Archivage électronique: les points d’attention juridiques pour les entreprises

Les bases légales figurent notamment dans le Code des obligations (CO) et dans l’Ordonnance concernant la tenue et la conservation des livres de comptes (Olico). Selon l’art. 958f CO, les livres de comptes, les pièces comptables, le rapport de gestion et le rapport de révision doivent être conservés pendant dix ans, le délai courant à partir de la fin de l’exercice. S'agissant de l’archivage électronique, il est impératif de garantir la liaison entre les livres de comptes, les pièces comptables et les opérations commerciales correspondantes. En outre, il doit être possible de restituer et de consulter la documentation à tout moment.

En conséquence, l’archivage constitue un enjeu central en matière de conformité, de gouvernance et de gestion des risques pour le conseil d’administration, la direction, le CFO et le CEO. L’organisation de la comptabilité des sociétés anonymes relève des compétences intransmissibles et inaliénables du conseil d’administration. La responsabilité d’une organisation conforme au droit ne peut donc pas être entièrement déléguée à l’informatique, à la comptabilité ou à des prestataires cloud externes. Par ailleurs, le Code des obligations n’est pas le seul cadre réglementaire à prendre en compte. D’autres dispositions s’appliquent également, notamment en matière de TVA, de fiscalité, de protection des données, d’assurances sociales ou encore de registre du commerce, sans oublier les réglementations spécifiques à certains secteurs.

Quels documents faut-il archiver?

Le minimum légal couvre avant tout les éléments indispensables pour attester la situation financière d’une entreprise, à savoir les livres de comptes, les pièces comptables, le rapport de gestion ainsi que le rapport de révision.

Toutefois, ces dispositions légales du Code des obligations ne constituent qu’un point de départ. D’autres dispositions légales imposent, directement ou indirectement, la conservation de documents sur des durées parfois bien plus longues que les dix années prévues par la loi. À titre d’exemple, l’Administration fédérale des contributions recommande de conserver les justificatifs liés à des travaux de rénovation immobilière pendant 26 ans. À l’échelle du digital, une telle durée représente un véritable défi. Lorsqu’on pense aujourd’hui aux systèmes mis en place il y a 26 ans, on mesure rapidement l’ampleur du défi. Il ne suffit pas de sauvegarder les documents, encore faut-il garantir qu’ils soient lisibles, traçables et juridiquement probants sur de très longues périodes.

En pratique, les seuls documents exigés par la loi ne suffisent pas à assurer un archivage véritablement efficace. Une approche efficace inclut également des documents qui pourraient s’avérer utiles pour de futurs besoins de preuves, d’interprétations contractuelles, de contrôles fiscaux, de questions relevant du droit du travail, de garanties de qualité, de responsabilité, ou encore de décisions liées à des investissements ou des financements. Même si leur conservation n’est pas toujours obligatoire, elle s’avère souvent judicieuse afin de prévenir tout risque de défaut de preuve.

Dès lors, un concept d’archivage ne devrait pas se limiter à la notion stricte de «pièce comptable», mais devrait être défini en fonction des besoins d’information et de sécurité propres à l’entreprise. Concrètement, il convient de conserver, en plus des factures et du bouclement annuel, des documents tels que les contrats, la correspondance importante, les procès-verbaux du conseil d’administration et de la direction, les documents fiscaux, les pièces relatives à la TVA, les dossiers du personnel et des salaires, les documents d’assurance, les actes et documents de société, ainsi que la documentation relative à des projets ou des transactions significatifs. Dans ce contexte, il est essentiel de trouver un juste équilibre entre les obligations légales de conservation, les délais de prescription, les besoins en matière de preuves et les exigences de protection des données, un exercice qui peut s’avérer complexe.

Dans la mesure où l’archivage de documents supplémentaires est certes utile, mais pas toujours juridiquement obligatoire, il n’existe en principe pas d’obligation de respecter l’ensemble des exigences légales en matière d’archivage pour ces documents. Afin d’éviter toute incertitude quant à la qualité de la conservation et, par conséquent, à l’authenticité des documents, il est toutefois généralement recommandé, même dans ces situations, d’utiliser l’infrastructure prévue pour un archivage conforme à la loi.

Les exigences juridiques applicables à l’archivage électronique

L’Olico précise les exigences applicables aux documents soumis à une obligation de conservation et règle notamment les questions de devoir de diligence, de disponibilité, d’organisation et d’archivage. Un chapitre spécifique est consacré aux supports d’information utilisés pour conserver ces données. L’ordonnance distingue ainsi:

• les «supports de données non modifiables», notamment le papier, les supports d’images (par ex. les microfilms) ou encore les supports de données électroniques non modifiables comme les CD-ROM, DVD-ROM ou les systèmes WORM («write once, read many») et
• les «supports de données modifiables», notamment les bandes magnétiques, les disques durs (Hard Disk Drive, HDD) ou les disques SSD (Solid State Drive), etc.

Dans la pratique, la plupart des solutions modernes d’archivage ou de cloud reposent sur des supports de données modifiables. Si ce choix est judicieux sur le plan technique, il implique des exigences supplémentaires sur le plan juridique. L’Olico impose dès lors la mise en place de mesures spécifiques visant à prévenir toute manipulation et à garantir la traçabilité des données.

Une conservation conforme à la loi suppose le respect des quatre exigences suivantes:

1) Preuve de l’intégrité

En pratique, l’intégrité des documents est généralement assurée au moyen d’un certificat. Il n’est pas obligatoire de recourir à une signature électronique qualifiée (QES) au sens de la SCSE (Loi sur les services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques). Néanmoins, l’utilisation d’une QES suisse présente des avantages en matière de preuve: lorsque la QES est valable, sa fiabilité est présumée. Il appartient alors à la partie qui la conteste d’en démontrer les éventuelles failles.

2) Documentation de la date d’enregistrement

La preuve permettant d’attester du moment de l’archivage est en règle générale apportée au moyen d’un horodatage.

3) Respect des normes techniques

Cette exigence renvoie au respect des «prescriptions relatives à l’utilisation du procédé en question». En pratique, il s’agit de se conformer aux prescriptions légales et aux règles techniques reconnues, soit les normes en vigueur, telles que ISO 27001, SOC 1 ou SOC 2.

4) Documentation des processus

Dans la pratique, la documentation des processus représente un enjeu majeur pour un archivage conforme aux exigences légales. Elle décrit la manière dont les documents sont saisis, traités, sauvegardés et archivés au sein de l’entreprise. Elle doit également permettre, même plusieurs années plus tard, de comprendre et de vérifier le bon fonctionnement des processus.

La documentation des processus comprend la description de l’organisation, des responsabilités et des processus en fonction de la nature, la taille et l’activité de l’entreprise. Les procédures, machines et logiciels, respectivement les programmes utilisés doivent être documentés de façon suffisamment détaillée pour permettre de contrôler la régularité et l’exactitude du traitement des livres de comptes et des pièces comptables. Enfin, cette documentation doit être tenue à jour en cas de modification des processus et conservée selon les mêmes principes et pendant la même durée que les documents qu’elle permet de justifier.

L'inaltérabilité ne garantit pas à elle seule la conformité légale

De nombreuses solutions informatiques qui répondent aux exigences d’intégrité des données (point 1) et de traçabilité du moment de leur enregistrement (point 2) sont souvent présentées comme «inaltérables». Toutefois, cette caractéristique ne suffit pas à assurer la conformité au droit. En pratique, il manque fréquemment une documentation des processus, ou celle-ci n’est pas tenue à jour. De plus, la conservation correcte de cette documentation des processus, ainsi que d’éventuelles informations complémentaires, ne reçoivent pas toujours l’attention nécessaire. Si ces exigences ne sont pas respectées, l’archivage ne peut être considéré comme conforme à la loi. En d’autres termes: une solution techniquement fiable ne suffit pas. Des processus clairement documentés et rigoureusement appliqués sont tout aussi essentiels.

Le recours à des solutions cloud hébergées à l’étranger soulève par ailleurs des enjeux supplémentaires, notamment en matière de protection des données, de confidentialité ou encore de garantie d’un accès permanent aux données.

Les personnes autorisées doivent pouvoir accéder aux données et procéder à des contrôles dans un délai raisonnable pendant toute la durée de conservation. Cela suppose que les logiciels, les équipements et les formats de fichiers nécessaires restent disponibles en permanence. Cette exigence peut s’avérer particulièrement contraignante en cas de changement de système, par exemple lors du remplacement d’un logiciel de comptabilité par celui d’un autre prestataire. Il arrive en effet que la lisibilité des données issues d’autres systèmes ne soit plus garantie.

Une solution d’archivage n’est véritablement fiable que s'il reste possible de comprendre, même après plusieurs années, comment les données peuvent être localisées, ouvertes, lues et vérifiées quant à leur origine. Cette exigence est d’autant plus cruciale en cas de durées de conservation longues, par exemple les 26 années applicables à certaines pièces comptables et documents commerciaux liés à la TVA immobilière. Si nécessaire, les équipements et logiciels requis doivent donc être conservés en état de fonctionnement. Par ailleurs, certains formats de fichiers, comme le format d’archivage PDF/A, se prêtent mieux que d’autres à la conservation à long terme.

Enfin, point particulièrement important pour de nombreuses PME: un simple serveur de fichiers, un espace cloud non structuré ou des outils tels que SharePoint, OneDrive, Teams, Dropbox ou encore des exports ERP ne constituent pas automatiquement des solutions d’archivage au sens de l’Olico. Ces outils peuvent certes faire partie d’un dispositif d’archivage, mais doivent être complétés par des mesures techniques et organisationnelles appropriées. Cela inclut notamment la gestion des rôles et des droits d’accès, la gestion des versions, la protection contre les modifications, la journalisation, des règles de conservation claires, des mécanismes empêchant la suppression prématurée, l’horodatage, des stratégies de migration ainsi qu’une documentation précise des processus.

Gérer les accès et assurer la localisation des documents

Un archivage conforme au droit ne se limite pas à stocker des données dans un endroit sécurisé. Il doit également être organisé de manière à permettre de trouver rapidement des documents, tout en empêchant des personnes non autorisées d'accéder aux informations sensibles. C’est précisément sur ce point que de nombreuses PME sont confrontées à des arbitrages délicats: un accès trop large les expose à des risques en matière de protection des données, de confidentialité et de secret professionnel. À l’inverse, un accès trop restreint ou mal structuré peut empêcher les personnes habilitées de retrouver, au moment opportun, des justificatifs, contrats ou autres documents essentiels.

Le principe du «need to know» (besoin de savoir) ne devrait donc pas être appliqué a posteriori à un système existant, mais intégré dès la conception de l’architecture d’archivage. Il est ainsi recommandé de structurer l’accès selon des catégories de documents, des rôles et des niveaux de sensibilité. Les pièces comptables, les dossiers du personnel, les documents fiscaux, les contrats, les documents du conseil d’administration ou encore la documentation de projets présentent en effet des degrés de confidentialité et impliquent des niveaux d’accès différents. Parallèlement, il est nécessaire de prévoir des métadonnées, des logiques de recherche, des structures de classement, des types de documents et des responsabilités clairement définis, afin que les mécanismes de contrôle d’accès ne compromettent pas, dans les faits, la possibilité de retrouver les documents.

Recommandations pratiques pour les entreprises

Il est recommandé aux PME d’appliquer une approche fondée sur les risques. Les entreprises devraient notamment se poser les questions suivantes et mettre en place les mesures correspondantes:

• Quels types de documents sont générés au sein de l’entreprise? Il convient d’identifier les documents soumis à une obligation légale de conservation, ainsi que ceux qui devraient être archivés pour des raisons de preuve, d’exploitation ou de gestion des risques.
• Quelles données présentent un caractère particulièrement sensible? Il s’agit de déterminer si certaines informations sont soumises à des obligations de confidentialité, contiennent des secrets d’affaires ou sont considérées comme des données personnelles sensibles.
• Quel système fait office d’archive de référence sur le plan juridique? La coexistence de plusieurs ensembles de données en parallèle ou synchronisés, par exemple dans des boîtes e-mail, sur des disques locaux ou dans des canaux Teams, complique la traçabilité et le contrôle.
• Comment garantir l’intégrité et la traçabilité des données? Lors de l’utilisation de supports de données modifiables, il est essentiel de garantir l’intégrité des données, de pouvoir prouver le moment de leur enregistrement et de documenter les processus de manière structurée.
• Quelle est la durée de conservation appropriée pour chaque catégorie de données? Lorsque la loi ne fixe pas de durée précise, il appartient à l’entreprise de définir des délais de conservation adaptés.
• Les données resteront-elles lisibles et accessibles à long terme? Cette question est centrale, en particulier lors de changements de logiciels, de migrations vers le cloud ou de projets d’externalisation.

En clarifiant et en documentant ces points suffisamment tôt, l’entreprise pose les bases d’un archivage à la fois conforme au droit et adapté à la pratique.

Conclusion: l’archivage électronique, bien plus qu’un simple projet IT

En Suisse, l’archivage électronique est autorisé et devient incontournable pour les entreprises évoluant dans un environnement de plus en plus digitalisé. Sa mise en place ne saurait toutefois être réduite à un simple projet informatique. Lorsqu’une entreprise utilise des supports de données modifiables pour son archivage, elle doit impérativement garantir l’intégrité des données et pouvoir prouver à quel moment elles ont été enregistrées, mais elle doit également assurer l’existence d’une documentation des processus, ainsi que la disponibilité et la sécurité des données. Il est donc indispensable de prévoir un concept d’archivage structuré. Ce dernier doit non seulement couvrir les exigences minimales prévues par la loi, mais aussi définir quels autres documents il est judicieux de conserver pour l’entreprise. Cela implique de prendre en compte différents aspects tels que les besoins en matière de preuve, la protection des données, la confidentialité ou encore la facilité d’accès aux informations.

Les entreprises qui abordent l’archivage électronique de manière anticipée et structurée réduisent leurs risques juridiques, améliorent la traçabilité de leurs opérations et se dotent d’une base solide et fiable pour l’avenir.