← Back to all articles

Qu'est-ce qu'un dossier de preuve légale et que contient-il ?

SealDoc Team · · 6 min read

Stocker un document n’est pas la même chose que de prouver que ce document a existé.

Si une administration fiscale, un tribunal ou un organisme de réglementation vous demande de prouver qu’une facture précise a été envoyée à une date précise, qu’un contrat a été signé avant une échéance, ou qu’un rapport de conformité a été déposé dans sa forme originale et non modifiée, produire le document lui-même ne suffit pas. Vous devez démontrer que le document est authentique, non altéré, et que son horodatage est fiable.

C’est ce que fournit un dossier de preuve légale.

Ce que c’est

Un dossier de preuve légale est une archive structurée qui combine un document avec les éléments de preuve nécessaires à sa vérification. Il répond à quatre questions auxquelles un document seul ne peut pas répondre :

  1. Ce document existait-il à ce moment précis ?
  2. A-t-il été modifié depuis lors ?
  3. Qui l’a traité, quand et dans quel ordre ?
  4. Est-il conforme à la norme ou au format applicable ?

Le dossier regroupe les preuves répondant à ces quatre questions dans un seul artefact vérifiable.

Ce qu’il contient

Un dossier de preuve légale complet contient au minimum :

Le document lui-même dans un format d’archivage à long terme. Pour la plupart des cas de conformité, il s’agit de PDF/A-3 : un PDF d’archivage ISO 19005 qui intègre toutes les polices, profils colorimétriques et données structurées, et dont le rendu est garanti identique dans les visionneuses futures. Un PDF ordinaire ne suffit pas car les références de polices externes, les scripts JavaScript et les ressources liées peuvent évoluer ou disparaître.

Un horodatage RFC 3161 lié au hachage du document au moment de sa création. Cet horodatage est émis par une autorité d’horodatage de confiance et prouve que le document existait sous sa forme exacte à un moment précis. Un horodatage RFC 3161 est l’équivalent technique d’un cachet de la poste certifié : il est émis par un tiers, vérifiable hors ligne et ne peut pas être rétroactivement modifié. Une date de modification du système de fichiers n’est pas équivalente ; elle peut être changée sans laisser de trace.

Un journal d’audit enregistrant chaque étape de traitement ayant touché le document. Chaque entrée du journal d’audit comprend : le type d’étape (création, validation, signature, archivage), l’acteur, un horodatage et un hachage de l’état du document à cette étape. Les entrées sont liées par une chaîne de hachage de sorte que toute altération d’une entrée invalide toutes les entrées suivantes.

Un rapport de validation confirmant que le document était conforme à la norme applicable au moment du traitement. Pour une facture, il s’agit de la validation Schematron EN16931. Pour un contrat, il peut s’agir d’une vérification de format et d’une validation de schéma. Le rapport est inclus dans le dossier sous forme d’artefact structuré, et non d’un simple indicateur de réussite ou d’échec.

Un manifeste avec les hachages SHA-256 de chaque fichier du dossier. Cela permet à un auditeur de vérifier indépendamment qu’aucun fichier du dossier n’a été substitué ou altéré depuis sa création.

Un passeport de conformité résumant ce qui précède sous une forme lisible par machine et par un humain. C’est l’artefact que vous remettez à un auditeur : un seul fichier indiquant « ce document a réussi ces vérifications, a été horodaté à ce moment et présente cette chaîne de garde ».

Quand vous en avez besoin

Les exigences d’audit fiscal varient selon les pays, mais la logique est cohérente dans toute l’UE : le document doit être conservé sous une forme qui prouve son intégrité et permet sa vérification. En Allemagne, la GoBD exige que les documents électroniques soient archivés de manière à empêcher toute altération ultérieure et permettre la reconstruction de l’état original. En France, la DGFiP impose des garanties similaires. Aux Pays-Bas, le Belastingdienst attend que les factures soient archivées pendant sept ans sous une forme vérifiable.

Les procédures judiciaires imposent des exigences analogues. Si un litige contractuel aboutit à un contentieux, la question « ce contrat existait-il sous cette forme à cette date » se répond par des preuves, non par le contenu de votre serveur de fichiers.

Les inspections réglementaires (NIS2, RGPD, secteurs spécifiques : santé, finance, assurance) exigent de plus en plus des preuves de processus, et pas seulement de résultats. Un dossier de preuve fournit les deux.

Ce qu’un document seul ne vous donne pas

Un PDF dans un dossier sur un serveur de fichiers ne vous dit rien sur :

  • Si le PDF existait avant aujourd’hui
  • S’il a été modifié depuis sa création
  • Quel traitement il a subi avant d’être stocké
  • S’il est conforme à une norme applicable

Tous ces éléments nécessitent des preuves externes. Un horodatage RFC 3161 établit le quand. Une chaîne de hachage établit la séquence des événements. Un rapport de validation établit la conformité. Le manifeste établit qu’aucun de ces éléments n’a été altéré.

Sans le dossier, vous avez un document. Avec le dossier, vous avez une preuve.

La différence entre archivage et preuve

La plupart des systèmes de gestion documentaire fournissent un archivage : le document est stocké dans un emplacement qui n’est pas facilement modifiable. L’archivage résout le problème d’accès et de conservation.

La preuve est différente. La preuve signifie que l’existence, la forme et la provenance du document peuvent être vérifiées par une partie qui n’a pas participé à sa création, en utilisant des informations qui ne peuvent pas être manipulées par le dépositaire original.

Un hachage horodaté par une autorité tierce répond à cette exigence. Un fichier stocké sur votre propre serveur, avec vos propres journaux de sauvegarde et vos propres politiques de conservation, n’y répond pas. Ce n’est pas une distinction théorique. C’est la question qu’un auditeur posera.

SealDoc et les dossiers de preuve légale

SealDoc génère un dossier de preuve légale sous forme de sortie structurée pour chaque document qu’il traite. Le dossier est un fichier ZIP unique contenant le document PDF/A-3, le jeton d’horodatage RFC 3161, le journal d’audit avec chaîne de hachage, le rapport de validation et le manifeste. Chaque composant est vérifiable par machine indépendamment des systèmes de SealDoc : l’horodatage peut être vérifié par rapport au certificat public de l’autorité émettrice, les hachages peuvent être recalculés à partir des fichiers du dossier et la chaîne du journal d’audit peut être validée localement.

Si votre organisation doit démontrer l’intégrité des documents à un auditeur, un régulateur ou un tribunal, le dossier de preuve est l’artefact que vous produisez. Il ne nécessite aucune préparation supplémentaire car les preuves ont été capturées au moment du traitement.

← Back to all articles