Mais au-delà des aspects techniques, elle soulève des craintes notamment d’un point de vue éthique et légal : Où sont stockées les archives ? Qui peut y accéder, dans quel cadre et sous quelle juridiction ? Comment s’assurer que ces documents ne soient pas utilisés à des fins d’entraînement de modèles d’intelligence artificielle et cela sans aucune autorisation ? Comment éviter qu’elles ne dépendent de prestataires ou de technologies qui opèrent hors de tous cadres réglementaires européens ?


Des réflexions d’autant plus nécessaires à l’heure où la souveraineté numérique s’impose comme un enjeu opérationnel pour les entreprises, dans des environnements géopolitiques et juridiques toujours plus complexes.


Pour répondre à ces questions, retrouvez dans cet article les éclairages et éléments de réponse de Jean-Marc Rietsch, notre expert archivage électronique.

L’archivage électronique au cœur du capital numérique de l’entreprise

Longtemps perçu comme une simple transposition du modèle papier, l’archivage électronique s'est imposé comme une pratique à part entière. Poussé par l’augmentation des débits internet et par une succession d’initiatives politiques visant à atteindre le zéro papier, il répond désormais à des exigences nouvelles : traçabilité, valeur probante, conservation dans le temps et intégrité des documents.

 

Une adoption qui s’accélère
L’adoption de l’archivage électronique a connu une nette inflexion à partir de l’année 2020. La crise sanitaire liée au COVID-19 a mis à l’épreuve les capacités des organisations à accéder à leurs documents dans un contexte de travail à distance généralisé. Ainsi, la conservation des documents ne pouvait plus reposer sur des référentiels dispersés, ni sur des outils peu intégrés aux processus métiers. La notion même d’accès maîtrisé, de traçabilité et de disponibilité s’est imposée comme une exigence opérationnelle.


Dans le même temps, l’essor de solutions d’archivage proposées en mode SaaS — plus accessibles sur le plan financier et plus rapides à déployer — a permis une diffusion plus large de ces pratiques, y compris dans des structures de taille intermédiaire ou peu outillées.


Là où l’on constatait encore des environnements de travail limités à quelques milliers de documents, souvent peu interconnectés et exploitables, on observe désormais des infrastructures capables d’absorber des flux documentaires beaucoup plus importants, intégrés aux applications métiers dont pour certains sous la forme d’un RAG (retrieval augmented generation), acronyme de « génération augmentée par extraction de données », permettant d’enrichir les modèles d’intelligence générative à partir des données internes de l’entreprise. 


De la donnée à l’actif stratégique
Cette évolution s’inscrit dans un contexte plus large : celui de la transformation du capital des entreprises. Comme le souligne Jean-Marc Rietsch, « le capital de l’entreprise est de plus en plus immatériel. Les données, qu’il s’agisse de documents contractuels, techniques, administratifs ou métiers, représentent une partie significative de la valeur d’une organisation. »


Pourtant, cette réalité reste souvent sous-estimée. Nombre de dirigeants ne perçoivent pas encore pleinement les risques liés à une gestion défaillante de l’information : difficultés d’accès, erreurs de version, perte d’intégrité ou fuites de données sensibles. C’est à ce niveau que se pose un premier enjeu de souveraineté : la capacité à maîtriser son système d’information, ses données, et plus largement l’ensemble de ses ressources informationnelles.


Dans cette optique, l’archivage électronique permet de structurer l’information, de l’inscrire dans un environnement de confiance, et de retrouver la maîtrise d'un patrimoine souvent éclaté entre applications, messageries et supports hétérogènes. Mais garantir cette maîtrise sur le long terme suppose également de s’appuyer sur un cadre réglementaire clair et cohérent.
 

Encadrement de l’archivage électronique : entre garanties européennes et pressions internationales


Avec l’essor des solutions d’archivage et la généralisation de la dématérialisation, l’Union européenne a fait évoluer son cadre réglementaire. Pour pouvoir assurer une interopérabilité des solutions d’archivage électronique et appliquer par défaut un haut niveau d’exigence dans la sécurité des espaces de stockage des informations personnelles des citoyens et entreprises, le règlement européen eIDAS, dont la version 2.0 entrée en vigueur en mai 2024, introduit en ce sens plusieurs évolutions majeures.


Ce que change eIDAS 2.0
Avec sa nouvelle version, le règlement européen eIDAS introduit une reconnaissance officielle des services d’archivage électronique qualifiés, une notion qui était absente du texte initial.
La qualification devient ici un dispositif juridique à part entière, adossé au règlement. Pour les prestataires, elle implique un audit formel et un engagement de conformité à des exigences spécifiques de sécurité, de traçabilité et de conservation. Pour les utilisateurs, elle permet de bénéficier d’une présomption de fiabilité juridique. 


Comme le résume Jean-Marc Rietsch : « La qualification, c’est une garantie juridique formelle, adossée au règlement européen. Elle marque un engagement clair de l’Union : lorsqu’un service est qualifié, il bénéficie d’une présomption de fiabilité. Pour le client, cela signifie qu’il bénéficie d’un renversement de la charge de la preuve.»


Dans un contexte où la maîtrise des données est étroitement liée aux enjeux de souveraineté, cette garantie juridique devient un critère déterminant comme le rappelle l’expert :  « Beaucoup d’organisations vont préférer travailler directement avec des services qualifiés parce qu'ils offrent une garantie légale claire, en particulier sur les questions de souveraineté. »


Cependant, cette dynamique de renforcement de la confiance numérique au sein de l’Union européenne se heurte à des réalités géopolitiques qui échappent au seul cadre juridique européen.


Le contexte international : le cas du Cloud Act
Si l’application du règlement européen eIDAS 2.0, adossé au RGPD, va dans le bon sens, il ne règle malheureusement pas tous les problèmes de souveraineté dont celui d’extraterritorialité présent dans le Cloud Act. 


En effet, la législation extraterritoriale américaine, en particulier celle du Cloud Act adopté en 2018, autorise les autorités américaines à exiger l’accès à des données détenues par des entreprises de droit américain, même si ces données sont hébergées hors du territoire des États-Unis.


Face à la dominance des hyperscalers américains (AWS, Google Cloud, Microsoft Azure), cette loi pose une difficulté pour les organisations européennes qui utilisent des services d’archivage opérés par des acteurs soumis à cette réglementation. Pour Jean-Marc Rietsch, le positionnement doit être clair : « Si l’on veut garantir la confidentialité et l’indépendance de ses archives, il faut que les données soient hébergées sur le territoire européen, par des acteurs eux-mêmes régis par le droit européen. L’ensemble de la stack technique se doit d’être souveraine.»


Dans cette optique, les critères de sélection des prestataires ne relèvent plus uniquement de la performance ou du coût. Ils engagent une responsabilité sur la chaîne de confiance et sur la capacité de l’organisation à garder la maîtrise de ses actifs informationnels. La souveraineté se construit aussi par les choix d’architecture, de gouvernance, et de localisation des services.

Administrateurs, IA et cloisonnement : les nouveaux défis de la souveraineté numérique


Cette exigence s’intensifie à mesure que les organisations s’outillent en solutions cloud, multiplient les couches de sous-traitance technique et intègrent l’intelligence artificielle dans leurs processus. Elle suppose une vigilance accrue sur les conditions d’accès à l’information archivée : savoir où sont les données ne suffit plus, il faut savoir qui y accède, comment, et à quelles fins.


La question des accès techniques aux archives
Comme le rappelle Jean-Marc Rietsch, dans de nombreuses architectures, les administrateurs systèmes disposent par défaut d’un accès étendu aux contenus archivés. Un héritage technique qui peut s’avérer problématique, surtout lorsqu’il s’agit de données sensibles. « Un administrateur a des droits pour faire en sorte que le système fonctionne, mais ce n’est pas pour autant qu’il doit avoir des droits sur la donnée ».


Ce constat soulève une question de gouvernance : peut-on garantir la confidentialité des informations si des intervenants techniques peuvent, en théorie, y accéder librement ? 


La réponse passe par une séparation stricte des rôles. Certaines architectures permettent aujourd’hui de cloisonner les fonctions : les administrateurs assurent la disponibilité du service, sans pouvoir en consulter les contenus. 


L’intelligence artificielle, un nouveau facteur de complexité
Ce besoin de cloisonnement devient encore plus critique avec l’introduction de l’intelligence artificielle dans les systèmes d’archivage. Si ces outils permettent de retrouver plus facilement les documents et d’automatiser certains traitements, ils reposent sur un accès large aux données. Et lorsque ces données touchent à des contenus confidentiels — juridiques, médicaux ou stratégiques — le risque de mauvaise manipulation ou de fuite ne peut pas être ignoré.


Ainsi le véritable enjeu réside dans la maîtrise : qui contrôle l’IA, sur quelles données travaille-t-elle, et dans quel périmètre ? « Le défi, avec l’IA, c’est de respecter la souveraineté. Pour y parvenir, il faut embarquer les moteurs localement, dans des environnements maîtrisés. »


La réponse de Pineappli : des modules spécialisés et embarqués
Pour répondre aux enjeux de souveraineté, Pineappli de LuxTrust est une solution d’archivage électronique qualifié qui intègre de l’intelligence artificielle dans un cadre parfaitement maîtrisé sans pour autant abandonner l’utilisation de moteurs de recherche plus traditionnels.


Comme l’explique Jean-Marc Rietsch, deux approches coexistent aujourd’hui :
« Soit on embarque un moteur très généraliste, qui nécessite des puissances de calcul considérables, mais reste difficile à contrôler. Soit on travaille avec des modules spécialisés, conçus pour un sujet donné. Nous avons choisi de travailler avec des modules thématiques, déjà partiellement entraînés, qui donnent rapidement de bons résultats. Ils sont utilisés dans un périmètre bien défini, ce qui garantit à la fois performance et sécurité. »


Cette approche permet d’assurer un cloisonnement rigoureux, tout en adaptant les traitements à des contextes métiers précis.


Au cœur de cette évolution, le rôle de l’archiviste évolue, il doit aujourd’hui être capable non seulement de comprendre les enjeux techniques, mais aussi d’interagir avec les outils d’intelligence artificielle, de comprendre l’impact réglementaire afin d'orienter leur usage, vérifier leur pertinence et s’assurer de leur bon fonctionnement.