""

eIDAS V2 - Archivage Electronique Qualifié

Le règlement européen eIDAS v2 introduit le service de confiance d’Archivage Électronique Qualifié, destiné à garantir qu’un document numérique conserve sa valeur probante dans le temps.

Ce service assure la préservation de l’authenticité, de l’intégrité, de la traçabilité, de la disponibilité et de la lisibilité des documents, y compris en cas d’évolution des formats, des technologies ou des systèmes.

L’archivage électronique qualifié s’adresse aux organisations publiques et privées souhaitant conserver des documents numériques de manière fiable et juridiquement opposable.

Qu'est-ce qu'apporte la certification eIDAS d'un service d'Archivage Électronique Qualifié ?

La certification eIDAS d'un service d’archivage électronique qualifié (EATS) est une évaluation de conformité réglementaire et technique tierce, indépendante et rigoureuse. Elle atteste qu'un prestataire de services de confiance (PSCo) répond aux exigences de l'article 45j du règlement européen eIDAS v2 (Règlement UE 2024/1183) et du Règlement d'exécution (UE) 2025/2532.

 

Mené par un organisme d'évaluation accrédité comme LSTI, cet audit s'appuie principalement sur la spécification technique européenne CEN/TS 18170, qui dicte les règles de gestion des paquets d'informations (cycles SIP, AIP, DIP du modèle OAIS), et sur la norme ETSI EN 319 401 pour la gouvernance globale. L'audit valide la sécurité logique et physique du service, l’immuabilité de sa piste d'audit (audit trail) ainsi que la localisation exclusive des infrastructures de stockage au sein de l’Union européenne.

 

En tant qu’organisme d’évaluation de la conformité, LSTI délivre à l'issue de ses vérifications un rapport d’évaluation de la conformité (CAR). Ce rapport positif constitue la pièce justificative et réglementaire indispensable sur laquelle l’autorité de supervision nationale (l’ANSSI pour la France) fonde son instruction pour prononcer la qualification officielle du service et procéder à son inscription sur la liste de confiance européenne (Trusted List).

 

Quels sont les enjeux de la certification pour les fournisseurs de solutions d'archivage ?

 

 

Pour un éditeur ou un opérateur de solution d'archivage électronique, s'engager dans la certification qualifiée eIDAS v2 présente trois enjeux stratégiques majeurs :

  • L'obtention de la présomption légale d'intégrité (Avantage juridique) : C'est l'atout commercial et légal le plus puissant. Le règlement d'exécution eIDAS v2 confère automatiquement aux documents stockés dans un système qualifié une présomption d'intégrité et d'exactitude de leur origine. En clair, lors d'un litige ou d'un contrôle réglementaire, le rapport d'intégrité automatisé et scellé fourni par le système opère une inversion de la charge de la preuve : le document est légalement présumé authentique, et c'est à la partie adverse de prouver le contraire.
  • L'accès immédiat au marché unique européen (Interopérabilité transfrontalière) : Avant l'harmonisation par la spécification CEN/TS 18170, chaque pays de l'UE appliquait ses propres critères d'archivage à valeur probante (comme la NF Z42-013 en France). Grâce à la certification eIDAS v2, les barrières nationales tombent. Un service qualifié bénéficie d'une reconnaissance mutuelle automatique : un document archivé de manière qualifiée en France possède exactement la même valeur légale immédiate devant les tribunaux et les administrations des 26 autres États membres de l'UE.
  • La garantie de pérennité face à l'obsolescence technologique (Confiance absolue) : La certification eIDAS v2 impose des exigences très strictes en matière de migration de support et de conversion de format de fichiers sur le long terme (10, 30 ans ou plus). Pour les fournisseurs, la certification prouve leur capacité à faire évoluer les formats obsolètes (ex. migrer vers du PDF/A) tout en conservant de manière immuable l'empreinte (hash) d'origine et la traçabilité complète de l'opération dans la piste d'audit. C'est le gage d'une solution durable pour les clients grands comptes et les secteurs fortement réglementés.

 

 Caractéristique  Archivage Électronique Standard  Archivage Électronique Qualifié (eIDAS v2)
 Valeur juridique  Simple élément de preuve (valeur probante à l'appréciation du juge)  Présomption légale d'intégrité (Inversion de la charge de la preuve)
 Périmètre géographique  Souvent limité aux réglementations et usages nationaux  Reconnaissance mutuelle automatique dans les 27 pays de l'UE
 Preuve d'intégrité  Manuelle ou basée sur des logs internes non scellés  Rapport d'intégrité automatisé revêtu d'un cachet ou d'une signature qualifiée du PSCo
 Piste d'audit (Audit Trail)  Modifiable par les administrateurs du système  Immuable, verrouillée par des arbres de Merkle, des signatures ou des chaînes d'intégrité
 Infrastructures  Hébergement libre (soumis aux lois extraterritoriales)  Stockage obligatoirement localisé au sein de l'Union européenne

 


Demandez un devis

Règlement eIDAS V2 pour l'Archivage Electronique Qualifié

Le service d’archivage électronique qualifié repose sur un ensemble d’exigences portant notamment sur :

  • La gouvernance et la maîtrise du service,
  • La sécurité des environnements techniques,
  • La gestion de la chaîne de preuve (intégrité, scellement, horodatage),
  • La conservation dans la durée et les mécanismes de pérennisation,
  • La transparence et les engagements contractuels.

L’évaluation se fonde sur les normes ETSI applicables aux Prestataires de Services de Confiance (PSC) :

 

Référence Officielle   Objet Contribution au service qualifié 
Règlement (UE) 2024/1183(eIDAS v2)
  Cadre légal européen des services de confiance  Article 45j : Base légale qui introduit le service d'archivage électronique qualifié et ses effets juridiques.
Règlement d'exécution (UE) 2025/2532  Acte d'exécution européen  Rend d'application obligatoire les critères techniques et harmonise les formats de rapports d'intégrité à l'échelle de l'UE.
CEN/TS 18170:2025  Spécification technique de l'archivage électronique  Le cœur de l'audit : Norme dictant les exigences fonctionnelles d'ingest, stockage, traçabilité et restitution (cycles SIP/AIP/DIP)
ETSI EN 319 401  Exigences de politique générales pour les PSCo  Socle de l'audit : Gouvernance, sécurité logique et physique, gestion des risques et contrôle interne.
ETSI TS 119 511 / TS 119 512
  Normes de préservation des signatures électroniques  Composant optionnel : Applicable uniquement si le service d'archivage intègre un module visant à prolonger la validité des signatures apposées sur les documents versés

 

La certification atteste la conformité du service aux exigences des normes.
La qualification, elle, est décidée par l’autorité de supervision et conditionne l’inscription dans la Trusted List européenne (EUTL).

A qui s'adresse cette certification eIDAS ?

La certification concerne les acteurs qui assurent la conservation de documents numériques dans un objectif de fiabilité juridique, notamment :

  • Prestataires d’archivage électronique externalisé,
  • Opérateurs de confiance numérique intégrant une fonction d’archivage,
  • Organismes publics ou parapublics gérant des archives administratives,
  • Entreprises souhaitant préserver des documents à valeur probatoire,
  • Editeurs de solutions opérées d’archivage sécurisé.

 

 Elle permet de démontrer la maîtrise des processus, des environnements et des mécanismes de protection appliqués aux archives numériques.

Rôle de LSTI

À ce titre, LSTI :

  • Réalise l’audit de conformité du service d'archivage électronique (EATS) en tant qu'organisme d'évaluation tiers et indépendant,
  • Vérifie la stricte conformité aux exigences fonctionnelles de la spécification CEN/TS 18170 ainsi qu'aux exigences générales de la norme ETSI EN 319 401 relatives aux prestataires de services de confiance, ainsi que les exigences supplémentaire de l'acte d'exécution (UE) 2025/2532,
  • Évalue l'immuabilité de la piste d'audit (audit trail) et la validité des rapports d'intégrité automatisés devant être fournis aux utilisateurs,
  • Établit un rapport d’évaluation de la conformité structuré, rigoureux et vérifiable, destiné à être transmis aux autorités compétentes.

 

La certification délivrée par LSTI constitue l’élément objectif incontournable sur lequel l’autorité de supervision s’appuie pour prononcer la qualification officielle du service d'archivage et l'inscrire sur la Trust List européenne.

Demandez un devis

Vos question sur eIDAS, l'Archivage Electronique Qualifié

  • Qu'est-ce que la spécification CEN/TS 18170 et quel est son rôle dans le cadre d'eIDAS v2 ?

    La CEN/TS 18170 (publiée en mai 2025) est la spécification technique européenne de référence qui définit les exigences fonctionnelles pour les services d'archivage électronique. Elle a été élaborée spécifiquement pour répondre à l'introduction du service d'archivage électronique (qualifié ou non) par le nouveau règlement eIDAS v2 (Règlement UE 2024/1183).

    Son rôle principal est de fournir un cadre technique harmonisé permettant aux prestataires de services de confiance (PSCo) de démontrer leur conformité. Elle détaille les procédures et technologies nécessaires pour garantir la durabilité, la lisibilité, l'intégrité, la confidentialité et la preuve d'origine des données et documents électroniques durant toute leur période de conservation.

  • Quelle est la différence fondamentale entre l'« archivage électronique » (CEN/TS 18170) et la « préservation des signatures électroniques » selon eIDAS ?

    Le règlement eIDAS v2 distingue clairement deux types de services de confiance qui ne doivent pas être confondus:

    • L’archivage électronique (au cœur de la CEN/TS 18170) : Introduit par l'article 3(48) d'eIDAS v2, il vise la conservation globale du contenu même du document ou de la donnée (durabilité, lisibilité, intégrité) sur le long terme.
    • La préservation des signatures, cachets ou certificats électroniques : Régie par l'article 3(16)(e) (et couverte par les normes ETSI TS 119 511 et TS 119 512), elle sert uniquement à prolonger la validité technologique d'une signature ou d'un cachet apposé sur un document.

     

    La spécification CEN/TS 18170 précise qu'un service d'archivage électronique peut toutefois inclure ou s'appuyer sur un composant de préservation de signature si nécessaire.

     

  • Quelles sont les principales exigences d'infrastructure et de sécurité imposées par la CEN/TS 18170 ?

    Pour garantir la confiance et la conformité eIDAS v2, un prestataire de services d’archivage électronique (EATSP) doit respecter des critères stricts :

    • Localisation européenne : Tous les composants de l’infrastructure de traitement et de stockage doivent être impérativement situés au sein de l’Union européenne (UE).
    • Redondance géographique : Les paquets d'informations archivés (AIP) doivent être stockés en permanence dans au moins deux sites géographiquement distincts pour prévenir les risques physiques ou climatiques communs.
    • Intégrité et Traçabilité (Piste d'audit) : Le système doit générer des journaux d'événements « critiques » (comme l'ingest, les conversions de format ou les suppressions). Ces journaux forment une piste d'audit qui doit elle-même être scellée et protégée contre toute altération par des techniques de signatures numériques ou de chaînes d'intégrité (ex. arbres de Merkle).

  • Comment est apportée la preuve d'intégrité lors de la récupération d'un document archivé ?

    Conformément à l'article 45j de l'eIDAS v2 et aux exigences de la CEN/TS 18170, le service d'archivage doit être capable de générer de manière entièrement automatisée un rapport d'intégrité des données. Ce rapport est mis à disposition au moment de la récupération du document (et à tout moment durant la période de conservation).

    Pour un Prestataire Qualifié (EAQTSP), ce rapport doit obligatoirement être revêtu d'un cachet électronique qualifié ou d'une signature électronique qualifiée de l'EATSP. Il atteste formellement, par un recalcul de l'empreinte (hash) du document comparé à l'historique de la piste d'audit, que les données n'ont subi aucune altération ou modification non autorisée depuis le tout début de leur période de conservation.

  • Quel est le texte officiel de l'acte d'exécution eIDAS v2 pour l'archivage qualifié et quand s'applique-t-il ?

    L'acte d'exécution propre à l'archivage électronique qualifié est le Règlement d'exécution (UE) 2025/2532 de la Commission européenne. Publié officiellement au Journal officiel de l’UE le 17 décembre 2025, ce texte vient compléter l'article 45j du règlement eIDAS v2.

    Il fixe les conditions de mise en œuvre uniformes dans toute l'Europe. C'est ce texte obligatoire qui transforme les lignes directrices d'eIDAS en critères d'audit stricts. Pour être inscrit sur la Trust List européenne (liste des prestataires qualifiés), un PSCo d'archivage doit obligatoirement valider un audit de conformité aligné sur ce règlement d'exécution et s'appuyant techniquement sur la spécification CEN/TS 18170.

  • Quelle est la valeur probante d'un document stocké via un archivage qualifié selon le Règlement d'exécution (UE) 2025/2532 ?

    Le Règlement d'exécution (UE) 2025/2532 introduit un avantage juridique historique : la présomption d'intégrité et d'exactitude de l'origine au niveau transfrontalier. En pratique, cela signifie que :

    • Inversion de la charge de la preuve : En cas de litige ou de contrôle, un document extrait d'un système qualifié est légalement présumé authentique et intact depuis le jour de son versement. C'est à la partie adverse d'apporter la preuve d'une éventuelle altération.
    • Reconnaissance mutuelle automatique : Un archivage qualifié certifié en France par LSTI est automatiquement reconnu avec la même force probante devant les tribunaux et administrations des 26 autres pays de l'Union européenne.

  • Le règlement d'exécution eIDAS v2 autorise-t-il la migration de format ou de support en cours d'archivage ?

    Oui, absolument. Le Règlement d'exécution (UE) 2025/2532, en parfaite adéquation avec la clause 10.5 de la CEN/TS 18170, prévoit explicitement l'hypothèse de la migration de support (changement de serveurs, passage au cloud sécurisé) et de la conversion de format (ex: migrer un vieux fichier Word en PDF/A) pour lutter contre l'obsolescence technologique.
    L'acte d'exécution impose cependant que ces opérations soient encadrées par une procédure stricte :

    • Zéro perte d'information : La conversion doit préserver l'intégrité informationnelle et les propriétés significatives du document d'origine.
    • Traçabilité totale : Chaque migration ou conversion est classée comme un événement critique. L'ancien format, le nouveau format, l'outil utilisé et l'empreinte numérique (hash) avant/après doivent être inscrits de manière immuable dans la piste d'audit (audit trail).
    • Maintien des preuves : Si le document d'origine comportait une signature ou un cachet électronique, le système doit appliquer des techniques d'augmentation (par exemple via des formats de type Evidence Record de la CEN/TS 18170) pour étendre la validité de la preuve sur toute la durée de conservation.
     

En savoir plus

sur nos autres certifications

""
Certification eIDAS : Services de Confiance
Avec le règlement européen eIDAS (identification électronique et services de confiance), la confiance dans les transactions numériques est devenue un enjeu majeur pour l'interopérabilité et la sécurité des échanges à l'échelle de l'UE (signatures, cachets, horodatage électronique). En tant qu'Organisme d'Évaluation de la Conformité reconnu, LSTI Certification vous accompagne dans l'obtention de la qualification de vos services de confiance pour garantir leur valeur juridique et renforcer la compétitivité de votre organisation sur le marché unique numérique.
Découvrir
""
Registres Electroniques Qualifiés
Le règlement eIDAS v2 introduit le service de confiance qualifié de registre électronique (ledger distribué). Ce service permet d’enregistrer et de conserver des données dans un registre distribué de manière immutable, vérifiable et traçable, garantissant leur intégrité, leur authenticité et leur opposabilité dans le temps.
Découvrir
""
Certification ISO 27001
Face à l’augmentation continue des cybermenaces et des exigences réglementaires, la sécurité de l’information constitue un enjeu stratégique pour les organisations. La norme ISO/IEC 27001 s’est imposée comme le référentiel international de référence pour structurer la gouvernance de la sécurité de l’information et maîtriser les risques associés aux systèmes d’information.
La certification ISO 27001 repose sur le déploiement d'un Système de Management de la Sécurité de l'Information (SMSI) garantissant la confidentialité, l'intégrité et la disponibilité des données. En tant qu'organisme tiers indépendant, LSTI valide la conformité de votre démarche, transformant cette exigence de sécurité en un véritable facteur de confiance et un avantage concurrentiel pour vos services numériques, cloud ou de santé.
Découvrir

Pourquoi choisir LSTI ?

Chiffre #1

Expertise reconnue

Avec plus de vingt ans d’expérience, LSTI accompagne plus de 300 organisations en France et en Europe en tant qu’organisme de certification et centre d’évaluation de référence, intervenant dans les domaines de la cybersécurité, de la confiance numérique et de la sécurité de l’information.

Chiffre #2

Auditeurs spécialisés

Nos équipes d’auditeurs sont composées de professionnels confirmés, maîtrisant les référentiels de cybersécurité de l’ANSSI, les pratiques de management de la sécurité de l’information et les cadres de confiance numérique européens. Leur approche garantit des évaluations exigeantes, équilibrées et adaptées aux contextes opérationnels de chaque organisation.

Chiffre #3

Tiers indépendant et accompagnement dédié

LSTI garantit impartialité, transparence et cohérence sur l’ensemble du cycle : préparation, audits, surveillances et renouvellements. Un interlocuteur dédié assure la continuité et la lisibilité du parcours de certification.


Découvrez nos actualités