé) |
| Organisations certifiables | Oui | Oui (inchangé) |
| Certificat SSL qualifié | Oui | Oui (inchangé) |
| Archivage électronique | Non | Service qualifié d’archivage électronique |
| Registre électronique | Non | Enregistrement de données dans des registres électroniques (Ledger / Blockchain) |
| Attestation d’attributs | Non | Attestation électronique d’attributs |
| Cybersécurité | Exigences générales | Exigences renforcées (ETSI 319 401 + audits) + régime de sanctions (harmonisé) |
Archivage qualifié : la seule réponse pour conserver durablement vos documents
✅ L’archivage électronique qualifié est le seul service qui vise la conservation sécurisée et pérenne de corpus documentaires : intégrité, traçabilité, gestion dans le temps et maintien de la lisibilité sur de longues durées.
❌ Le wallet (EUDI Wallet) est un portefeuille : il peut stocker et présenter certains éléments (identité, attributs, documents), mais il n’est pas fait pour archiver des volumes ni gérer des fonds documentaires.
❌ Le registre électronique (ledger) sert à ancrer des preuves (empreintes) dans un registre : il ne conserve pas les documents et ne remplace pas une fonction d’archivage.
❌ Signature, cachet, horodatage : ils protègent l’intégrité et la datation d’un document, mais ne garantissent pas à eux seuls la préservation à long terme d’un corpus (lisibilité, formats, gestion documentaire).
❌ Conservation des signatures et cachets : elle maintient la validité cryptographique des objets de signature, sans assurer la préservation du document ni la gestion d’un ensemble documentaire.
| En conclusion |
|---|
| Ces services renforcent la preuve ; l’archivage qualifié, lui, garantit la conservation durable du corpus et s’appuie sur ces briques quand la chaîne de confiance l’exige. |
Quel est le positionnement de Xelians face à eIDAS v2 ?
Xelians dispose déjà d’un socle solide avec un service d’archivage électronique certifié NF 461, ainsi que des certifications ISO 27001 et HDS.
Dans ce contexte, la trajectoire vers la qualification eIDAS v2 s’inscrit dans la continuité de notre démarche : il s’agit de formaliser et d’aligner nos dispositifs de sécurité sur le référentiel ETSI EN 319 401, et de faire évoluer à la marge certaines fonctionnalités de notre SAE pour répondre aux exigences du règlement et aux spécifications associées (dont CEN/TS 18170).
Sur le plan technique, Xelians capitalise sur son SAE Xelians Archives Management et sur ses mécanismes existants pour assurer la préservation de la valeur probante des documents signés dans la durée. Cette approche, intégrée à notre prestation d’archivage, combine robustesse et viabilité économique, y compris sur de fortes volumétries.
Notre cap est clair : anticiper dès maintenant pour être en mesure de déposer une demande de qualification dès que le dispositif d’audit sera opérationnel, et figurer parmi les premiers prestataires d’archivage qualifié référencés sur les listes de confiance eIDAS.
Découvrez Xelians Archives Management (SAE)Discutons de vos projets
@Hervé Streiff, expert en archivage électronique
