Quelles sont les normes et réglementations de l'archivage légal ?
L'archivage légal n'est pas qu'une affaire de rangement. C'est une obligation juridique, encadrée par des textes précis, des normes techniques et des durées de conservation que l'entreprise ne peut pas ignorer sans s'exposer à des sanctions. Entre le Code de commerce, le RGPD et les référentiels ISO, le paysage réglementaire peut sembler dense.
J'ai accompagné plusieurs PME sur des projets de dématérialisation et de mise en conformité. Ce qui revient à chaque fois : les équipes confondent archivage et simple stockage, sous-estiment les obligations de traçabilité, et découvrent les durées légales au moment d'un contrôle fiscal. Ce point fait le tour de ce que la loi impose réellement et des normes qui permettent de s'y conformer.
Archivage légal ou simple stockage : quelle différence ?
L'archivage légal désigne la conservation de documents à valeur probatoire, dans des conditions garantissant leur intégrité, leur lisibilité et leur accessibilité pendant toute la durée légale requise. Le stockage, lui, est une opération purement technique : on dépose un fichier quelque part, sans garantie sur sa pérennité ni sur son authenticité.
Ce n'est pas une nuance abstraite. Un document stocké sur un serveur partagé sans horodatage ni contrôle d'intégrité ne constitue pas une archive légale. En cas de litige ou de contrôle fiscal, il peut être contesté. La valeur juridique d'un document numérique, dans le cadre d'une gestion électronique de documents structurée, repose sur sa capacité à prouver qu'il n'a pas été modifié depuis sa création.
Concrètement, une archive légale valide doit répondre à deux exigences techniques (intégrité et lisibilité à long terme) et une exigence probatoire (traçabilité des accès). C'est autour de ces critères que s'organise l'ensemble du cadre normatif décrit plus bas.
NF Z42-013, ISO 14641, ISO 15489 : les normes de référence
L'archivage électronique légal en France repose sur plusieurs référentiels complémentaires : la norme française NF Z42-013, la norme internationale ISO 14641 et la série ISO 15489 dédiée au records management. Chacun couvre un périmètre précis, et ils se combinent pour répondre aux exigences techniques et organisationnelles d'un système d'archivage électronique (SAE) à valeur probatoire.
Cliquez sur un type de document pour afficher la durée légale de conservation et le texte de référence applicable.
NF Z42-013 : la norme française de référence
Publiée par l'Afnor et révisée en 2020, la NF Z42-013 spécifie les exigences fonctionnelles et techniques des systèmes d'archivage électronique. Elle couvre le cycle de vie complet des archives : versement, stockage, gestion des métadonnées, restitution et élimination. Elle s'applique aux entreprises privées comme aux administrations publiques.
La révision 2020 a renforcé les exigences sur la gestion des formats de fichiers à long terme (les formats ouverts et pérennes en priorité), l'audit des accès et la gestion des migrations de données. Un SAE conforme à cette norme doit être capable de détecter toute altération d'un document via un mécanisme de contrôle d'intégrité, typiquement une empreinte cryptographique (hash).
ISO 14641 : l'équivalent international
L'ISO 14641 est la transposition internationale de la NF Z42-013. Elle définit les principes de conception et les critères d'exploitation des systèmes d'archivage électronique à vocation légale, tels que les formalise la norme ISO 14641 archivage électronique dans sa version publiée en 2018. Si la NF Z42-013 est la référence pour les entreprises françaises, l'ISO 14641 s'impose dès que l'archivage concerne des documents produits ou échangés avec des partenaires étrangers.
Les deux normes sont largement compatibles. Une organisation certifiée NF Z42-013 satisfait généralement aux exigences de l'ISO 14641. La nuance principale porte sur le cadre juridique de référence : la norme française intègre les spécificités du droit français (Code de commerce, Code civil), ce que l'ISO ne fait pas par définition.
ISO 15489 : le records management
La série ISO 15489 traite du management des documents d'activité, ce qu'on appelle le records management. Elle ne se limite pas à l'archivage numérique : elle encadre l'ensemble du cycle de vie d'un document, depuis sa création jusqu'à son élimination ou sa conservation définitive. C'est la norme de référence pour structurer une politique documentaire cohérente dans une organisation.
En pratique, l'ISO 15489 est souvent le point d'entrée d'une démarche de conformité. Elle oblige l'entreprise à cartographier ses flux documentaires, à définir des règles de nommage et de classement, et à formaliser les responsabilités. Sans cette étape, mettre en place un SAE conforme à la NF Z42-013 revient à construire sur du sable.
ISO 27001 et SecNumCloud : la dimension sécurité
La conformité à la NF Z42-013 ou à l'ISO 14641 ne dispense pas d'une réflexion sur la sécurité des systèmes. L'ISO 27001, norme de référence pour les systèmes de management de la sécurité de l'information (SMSI), s'ajoute au tableau. Elle s'applique aux organisations qui traitent des archives sensibles : données personnelles, documents financiers, données de santé.
Pour les entreprises qui externalisent leur archivage vers un prestataire cloud, la qualification SecNumCloud délivrée par l'ANSSI constitue le niveau d'exigence le plus élevé en France. Elle garantit que le prestataire respecte des règles strictes sur la confidentialité, la réversibilité et la protection contre les accès non autorisés, y compris extra-européens.
Durées de conservation légales par type de document
Les durées de conservation légales varient selon la nature des documents et le risque de contentieux associé. Elles sont fixées par plusieurs textes : le Code de commerce, le Code général des impôts, le Code du travail et des lois sectorielles spécifiques. Les confondre ou les ignorer expose l'entreprise à des sanctions administratives et fiscales, comme le rappellent les durées légales de conservation publiées par le ministère de l'Économie.
| Type de document | Durée de conservation | Base légale |
|---|---|---|
| Factures clients et fournisseurs | 10 ans | Code de commerce, art. L123-22 |
| Livres et registres comptables | 10 ans | Code de commerce, art. L123-22 |
| Contrats commerciaux | 5 ans (prescription de droit commun) | Code civil, art. 2224 |
| Bulletins de paie | 5 ans | Code du travail, art. L3243-4 |
| Documents fiscaux (liasse fiscale, déclarations TVA) | 6 ans | Livre des procédures fiscales, art. L102B |
| Déclarations sociales (URSSAF, retraite) | 3 ans minimum (5 ans recommandés) | Code de la sécurité sociale |
| Contrats de travail | 5 ans après fin de contrat | Code du travail |
| Documents douaniers | 3 ans | Code des douanes, art. 322 |
| Correspondance commerciale | 5 ans | Code de commerce |
| Statuts de société, procès-verbaux d'AG | 5 ans après dissolution | Code de commerce |
| Données personnelles (RGPD) | Durée de la finalité + période légale applicable | RGPD, art. 5 |
Ces durées sont des minima légaux. Dans les faits, de nombreuses entreprises conservent certains documents bien au-delà, pour des raisons probatoires. La prescription décennale dans le bâtiment, par exemple, justifie de garder des contrats de maîtrise d'œuvre bien au-delà des 5 ans de droit commun. Les avantages d'un archivage numérique en entreprise structuré, dont la traçabilité automatique des durées, permettent d'éviter ces écueils. La règle reste simple : en cas de doute, on conserve plus longtemps, jamais moins.
RGPD et archivage : comment concilier les deux ?
Le RGPD impose une limitation de la durée de conservation des données personnelles à ce qui est strictement nécessaire à la finalité du traitement. L'archivage légal, qui concerne aussi les documents reçus lors d'un transfert sécurisé de fichiers entre partenaires commerciaux, impose parfois de conserver ces pièces pendant plusieurs années. Ces deux impératifs peuvent sembler contradictoires. Ils ne le sont pas, à condition de bien distinguer les phases du cycle de vie des données.
Le RGPD distingue en réalité plusieurs états pour un document contenant des données personnelles : la conservation courante (utilisation active), l'archivage intermédiaire (document potentiellement utile en cas de litige) et l'archivage définitif pour les données d'intérêt historique. Ce dernier cas bénéficie de dérogations spécifiques.
En pratique, cela signifie qu'une facture contenant des données personnelles peut être conservée 10 ans en archivage intermédiaire pour respecter le Code de commerce, sans violer le RGPD, à condition que l'accès à ces données soit restreint. La CNIL détaille ces obligations dans sa page sur les durées de conservation RGPD, qui précise les règles de limitation selon la finalité du traitement. Leur durée de conservation doit être documentée dans le registre des traitements.
Sécurité et intégrité des archives numériques
Une archive numérique n'a de valeur légale que si son intégrité peut être démontrée. C'est le principe que j'ai vu mal compris dans presque tous les projets d'archivage que j'ai suivis. Stocker un PDF sur un serveur ne suffit pas : il faut pouvoir prouver que ce PDF est identique à l'original au moment de sa création.
Intégrité et horodatage
Les mécanismes techniques pour garantir l'intégrité reposent sur deux piliers. Le premier est l'empreinte cryptographique (hash SHA-256 ou supérieur) : une signature numérique unique du document, recalculée à chaque consultation pour détecter toute modification. Le second est l'horodatage qualifié, qui certifie la date et l'heure de création ou de dépôt du document, conformément à le règlement n°910/2014/UE sur l'identification électronique et les services de confiance.
Un SAE conforme à la NF Z42-013 intègre obligatoirement ces deux mécanismes. Il génère des journaux d'événements immuables enregistrant chaque opération (dépôt, consultation, modification de métadonnées), ce qui permet de reconstituer l'historique complet d'un document. Ces journaux sont eux-mêmes archivés avec les mêmes garanties d'intégrité.
Gestion des formats et pérennité
La pérennité des archives numériques pose un problème que le papier ne connaît pas : l'obsolescence des formats. Un fichier WordPerfect de 1995 est illisible sur un poste de travail actuel. La NF Z42-013 impose donc de gérer activement les formats de fichiers et de planifier des migrations régulières vers des formats standardisés et pérennes.
Les formats recommandés pour l'archivage à long terme sont principalement le PDF/A (norme ISO 19005) pour les documents textuels et l'XML pour les données structurées. Ce n'est pas un hasard si ces formats ont survivé à plusieurs décennies d'évolutions logicielles : ils évitent précisément les dépendances qui rendent les autres illisibles avec le temps.
Responsabilités internes et gouvernance
La conformité à la réglementation d'archivage dépasse largement le périmètre technique. Elle implique de répondre clairement à des questions que personne ne pose généralement : qui est responsable de la politique d'archivage ? Qui décide des éliminations ? Ces questions doivent être formalisées dans une charte ou une procédure interne, opposable en cas de contrôle.
Dans les entreprises de plus de 250 salariés, cette fonction est souvent assurée par un Records Manager ou un Archiviste. Dans les PME, la gestion de la sécurité des documents numériques revient généralement au Directeur administratif et financier ou au DSI, parfois au DPO lorsque les archives contiennent des données personnelles. Peu importe le titre : la responsabilité doit être nommément attribuée, par écrit.
Externaliser son archivage : le recours au tiers archiveur
Mettre en place un SAE conforme en interne demande des ressources techniques et humaines importantes. La plupart des PME choisissent de confier cette fonction à un tiers archiveur, prestataire spécialisé qui opère le système d'archivage pour le compte de ses clients. Cette solution transfère la complexité opérationnelle, mais pas la responsabilité juridique.
Un tiers archiveur sérieux doit pouvoir justifier de sa conformité à la norme NF Z42-013 archivage électronique et, idéalement, à l'ISO 14641. Il doit également fournir un contrat précisant les niveaux de service (SLA), les conditions de restitution des données, les garanties de continuité en cas de défaillance, et les modalités d'audit. La FNTC (Fédération des Tiers de Confiance du Numérique) publie une liste de prestataires labellisés.
Un point souvent négligé : la réversibilité. En cas de changement de prestataire, l'entreprise doit pouvoir récupérer l'intégralité de ses archives dans un format exploitable, avec leurs métadonnées et leurs journaux d'événements. Exiger une clause de réversibilité explicite dans le contrat n'est pas négociable. J'ai vu des entreprises bloquées pendant des mois lors d'une migration parce que leur ancien prestataire n'avait pas prévu cette sortie proprement.
Facturation électronique 2026 : un tournant pour l'archivage
La réforme de la facturation électronique obligatoire, dont le déploiement se poursuit en 2026, change profondément les pratiques d'archivage en entreprise. À terme, toutes les factures B2B transitent par des plateformes de dématérialisation partenaires (PDP) ou par le portail public Chorus Pro. Ces documents ont une valeur légale dès leur émission et doivent être archivés dans des conditions strictes.
La Direction générale des finances publiques (DGFiP) impose que les factures électroniques soient conservées pendant 6 ans dans leur format original, avec leurs métadonnées et leur signature électronique. L'obligation de facturation électronique 2026, telle que précisée par l'Urssaf, s'applique progressivement selon la taille des entreprises. La simple conversion en PDF sans conservation du fichier source au format structuré (UBL, CII, Factur-X) ne suffit pas. Les entreprises qui n'adaptent pas leur SAE à ces exigences s'exposent à des redressements fiscaux.
Cette réforme est aussi une opportunité. Elle oblige les entreprises à se doter d'une vraie infrastructure d'archivage électronique, souvent pour la première fois. Celles qui intègrent dans leur stratégie des documents contractuels dématérialisés, aux côtés des factures, bénéficient d'un SAE qui couvre l'ensemble de leurs obligations légales bien au-delà de la date butoir.
Ce que révèle l'archivage légal aux entreprises qui le découvrent trop tard
L'archivage légal est un domaine où les obligations sont nombreuses, les normes techniques exigeantes et les conséquences d'une non-conformité très concrètes. Chaque règle a une origine précise dans un litige ou un contrôle passé. Structurer sa politique d'archivage avant d'y être forcé reste la meilleure décision qu'une entreprise puisse prendre sur ce sujet.
Questions fréquentes
Quelle est la différence entre la NF Z42-013 et l'ISO 14641 ?
La NF Z42-013 est la norme française publiée par l'AFNOR, spécifique au droit français, et révisée en 2020. L'ISO 14641 est son équivalent international. Les deux définissent les exigences des systèmes d'archivage électronique à valeur légale. Une organisation certifiée NF Z42-013 répond généralement aux exigences de l'ISO 14641, mais l'inverse n'est pas toujours vrai car la norme française intègre des spécificités juridiques françaises.
Quelle est la durée légale de conservation des factures en France ?
Les factures doivent être conservées 10 ans à compter de la clôture de l'exercice comptable, conformément à l'article L123-22 du Code de commerce. Pour les factures fiscales, le Livre des procédures fiscales impose une durée de 6 ans. En pratique, on retient la durée la plus longue, soit 10 ans, pour couvrir l'ensemble des risques légaux et fiscaux.
Un archivage sur Google Drive ou Dropbox est-il légalement valable ?
Non, dans la grande majorité des cas. Ces solutions de stockage cloud ne garantissent pas l'intégrité, l'horodatage qualifié ni la traçabilité des accès exigés par la réglementation française. Pour qu'un archivage numérique soit légalement probant, il doit s'appuyer sur un SAE conforme à la NF Z42-013, avec des mécanismes de contrôle d'intégrité et des journaux d'événements.
Le RGPD oblige-t-il à supprimer des documents archivés ?
Le RGPD impose de ne pas conserver des données personnelles au-delà de leur finalité. Mais il reconnaît l'archivage intermédiaire comme une finalité légitime lorsqu'une obligation légale l'impose (fiscalité, droit du travail, etc.). Une facture contenant des données personnelles peut donc être conservée 10 ans en archivage légal sans violer le RGPD, à condition que l'accès soit restreint et que la durée soit documentée.
Qu'est-ce qu'un tiers archiveur et quand y recourir ?
Un tiers archiveur est un prestataire spécialisé qui opère un SAE conforme pour le compte de ses clients. Il est utile quand l'entreprise ne dispose pas des ressources techniques pour gérer un archivage conforme en interne. Il faut exiger sa conformité à la NF Z42-013, un contrat précisant les SLA et les modalités de réversibilité, et vérifier son référencement auprès de la FNTC.
Que change la réforme de la facturation électronique pour l'archivage ?
La réforme impose que les factures électroniques B2B soient conservées 6 ans dans leur format structuré original (Factur-X, UBL, CII), avec leurs métadonnées et leur signature électronique. La simple conversion en PDF ne suffit plus. Les entreprises doivent adapter leur SAE pour accueillir ces nouveaux formats et garantir leur lisibilité sur la durée légale.
La norme ISO 15489 est-elle obligatoire en France ?
Non, l'ISO 15489 n'est pas obligatoire au sens réglementaire. Mais elle constitue la meilleure pratique reconnue pour structurer une politique de records management cohérente. Elle est souvent exigée par les donneurs d'ordre publics ou par les auditeurs lors de certifications qualité (ISO 9001 entre autres). L'adopter volontairement facilite ensuite la mise en conformité avec les exigences légales d'archivage.
