Archivage et PDF/A

Spec Spec: ISO 19005-4:2020, PDF/A-4 ISO 19005-4:2020 PDF/A-4 Spec Spec: ISO 19005-2, PDF/A-2 ISO 19005-2 PDF/A-2 Evidence § Standard-backed Evidence: Standard-backed

En bref

Le format PDF/A est celui vers lequel tu te tournes lorsqu’un document doit rester lisible et fidèle dans plusieurs décennies, sur des logiciels qui n’existent pas encore. Cette page explique ce que cette garantie couvre réellement, comment NextPDF produit un fichier conforme et le point qui surprend souvent les équipes. Produire un PDF/A et prouver qu’un fichier est PDF/A sont deux tâches distinctes. La seconde reste la tienne.

Pourquoi c’est important

Les obligations d’archivage ne pardonnent pas, mais leurs échecs restent discrets. Le fichier paraît correct aujourd’hui, alors il est classé. La défaillance — une police non incorporée, une couleur dépendante du périphérique, un trailer chiffré — refait surface des années plus tard, quand l’environnement d’origine a disparu et que plus personne ne peut reconstituer l’apparence attendue du document. À ce stade, le coût ne se limite plus à générer un nouveau rendu : c’est un document auquel tu ne peux plus te fier.

Le format PDF/A existe précisément pour éliminer cette catégorie de défaillances. Mais « nous avons utilisé une bibliothèque PDF/A » n’est pas la même chose que « ce fichier est conforme ». Confondre les deux, c’est ainsi que les archives accumulent des documents qui ne sont conservés qu’en apparence.

La version courte

• L’objectif du format PDF/A est une reproduction fidèle, autonome et indépendante du périphérique dans le temps — il préserve l’apparence visuelle statique d’un document indépendamment des outils qui l’ont produit (ISO 19005-2, Introduction).
• Cela impose des contraintes concrètes : toutes les polices incorporées, une couleur indépendante du périphérique (directement ou via un intent de sortie ; ISO 19005-4 §6.2.4.1), et aucun chiffrement dans le trailer.
• NextPDF produit du PDF/A via un mode explicite, activé sur demande, qui refuse les opérations incompatibles plutôt que d’émettre un fichier qui, en silence, n’est pas conforme.
• La conformité est déterminée par un outil de contrôle, et non affirmée par le producteur. Même la réussite de l’archivage au sens de la norme dépend de l’environnement et des procédures qui l’entourent (ISO 19005-4, Introduction). Valider la sortie reste une étape à ta charge.

L’approche de NextPDF

NextPDF traite le PDF/A comme un mode du document, et non comme un filtre de post-traitement. Le mode est activé sur demande. Une fois actif, il protège activement le document contre les opérations qui rompraient la conformité. Le principe de conception est l’échec rapide. Mieux vaut refuser explicitement une demande de PDF/A chiffré que de rendre un fichier qui semble prêt pour l’archivage sans l’être.

Le scénario comporte quatre étapes, et la troisième est celle que les équipes omettent.

1. Compose for permanence Embed every font, use device-independent colour or an output intent, and avoid features the chosen PDF/A part forbids.
2. Enable the PDF/A mode Opt in explicitly to the target conformance level. The mode now guards the document against incompatible operations.
3. Validate independently Run a conformance checker. A passing report — not the producing library — is the evidence the archive needs.
4. Preserve with procedure Store under records-management policy. The standard itself notes archival success depends on the environment, not the file alone.

Le scénario d'archivage de bout en bout : le moteur produit un candidat conforme et refuse les opérations qui rompent la conformité ; un validateur indépendant rend le verdict qui compte réellement pour une archive.

L’activation est un véritable garde-fou, pas un simple drapeau. Lorsque le mode PDF/A est activé et qu’une opération incompatible est tentée — activer AES-GCM ou le gestionnaire de chiffrement standard — le moteur lève une erreur d’incompatibilité typée. Le garde-fou fonctionne dans les deux sens : activer le PDF/A puis demander le chiffrement, ou demander le chiffrement puis activer le PDF/A. Dans les deux cas, le résultat est un refus net. ISO 19005 interdit la clé Encrypt dans le trailer d’un fichier conforme, et le moteur considère cela comme contraignant plutôt que consultatif.

Le mode maintient aussi un état interne fiable. Activer le PDF/A pour une partie précise (par exemple un niveau PDF/A-3 fidèle à l’octet plutôt que PDF/A-4) ajuste le discriminant de conformité du document en conséquence. Les contrôles côté writer qui dépendent de la partie voient alors la bonne valeur plutôt qu’une valeur par défaut périmée. C’est le type de cohérence interne qui peut décider de l’acceptation du fichier par un validateur.

Human-factors note: Human-factors note

La phrase la plus importante de cette page ne concerne pas le moteur. La conformité PDF/A est une propriété du fichier final, établie par un validateur, pas une propriété du logiciel qui l’a produit. ISO 19005-4 indique explicitement que la réussite de l’archivage dépend aussi des exigences de conservation propres à l’organisation, des procédures de gestion documentaire et de toute condition supplémentaire nécessaire à la persistance dans le temps. NextPDF te fournit un candidat conforme et refuse les opérations qui rompraient sa conformité. Le verdict, et la durabilité de l’archive, proviennent du validateur et du processus qui l’entoure.

Ce que disent les preuves

Cette page est adossée à la norme d’un bout à l’autre. Evidence § Standard-backed Evidence: Standard-backed

L’objectif est fixé par la norme. Spec Spec: ISO 19005-2 ISO 19005-2 énonce que l’objectif premier du PDF/A est un mécanisme de représentation des documents électroniques afin que leur apparence visuelle statique soit préservée dans le temps, indépendamment des outils et systèmes utilisés. Les contraintes en découlent : Spec Spec: ISO 19005-4:2020, §6.2.4.1 ISO 19005-4:2020 §6.2.4.1 exige que la couleur soit spécifiée de façon indépendante du périphérique, directement ou via l’intent de sortie PDF/A. Le format de base renforce aussi l’exigence sur les polices — Spec Spec: ISO 32000-2:2020, §9 ISO 32000-2:2020 §9 note que le rendu le plus prévisible et le plus fiable se produit quand toutes les polices sont incorporées, propriété même dont une archive ne peut se passer.

La limite figure elle aussi dans la norme, et pas seulement comme un simple avertissement rédactionnel. Spec Spec: ISO 19005-4:2020 ISO 19005-4:2020 indique dans son Introduction que la réussite d’une mise en œuvre d’archivage dépend de l’environnement d’archivage de l’organisation, de ses politiques de gestion documentaire et de conditions de persistance supplémentaires. La conformité est évaluée au regard des exigences normatives applicables par un outil de contrôle — elle n’est pas déclarée par le producteur.

Le comportement du moteur est adossé au code : Evidence { } Code-backed Evidence: Code-backed Document::enablePdfA() est une activation explicite qui lève une erreur d’incompatibilité typée lorsque le chiffrement et le PDF/A sont combinés dans un ordre ou l’autre, et maintient le discriminant de conformité du document en phase avec la partie sélectionnée.

Exemple concret

Le code ci-dessous montre le comportement du garde-fou à ce point de jonction. Le mode PDF/A lui-même est une fonctionnalité du niveau Premium. Le contrôle de conformité reste une étape distincte et indépendante.

<?php

declare(strict_types=1);

use NextPDF\Contracts\PdfDocumentInterface;
use NextPDF\Security\Exception\IncompatiblePdfAModeException;

/**
 * Produce an archival candidate, then prove it independently.
 *
 * The engine refuses conformance-breaking combinations; it does NOT
 * certify the result. A validator does that.
 *
 * @param PdfDocumentInterface $doc       A document with all fonts embedded
 * @param object               $pdfaLevel The target PDF/A version (Premium enum)
 *
 * @return string The archival candidate's bytes — not yet a verified PDF/A
 */
function buildArchivalCandidate(
    PdfDocumentInterface $doc,
    object $pdfaLevel,
): string {
    try {
        // Opt in explicitly. From here the mode guards the document.
        $doc->enablePdfA($pdfaLevel);
    } catch (IncompatiblePdfAModeException $e) {
        // e.g. encryption was already requested — refused, not silently
        // downgraded into a non-conforming "archival" file.
        throw new \RuntimeException(
            'PDF/A and encryption are mutually exclusive for a conforming '
            . 'file; resolve before archiving.',
            previous: $e,
        );
    }

    $bytes = $doc->getPdfData();

    // The step teams skip: this is a CANDIDATE. Run an independent
    // conformance validator before treating it as a preserved record.
    return $bytes;
}

La leçon se trouve dans le commentaire sur la valeur de retour. Le nom de la fonction dit candidate à dessein. Le moteur a produit quelque chose qui devrait être conforme. Seul un outil de contrôle transforme ce « devrait » en preuve.

Idée reçue courante

Une idée reçue fait entrer dans les archives des documents qui ne sont pas réellement conservables : « la bibliothèque dit PDF/A, donc le fichier est PDF/A. » Ce n’est pas à la bibliothèque de rendre ce verdict. Un producteur peut émettre un fichier destiné à être conforme et manquer tout de même une exigence normative. La conformité est déterminée au regard de la norme par un outil de validation. C’est sur cette détermination que s’appuie un auditeur ou un futur lecteur. Prendre l’intention de la bibliothèque productrice pour une preuve est l’erreur fondamentale.

Un second piège, plus subtil : supposer que le PDF/A à lui seul préserve le document. La norme elle-même lie la réussite de l’archivage à l’environnement et aux procédures qui l’entourent. Un fichier conforme dans un dépôt mal tenu reste menacé. Le format est nécessaire, mais pas suffisant.

Limites et périmètre

• NextPDF produit un candidat conforme ; il ne certifie pas la conformité. Exécute un validateur indépendant. C’est un rapport favorable qui constitue la preuve, pas la bibliothèque productrice.
• Les modes de conformité PDF/A sont une fonctionnalité du niveau Premium. Core émet du PDF 2.0 simple et expose un chemin de mise à niveau exploitable. Il ne fournit aucune garantie PDF/A. Voir le périmètre ci-dessous.
• Le PDF/A et le chiffrement sont mutuellement exclusifs pour un fichier conforme. Le moteur refuse la combinaison dans un ordre ou l’autre plutôt que de se dégrader en silence.
• Le moteur ne peut pas incorporer des polices qu’on ne lui donne pas, ni corriger une couleur dépendante du périphérique que tu fournis. Composer pour la permanence — polices incorporées, couleur indépendante du périphérique — relève de la responsabilité des entrées.
• La durabilité de l’archivage dépend du processus, pas du fichier seul. ISO 19005 fait des procédures organisationnelles de conservation et de gestion documentaire une composante de la réussite de la préservation.
• Cette page est adossée à la norme et décrit le comportement de la surface Premium. Elle n’affirme aucune certification et n’en accorde aucune.

PDF/A archival conformance — edition availability

Edition	Availability
Core	○ Core ne produit que du PDF 2.0 simple. enablePdfA() lève une erreur de mise à niveau exploitable pointant vers le paquet commercial. Il n’existe aucune garantie PDF/A propre à Core.
Pro	○ Les modes de conformité PDF/A (y compris les niveaux PDF/A-3 fidèles à l’octet et le PDF/A-4) sont disponibles, avec le garde-fou qui refuse la combinaison avec le chiffrement.
Enterprise	○ Ajoute une politique et un rapport structurels de conformité PDF/A (qui restent un contrôle de structure, pas une certification — la détermination finale revient à un validateur et à ton équipe chargée de la conformité).

Documentation associée

• Les polices : la partie difficile — pourquoi une police qui semble correcte peut tout de même rendre un fichier non conforme ou impossible à interroger.
• Les tests par fichier de référence — comment une sortie de référence figée détecte la dérive d’octets qui rompt discrètement les garanties d’archivage.
• Factures et facturation électronique — le cas voisin le plus proche : un porteur de facture hybride est lui-même un fichier PDF/A.

Glossaire

• PDF/A — la famille ISO 19005 : un profil PDF contraint pour la conservation à long terme, conçu pour reproduire l’apparence statique d’un document dans le temps, indépendamment des outils producteurs.
• Niveau / partie de conformité — la variante PDF/A précise (par exemple PDF/A-2, PDF/A-3, PDF/A-4 et ses sous-niveaux) ; chacune contraint les fonctionnalités PDF utilisables.
• Intent de sortie — un profil de caractérisation des couleurs incorporé qui permet d’interpréter une couleur dépendante du périphérique de façon indépendante du périphérique.
• Couleur indépendante du périphérique — une couleur spécifiée de sorte qu’elle se reproduise de façon cohérente quel que soit le périphérique de rendu, une exigence PDF/A.
• Outil de contrôle / validateur de conformité — un logiciel indépendant qui juge un fichier au regard des exigences normatives de la norme ; la source du verdict de conformité.
• Candidat d’archivage — un fichier produit en visant la conformité, avant qu’un validateur indépendant ait confirmé qu’il l’est réellement.