Arrêté ministériel n° 2021-247 du 25 mars 2021 portant application des articles 2 et 3 de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance
Vu la Constitution ;
Vu le Code civil ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée ;
Vu la loi n° 1.430 du 13 juillet 2016 portant diverses mesures relatives à la préservation de la sécurité nationale ;
Vu l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance ;
Vu l'Ordonnance Souveraine n° 8.504 du 18 février 2021 portant application de l'article 24 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;
Vu l'arrêté ministériel n° 2020-461 du 6 juillet 2020 portant application de l'article 13 de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance ;
Vu l'arrêté ministériel n° 2020-892 du 18 décembre 2020 portant application de l'article 8 de l'arrêté ministériel n° 2020‑461 du 6 juillet 2020 portant application de l'article 13 de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance ;
Vu l'arrêté ministériel n° 2020-893 du 18 décembre 2020 portant application de l'article 12 de l'arrêté ministériel n° 2020‑461 du 6 juillet 2020 portant application de l'article 13 de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance ;
Vu la délibération du Conseil de Gouvernement en date du 24 mars 2021 ;
Article 1er🔗
Le service d'archivage électronique peut comporter deux niveaux de sécurité : simple ou qualifié.
Les exigences qui doivent être respectées par les services de confiance d'archivage électronique qualifiés sont annexées au présent arrêté.
Les exigences concernant le service d'archivage électronique qualifié s'appliquent de manière cumulative avec celles décrites dans l'arrêté ministériel n° 2020‑893 du 18 décembre 2020, susvisé, applicables à l'ensemble des prestataires de services de confiance qualifiés.
Article 2🔗
Le service de numérisation peut comporter deux niveaux de sécurité : simple ou qualifié.
Les exigences qui doivent être respectées par les services de confiance de numérisation qualifiés sont annexées au présent arrêté.
Les exigences concernant le service de numérisation qualifié s'appliquent de manière cumulative avec celles décrites dans l'arrêté ministériel n° 2020‑893 du 18 décembre 2020, susvisé, applicables à l'ensemble des prestataires de services de confiance qualifiés.
Article 3🔗
Les modalités de mise en œuvre et d'évaluation de la conformité des services de confiance objets du présent arrêté ainsi que les modalités de leur qualification par le Directeur de l'Agence Monégasque de Sécurité Numérique sont également annexées au présent arrêté.
La délivrance de la qualification est subordonnée au respect des exigences énoncées à l'article premier pour l'archivage électronique ou à l'article 2 pour la numérisation.
Toutefois, le Directeur de l'Agence Monégasque de Sécurité Numérique peut, après étude et justification, accorder des dérogations temporaires ou définitives portant sur des exigences prévues par les articles premier et 2.
Article 4🔗
Les services d'archivage électronique qualifiés ou de numérisation électronique qualifiés conformément au présent arrêté bénéficient d'une présomption de fiabilité.
Article 5🔗
Tout événement ou incident significatif détecté et tout changement majeur relatif à la portée et au périmètre de la qualification, doit obligatoirement être notifié à l'Agence Monégasque de Sécurité Numérique.
Tout retrait, suspension ou non-renouvellement de la qualification entraîne de facto le retrait du statut de Prestataire de Service de Confiance de Numérisation ou de Prestataire de Service de Confiance d'Archivage Électronique.
Le Directeur de l'Agence Monégasque de Sécurité Numérique peut, l'intéressé entendu en ses explications ou dûment appelé à les fournir, suspendre pour une durée déterminée voire retirer la qualification du service d'archivage électronique ou le service de numérisation électronique dans le cas où les exigences prévues par les articles premier et 2 ne sont plus respectées.
Article 6🔗
Le présent arrêté n'est pas applicable aux documents, informations, données informatisées, ou fichiers classifiés visés au premier alinéa de l'article 18 de la loi n° 1.430 du 13 juillet 2016, susvisée.
Article 7🔗
Le Secrétaire Général du Gouvernement et le Directeur de l'Agence Monégasque de Sécurité Numérique sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.
Annexe - Critères d'évaluation de la conformité des services de numérisation qualifié et d'archivage électronique qualifié🔗
1. Introduction
1.1. Objet
Dans le cadre de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance, l'Agence Monégasque de Sécurité Numérique constitue l'organe de contrôle de la Principauté pour les prestataires de services de confiance.
La présente annexe décrit les critères d'évaluation de la conformité des services de numérisation qualifié et d'archivage électronique qualifié.
1.2. Mise à jour
Les mises à jour, les modalités de transition et date d'effet sont précisées par arrêté ministériel.
1.3. Acronymes
Les acronymes utilisés dans le présent document sont les suivants :
AMSN Agence Monégasque de Sécurité Numérique
CdN Convention de numérisation
COFRAC Comité français d'accréditation
DO Le Donneur d'Ordres : celui qui souhaite faire numériser des documents
OP l'Opérateur : celui qui réalise des numérisations de documents pour le compte du DO
PA Propriétaire des archives électroniques
PASSI Prestataire d'audit de la sécurité des systèmes d'information
PSSI Politique de Sécurité des Systèmes d'Information
RGSP Référentiel Général de Sécurité de la Principauté
SA Service d'archives
SAE Système d'archivage électronique
2. Exigences relatives aux services d'archivage électronique qualifiés
2.1. Modalités de qualification des services d'archivage électronique
La qualification des services d'archivage électronique est réalisée par le Directeur de l'AMSN conformément à l'article premier de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance, et selon le processus suivant qui permet d'attester de la conformité du prestataire aux exigences de la présente annexe :
a) le respect des exigences du référentiel de certification NF461 vérifié par Afnor Certification, organisme de certification accrédité par le COFRAC.
b) le respect des points suivants qui sont des exigences complémentaires figurant dans la norme « NF Z42-013 : 2020‑10 - Archivage électronique - recommandations et exigences » :
- R-4.2.1-3 ;
- R-4.2.3-5 ;
- R-4.3.1-5 ;
- R-4.3.4-3 ;
- R-4.3.4-4 ;
- E-4.3.4-6 ;
- E-4.3.6-1 : le volet sécurité informatique doit être audité par un PASSI qualifié ;
- R-4.4.1-3 : les composants utilisés doivent être certifiés ou qualifiés lorsqu'ils sont disponibles ;
- R-4.4.3-2 ;
- R-4.4.3-7 ;
- R-4.5.1-2 ;
- R-4.5.3-1 ;
- R-4.6.1-2 ;
- R-4.6.3.1-2 ;
- R-4.6.3.3-3 : Utiliser une contremarque de temps qualifié ou de cachet électronique qualifié ;
- E-4.6.3.4-4 : Il peut s'agir notamment d'employer un moyen cryptographique asymétrique, conforme au RGSP, appliqué à chaque journal (jeton d'horodatage qualifié, cachet électronique qualifié) ;
- R-4.6.3.3-8 ;
- R-5.1.1-2 ;
- R-5.1.1-3 ;
- R-5.1.1-4 ;
- 5.1.2 : Les signatures, cachets et horodatages doivent être qualifiés ;
- 5.1.3.1 : L'ensemble du paragraphe est une exigence ;
- 5.1.3.2 : L'ensemble du paragraphe est une exigence ;
- R-5.3-2 ;
- R-5.3-4 ;
- R-5.3-6 : Les moyens cryptographiques doivent être conformes aux arrêtés ministériels n° 2018‑635 et n° 2018-637 du 2 juillet 2018 ;
- R-5.6.3-5 ;
- 6.1.1 : L'ensemble du paragraphe est une exigence, les sites de conservation doivent être sur le territoire de la Principauté sauf dérogation ;
- R-6.1.4-1 ;
- R-6.1.4-2 ;
- R-6.1.6-2 ;
- 6.2 : L'ensemble du paragraphe est une exigence ;
- R-6.3.4-2 : Le traitement de l'incident doit être adressé sans délai à l'organe de contrôle ;
- 7.1 : L'ensemble du paragraphe est une exigence ;
- 7.2 : L'ensemble du paragraphe est une exigence ;
- 7.3.1 : L'ensemble du paragraphe est une exigence ;
- 7.3.2 : L'ensemble du paragraphe est une exigence ;
- R-7.5.1-3 ;
- R-7.5.2-4 ;
- R-7.7.1-7 ;
- R-7.7.1-10 ;
- R-7.7.5-3 ;
c) le SAE doit faire l'objet d'une homologation de sécurité, accompagnée d'un audit, réalisée par un PASSI qualifié. Un audit PASSI devra être réalisé tous les 3 ans. L'homologation, devra être renouvelée après une modification de l'architecture du SAE. Il est recommandé de réaliser un audit interne tous les ans.
2.2. Inscription à la liste de confiance
Les services d'archivage qualifiés sont identifiés dans la liste de confiance.
3. Exigences relatives aux services de numérisation qualifiés
3.1. Modalités de qualification des services de numérisation
La qualification des services de numérisation est réalisée par le Directeur de l'AMSN conformément à l'article premier de l'Ordonnance Souveraine n° 8.099 du 16 juin 2020 fixant les conditions d'application de la loi n° 1.383 du 2 août 2011 pour une Principauté numérique, modifiée, relative aux services de confiance, et selon le processus suivant qui permet d'attester de la conformité du prestataire aux exigences de la présente annexe.
a) le respect des exigences du référentiel de certification NF544 vérifié par Afnor Certification, organisme de certification accrédité par le COFRAC.
b) le respect des points suivants qui sont des exigences complémentaires figurant dans la norme « NF Z42-026 : 2017‑05 - Définition et spécifications des prestations de numérisation fidèle de documents sur support papier et contrôle de ces prestations » :
- complément relatif au management de la sécurité de l'information (§ 5.1.2 NF Z42-026) :
L'OP doit disposer d'un système de management de la sécurité de l'information conforme à la norme ISO 27001\. À défaut de certification de l'OP à la norme ISO 27001 pour les prestations de numérisations réalisées, l'OP doit démontrer la conformité à la norme ISO 27001 de son système de management de la sécurité de l'information.
- complément relatif au management de la sécurité physique (§ 5.1.3 NF Z42-026) :
Le système de contrôle d'accès doit être un produit certifié ou qualifié par l'ANSSI.
Les locaux doivent être dédiés à l'activité de numérisation et l'accès doit être limité aux personnels effectuant la numérisation et les opérations connexes à la numérisation.
Les locaux de stockage et de traitement de numérisation doivent être sur le territoire de la Principauté.
- complément relatif à la livraison par l'OP des livrables numériques au DO (§7.9 NF Z42-026) :
Les livrables doivent être chiffrés pendant la transmission, soit par des protocoles ou outils de télécommunication qualifiés, soit par le chiffrement des supports amovibles conformes aux arrêtés ministériels n° 2018-635 et n° 2018-637 du 2 juillet 2018.
- complément relatif à l'intégrité des documents numériques (§8.1 NF Z42-026) :
Afin de garantir l'intégrité des documents numériques et l'intégrité des documents fidèles, l'OP doit spécifier dans la CdN à quel moment le document numérique ne subira plus de modification jusqu'à sa livraison et appliquer, après ce moment qui doit être horodaté par un horodatage qualifié, un cachet électronique qualifié.
L'OP utilisera un composant de nature à garantir l'intégrité des objets numériques pour la conservation de chaque objet produit. Dans ce cas, l'OP pourra utiliser, pendant la période de rétention contractuelle telle que définie dans la CdN, un SAE qualifié.
- complément relatif à la traçabilité des opérations de numérisation (§8.2 NF Z42-026) :
L'OP doit mettre en œuvre une centralisation des traces. L'horodatage doit être qualifié.
- complément relatif à la PSSI :
L'OP doit établir une Politique de Sécurité des Systèmes d'Information (PSSI) sur le périmètre de la numérisation ou intégrer la sécurité de la numérisation dans la PSSI de l'organisme dont il dépend.
c) le système d'information de numérisation doit faire l'objet d'une homologation de sécurité, accompagnée d'un audit, réalisée par un PASSI qualifié. Un audit PASSI devra être réalisé tous les 3 ans. L'homologation, devra être renouvelée après une modification de l'architecture du système d'information de numérisation. Il est recommandé de réaliser un audit interne tous les ans.
3.2. Inscription à la liste de confiance
Les services de numérisation qualifiés sont identifiés dans la liste de confiance.