NF Z42-020 expliquée aux DSI : guide opérationnel pour déployer un coffre-fort numérique conforme
Guide pratique de la norme NF Z42-020 pour DSI et RSSI : exigences techniques, cryptographie imposée, horodatage qualifié, audit trail, étapes de déploiement, pièges à éviter et comment certifier sa solution.
NF Z42-020 intimide parce qu'elle est souvent citée sans être expliquée. Pourtant, une fois les couches AFNOR posées, la norme est très opérationnelle : elle dit comment prouver l'intégrité et la traçabilité de documents numériques pendant toute leur durée de conservation légale. Ce guide s'adresse aux DSI et RSSI qui vont devoir la déployer ou l'auditer en 2026.
Ce que NF Z42-020 impose vraiment
La norme décrit les exigences fonctionnelles d'un Composant Coffre-Fort Numérique (CCFN) pour qu'il soit considéré à « valeur probante ». Les piliers sont au nombre de cinq : chiffrement, intégrité par empreinte cryptographique, horodatage qualifié, versioning immuable et audit trail inaltérable.
Chiffrement
Le document doit être chiffré au repos avec un algorithme reconnu (AES-256 est la norme de facto). Les clés de chiffrement doivent être gérées via un HSM (matériel) ou un KMS sous contrôle strict. La norme n'impose pas une implémentation spécifique mais exige des processus documentés.
Intégrité par empreinte
Un hash cryptographique SHA-256 minimum doit être calculé à chaque dépôt, stocké séparément du document, et vérifié à chaque lecture. Toute modification d'un seul bit du document change radicalement le hash — c'est la détection anti-altération.
Horodatage qualifié
L'empreinte doit être horodatée par un Prestataire de Services de Confiance Qualifié (PSCQ) via une Time Stamp Authority (TSA) conforme RFC 3161 et eIDAS. En France, les TSA qualifiées sont listées par l'ANSSI.
Versioning WORM
Write Once Read Many : aucune version déposée ne peut être écrasée ou supprimée avant la fin de sa durée de rétention. En pratique, c'est un verrou logiciel + une chain de hashs liés + idéalement un stockage WORM matériel (LTO-8 WORM, disques optiques).
Audit trail inaltérable
Chaque événement (dépôt, consultation, restitution, destruction programmée) doit être journalisé de manière inaltérable. Une bonne implémentation utilise des hash chains ou une blockchain privée pour que même un administrateur ne puisse modifier a posteriori.
Les 4 étapes du déploiement
Étape 1 — Cartographier les documents à archiver
Avant tout, listez les familles de documents qui doivent entrer en CFN : bulletins de paie (5 ans min), contrats de travail (5 ans après rupture), pièces comptables (10 ans), contrats commerciaux (variable), KYC (10 ans banque), actes authentiques (30 ans+). Pour chaque famille, définissez la durée de rétention, le cycle de destruction réglementé, les droits d'accès.
Étape 2 — Choisir le fournisseur CFN
Vous avez trois options : (a) développer en interne (déconseillé sauf très grande organisation), (b) acquérir un composant CFN certifié NF Z42-020 (Arkhineo, Oodrive, Docaposte), ou (c) utiliser un CFN open-source certifié dans votre propre cloud/on-premise. SoftValley Labs propose la troisième voie, souveraineté maximale avec déploiement on-premise sur l'infrastructure du client.
Étape 3 — Intégrer dans les workflows métier
Le CFN n'est pas un silo : il doit recevoir automatiquement les documents depuis vos applications métier (SIRH, ERP, GED). Exposez des API REST sécurisées (mTLS + OAuth2) et configurez le scellement au bon moment du workflow (à la signature, à la validation finale, à la clôture comptable).
Étape 4 — Mettre en place la gouvernance
Nommer un Responsable Coffre-Fort (RCFN) qui supervise les rétentions, valide les demandes de destruction, pilote les audits. Mettre en place un comité trimestriel Métier + DSI + Juridique + Conformité.
Les pièges classiques
Un S3 avec versioning activé n'est PAS un coffre-fort numérique. Il manque l'horodatage qualifié, l'audit trail inaltérable, et la certification.
Le CFN doit restituer les documents sous forme lisible après 10-30 ans. Cela implique de migrer les formats (PDF/A) et de tester régulièrement la restitution sur un échantillon.
Si vous perdez vos clés maîtresses, les documents sont irrécupérables. Rotation, backup chiffré, procédures d'urgence : documentez et testez annuellement.
Faut-il se faire certifier NF Z42-020 ?
La certification est audit-intensive (AFNOR) mais apporte une valeur juridique officielle. Pour un CFN interne utilisé par un seul groupe, respecter la norme sans certification peut suffire (le juge appréciera). Pour un CFN proposé comme service à des tiers, la certification devient quasi-obligatoire.
Complémentarité avec eIDAS et NF Z42-013
NF Z42-020 couvre le composant coffre-fort. NF Z42-013 couvre le système d'archivage pérenne (gouvernance, politique). eIDAS couvre la signature et l'horodatage qualifiés. Les trois sont complémentaires : une architecture robuste utilise les trois ensemble.