Chaîne de garde pour les documents numériques : ce que les auditeurs et les administrations fiscales exigent réellement
Les preuves physiques ont une chaîne de garde : un journal de chaque personne qui les a manipulées, quand et pourquoi. La chaîne prouve que la preuve n’a pas été altérée entre la collecte et la présentation. Les tribunaux refusent d’admettre des preuves physiques sans elle.
Les documents numériques présentent le même problème et, dans la plupart des juridictions de l’UE, la même exigence. La question n’est pas de savoir si votre document est stocké quelque part. La question est de savoir si vous pouvez prouver ce qui lui est arrivé entre sa création et aujourd’hui.
Ce que signifie la chaîne de garde pour un document
La chaîne de garde d’un document numérique signifie être capable de démontrer :
- Le document a été créé à un moment précis
- Chaque modification, étape de traitement, conversion ou transmission ultérieure a été enregistrée
- Chaque étape est attribuable à un acteur spécifique (personne, système, service)
- Aucune étape n’a été omise ou modifiée après coup
- Le document présenté aujourd’hui est le même que celui qui a suivi ces étapes
Pour un objet physique, la garde est établie par des transferts physiques. Pour un document numérique, elle est établie par des preuves cryptographiques : hachages, horodatages et entrées d’audit signées.
Ce qu’exigent les administrations fiscales de l’UE
Les exigences varient selon les pays mais partagent une structure commune.
Allemagne (GoBD) : Les Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern définissent que les documents archivés électroniquement doivent être protégés contre toute altération, doivent être trouvables et l’état original doit être reconstructible. L’expression clé est « Unveränderbarkeit » (immuabilité) : les documents doivent être archivés de manière à ce que les modifications ultérieures soient techniquement empêchées ou au moins détectables. La GoBD exige également que le processus d’archivage lui-même soit documenté, ce qui signifie que la chaîne du document original à l’archive doit être traçable.
France (DGFiP) : La Direction Générale des Finances Publiques exige que les factures électroniques soient conservées sous leur forme originale, avec une intégrité garantie par un moyen technique. Pour les factures reçues en format PDF ou hybride, la garantie d’intégrité doit couvrir toute la période de conservation (six ans pour les documents comptables, dix ans pour les contrats).
Pays-Bas (Belastingdienst) : L’exigence est une conservation de sept ans avec vérifiabilité. Les orientations du Belastingdienst sur l’archivage électronique précisent explicitement qu’un document doit être reproductible sous une forme lisible et que l’intégrité du document doit être démontrable.
Belgique : Le SPF Finances s’aligne sur la directive européenne 2006/112/CE : l’authenticité d’origine, l’intégrité du contenu et la lisibilité doivent être garanties. Le moyen technique (EDI, signature électronique ou piste d’audit) doit être documenté.
Le fil conducteur : archiver le document ne suffit pas. Vous devez également archiver les preuves de son intégrité.
Ce que recherchent réellement les auditeurs
Lorsqu’un auditeur demande un document, il cherche généralement à établir :
- Le document est authentique (non fabriqué après coup)
- Le document n’a pas été modifié depuis sa création ou réception
- Le document a été traité d’une manière cohérente avec vos procédures déclarées
Pour les audits fiscaux, les deux premiers points sont centraux. Pour les audits de conformité (RGPD, NIS2, secteurs spécifiques), le troisième est souvent tout aussi important.
Les auditeurs n’acceptent généralement pas les réponses du type « faites-moi confiance ». Ils cherchent des contrôles techniques qui rendent la fabrication ou l’altération détectable. Les contrôles qui les satisfont sont :
Des horodatages immuables d’un tiers de confiance. Un horodatage que vous avez généré vous-même n’est pas une preuve indépendante. Un horodatage d’une autorité de confiance (une TSA qualifiée RFC 3161) l’est. Voir les horodatages RFC 3161 expliqués pour savoir comment cela fonctionne en pratique.
Des journaux d’audit qui ne peuvent pas être modifiés rétroactivement. Un fichier journal sur votre propre serveur auquel vous seul pouvez accéder n’est pas une preuve indépendante. Une piste d’audit où chaque entrée est cryptographiquement liée à la précédente (une chaîne de hachage) signifie que toute modification d’une entrée passée invalide toutes les entrées suivantes. Un auditeur peut vérifier cela localement.
La documentation de conformité de format. Si vous affirmez qu’une facture était conforme à EN16931 à la date de son envoi, vous avez besoin du rapport de validation de cette date, pas d’une validation que vous avez exécutée aujourd’hui. Le rapport doit être stocké aux côtés du document.
Le mécanisme de chaîne de hachage
Une chaîne de hachage implémente une piste d’audit résistante à la falsification. Chaque entrée contient :
- Les données d’événement (ce qui s’est passé, qui, quand)
- Le hachage du document à ce moment
- Le hachage de l’entrée précédente
Entry 1: {event: "created", actor: "api:tenant-1", time: "2026-03-01T09:00:00Z",
docHash: "sha256:a3f...", prevHash: "0000...0000"}
entryHash: sha256(Entry 1 data) = "sha256:7c2..."
Entry 2: {event: "validated", actor: "system", time: "2026-03-01T09:00:01Z",
docHash: "sha256:a3f...", prevHash: "sha256:7c2..."}
entryHash: sha256(Entry 2 data) = "sha256:b19..."
Entry 3: {event: "timestamped", actor: "tsa:qualified-eu", time: "2026-03-01T09:00:02Z",
docHash: "sha256:a3f...", prevHash: "sha256:b19..."}
entryHash: sha256(Entry 3 data) = "sha256:f44..."Si quelqu’un modifie l’entrée 2 (par exemple, pour changer l’acteur ou l’heure), le hachage de l’entrée 2 change. Le prevHash dans l’entrée 3 ne correspond plus. La chaîne est brisée. Un auditeur calculant la chaîne depuis l’entrée 1 détectera l’incohérence.
C’est le même principe utilisé dans la blockchain, mais appliqué aux pistes d’audit de documents sans la complexité d’un registre distribué. La chaîne est linéaire, déterministe et vérifiable avec une implémentation SHA-256.
L’écart entre « stocké » et « prouvé »
La plupart des systèmes de gestion documentaire fournissent un stockage avec des contrôles d’accès. Certains fournissent un historique des versions. Peu fournissent des preuves.
L’écart est le suivant : un système où vous seul contrôlez le journal d’audit ne fournit pas de preuve indépendante de l’intégrité de ce journal. Si vous pouvez supprimer ou modifier des entrées du journal, un auditeur sceptique ne peut pas s’y fier.
Les mécanismes qui comblent cet écart sont l’ancrage externe (un horodatage RFC 3161 qualifié d’une TSA que vous n’exploitez pas), l’intégrité de la chaîne de hachage (de sorte que la modification du journal soit détectable) et l’archivage au niveau du format (PDF/A-3 pour que le document ne se dégrade pas ou ne s’affiche pas différemment au fil du temps).
Ce sont les composants d’un dossier de preuve légale. Le dossier est l’unité de preuve que vous produisez lorsqu’un auditeur demande à voir un document.
Durées de conservation par type de document (aperçu UE)
| Type de document | Durée de conservation | Juridiction principale |
|---|---|---|
| Factures TVA | 7 ans | Allemagne (GoBD), Pays-Bas |
| Factures TVA | 10 ans | France, Belgique |
| Contrats | 10 ans (commercial) | La plupart des États membres de l’UE |
| Dossiers RH | Durée de l’emploi + 5 à 10 ans | Varie selon les pays |
| Documents comptables | 10 ans | La plupart des États membres de l’UE |
| Dossiers médicaux | 10 à 30 ans | Varie significativement |
| Marchés publics | 5 à 10 ans après la clôture du contrat | Directive UE 2014/24/UE |
La période de conservation commence à des moments différents selon le type de document et la juridiction. Pour les factures, elle commence généralement à la fin de l’exercice fiscal au cours duquel la facture a été émise, et non à la date de la facture.
SealDoc et la chaîne de garde
SealDoc enregistre une piste d’audit avec chaîne de hachage pour chaque document qui passe par son pipeline. La chaîne commence à la création du document, inclut chaque étape de traitement (validation, conversion, signature, archivage) et est ancrée avec un horodatage RFC 3161 d’une TSA européenne qualifiée.
La piste d’audit est exportée dans le cadre du dossier de preuve légale. Chaque entrée est vérifiable par machine indépendamment des systèmes de SealDoc. Si votre organisation conserve des documents pendant dix ans et que SealDoc n’existe plus dans huit ans, le dossier de preuve reste indépendamment vérifiable : la chaîne est calculée à partir des hachages de documents, et l’horodatage RFC 3161 est vérifié par rapport au certificat public de la TSA, qui est un document public.
Cette indépendance est l’essentiel. Des preuves qui dépendent du fonctionnement continu de leur émetteur ne sont pas des preuves fiables à long terme.