Livre blanc

Transcription

Livre blanc

Livre blanc
Octobre 2010
Archivage Electronique et Conformité
Réglementaire
Comprendre et mettre en œuvre des systèmes d’archivage électronique à
valeur probatoire
17 quai Joseph Gillet
69004 Lyon - France
+33 (0)4 26 68 33 00
www.ever-team.com
24, rue de Milan
75009 Paris - France
+33 (0)1 44 53 45 00
www.serda.com
2
1.
A propos de cet ouvrage .......................................................................................................................... 3
2.
Enjeux ...................................................................................................................................................... 4
3.
Genèse du Système d’Archivage Electronique ......................................................................................... 5
4.
SAE et systèmes de stockage ................................................................................................................... 8
5.
Cadre juridique et légal associé au SAE .................................................................................................. 18
6.
Cadre normatif associé au SAE ............................................................................................................... 20
7.
Mise en place d’un SAE : un projet à plusieurs étapes. .......................................................................... 25
8.
Bénéfices et Perspectives....................................................................................................................... 28
9.
Les contributeurs ................................................................................................................................... 29
Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW
3
1. A PROPOS DE CET OUVRAGE
Ce document s’adresse à tous ceux qui doivent mettre en place un Système d’Archivage
Electronique (SAE). Il sera très utile pour ceux qui mènent des missions de conseil et de
prévention et qui doivent s’assurer de la maîtrise du risque de non-conformité, risque pouvant
entraîner des sanctions pénales et financières et une atteinte à l'image de l'entreprise et de ses
dirigeants. En plus des responsables conformité (Compliance Officer), ce document s’adresse aux
DSI qui devront mettre en place le SAE.
Ce document souligne les points essentiels pour concevoir, mettre en place et exploiter un
système d’archivage électronique conforme à la réglementation, avec une vision juridique,
organisationnelle et technique, apportée par Philippe Ballet, avocat chez Alain Bensoussan
Avocats, Michel Thomas, consultant expert chez Serda, Christian Dubourg, Directeur chez EVER
TEAM Software. Une partie des textes composant ce document est issue d’un article intitulé
«SPECIFICATIONS JURIDIQUES ET TECHNIQUES DES SYSTEMES D’ARCHIVAGE ELECTRONIQUE »
publié le 5 février 2010 et rédigé par Philippe Ballet et Michel Thomas.
Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA
4
2. ENJEUX
Depuis que les entreprises ou les collectivités échangent des informations avec des tiers, il est
indispensable pour certaines catégories de documents de mettre en place des systèmes afin de
conserver les documents qui revêtissent une valeur légale opposable à un tiers. Cette valeur ne
s’applique qu’aux documents originaux. La loi définit précisément les obligations et les durées de
conservation ainsi que les risques financiers voir pénaux associés au non respect de ces
obligations.
Les normes et réglementations ont été modifiées durant ces dix dernières années pour s’adapter
au nouveau contexte d’une gestion des données et des documents dématérialisés. La crise
financière va accroître cette pression réglementaire. La Commission européenne a récemment
publié une proposition de directive visant à harmoniser la réglementation du secteur financier.
En France, les prestataires de services d’investissement (PSI) sont soumis au Code monétaire et
financier ainsi qu’au Règlement général de l’Autorité des Marchés Financiers. Ces dispositions
leur impose la mise en place d’un système d’archivage électronique, lequel participe directement
au contrôle permanent interne, en particulier la sécurité de l’information, comme l’intégrité et,
par conséquent, à la maîtrise du risque opérationnel.
Le recours aux normes, telle que la norme NF Z42-013 sur l’archivage électronique, s’il est
nécessaire, ne dispense pas d’une réflexion approfondie pour en faire un outil de conformité
avec une approche des coûts et des risques.
Au-delà des risques économiques liés à la non conformité, notamment le pouvoir de sanctions
de l’Autorité des marchés financiers, la croissance non contrôlée de la volumétrie des données
milite également pour la mise en place d’un système d’archivage électronique permettant de
gérer les durées de conservation et de désengorger les serveurs de production.
5
3. GENESE DU SYSTEME D’ARCHIVAGE ELECTRONIQUE
Du Papier au
fichier
Les documents sont des flux d’informations qui entrent ou qui sortent des
organismes ou des entreprises depuis toujours. Ces documents contiennent des
informations plus ou moins importantes et plus ou moins précieuses pour
l’entreprise. Il s’agit souvent d’informations échangées avec des tiers via des
moyens technologiques même anciens tels que le papier qui permettent de
fixer les mots et de les transporter. Avant les années 1960, le support papier a
été en majorité utilisé pour transporter les informations échangées. Ainsi, le
document est devenu un support de contenu créé par un tiers à destination
d’un autre tiers. Les moyens d’acheminement de ces documents
correspondaient au déplacement physique du papier d’un émetteur vers un
destinataire. Pour ce faire, les entreprises utilisaient les services de tiers de
confiance comme ceux proposés par La Poste en France. Pour les documents
jugés importants, ces tiers de confiance offraient également des services plus
ou moins couteux pour permettre d’apporter la preuve à l’émetteur que le
document avait bien été reçu par le destinataire (recommandé avec AR).
Comme les possibilités de perte des documents existaient pendant la phase de
transport, il était coutume de réaliser une copie papier du document avant de
le confier au tiers de confiance. Ainsi, il était toujours possible de renouveler
l’envoi en cas de défaillance du tiers de confiance.
Dans les années 1970, l’arrivée de nouveaux moyens de communication a
changé la manière dont les entreprises échangeaient les documents. L’arrivée
des télécopieurs apportait de véritables nouvelles possibilités technologiques
pour simplifier l’échange de copie de documents papiers entre tiers sans
déplacer physiquement le support papier. Les défauts du télex étaient
entièrement gommés par ce nouveau moyen de communication basé sur des
normes d’échange internationales (CCITT) et permettant de reproduire à
l’identique sur le terminal papier du destinataire, le document envoyé par
l’émetteur. Toutes les informations visuelles (logo, signature, …) étaient
reproduites par ce nouveau procédé technologique mais avec quelques
dégradations du fait de la perte de qualité et de l’appauvrissement réalisé par la
transformation des couleurs en points noirs et blancs.
L’arrivée des serveurs fax, puis de la messagerie électronique a facilité encore
les échanges de copie de documents papiers entre tiers tout en conservant les
principes initiaux du télécopieur. Les copies de documents sont transmises sous
la forme de fichiers électroniques comportant l’image des documents papiers.
Il n’est dès lors plus nécessaire d’imprimer le fichier pour visualiser et exploiter
le document électronique.
6
Malgré la facilité de transport des copies de document via la messagerie ou
tout autre moyen, la majorité des documents échangés entre tiers doit être
conservée à fin de preuve. Comme le mentionne la loi du 13 mars 20001
précisant l’usage d’un procédé fiable d’identification garantissant son lien avec
l’acte auquel elle s’attache, la copie électronique dépourvue d’une
identification intègre du signataire ne suffit pas à donner à ce document
électronique une valeur identique au document original. La conservation de
certaines catégories de documents papiers est donc toujours nécessaire même
si la loi facilite l’utilisation des copies électroniques. Pour exemple, depuis 2001,
les services administratifs, les entreprises, ne peuvent plus dans leurs
demandes, exiger la production d'une copie certifiée conforme à l'original d'un
document administratif. La production d'une photocopie simple du document
original, dés lors qu'il est lisible, doit être acceptée. Cependant, en cas de
doute sur la validité de la copie produite ou envoyée, ces administrations ou
autres organismes peuvent demander de manière motivée, par lettre
recommandée avec demande d'avis de réception, la production de l'original.
Documents
électroniques :
cycle sans
papier
Depuis quelques années, la législation a évolué afin de permettre aux
entreprises de dématérialiser dès l’origine certains documents et de passer
dans un cycle sans papier. Avec cette approche, il n’est plus nécessaire de
générer une forme papier du document. C’est par exemple le cas pour la
facture électronique. Pour ce type de document, trois possibilités sont
offertes :
La dématérialisation simple: la facture papier est numérisée pour un usage
propre à l’entreprise (service comptable, commerciale, marketing, etc.).
Avec cette approche, les « informations » de la facture sont disponibles
sous forme électronique mais la « facture-papier » reste nécessaire d’un
point de vue fiscal.
La dématérialisation fiscale sous forme de flux EDI : la facture papier
n’existe plus. Les informations contenues dans la facture sont structurés
sous forme de données informatique et échangées entre système
informatique via l’EDI. Ce moyen d’échange reste cependant couteux à
mettre en place pour les PME.
La dématérialisation fiscale sous forme de fichier : L'article 289-V du CGI4 2
fixe la possibilité d'une dématérialisation fiscale de la facture sous la forme
1
Loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information
et relative à la signature électronique.
2
Code Général des impôts : Article 289 modifié par LOI n°2010-237 du 9 mars 2010 - art. 16
7
d’un fichier qu’il est alors possible de véhiculer simplement. « Les factures
peuvent, sous réserve de l'acceptation du destinataire, être transmises par
voie électronique dès lors que l'authenticité de leur origine et l'intégrité de
leur contenu sont garanties au moyen d'une signature électronique. Les
factures ainsi transmises tiennent lieu de facture d'origine pour
l'application de l'article 286 et du présent article.». Les modes
d’implémentation de cet article peuvent être mis en oeuvre à l’aide de
fichiers non structurées ou semi-structurées (facture au format PDF, …),
comme à des fichiers structurés (fichiers xml, ebXML par exemple). Pour
faciliter les échanges électroniques, l’administration fiscale a précisé que la
signature électronique pouvait émaner d’une personne morale et non pas
uniquement d’une personne physique.
Plus récemment, Le Code du travail modifié par la Loi du 12 mai 2009 donne la
possibilité aux employeurs de remettre un bulletin de paie aux salariés sous
forme électronique. Il devient donc important de pouvoir mettre en place un
moyen pour conserver les documents électroniques et les mettre à disposition
pour des tiers (salariés par exemple) mais également pour pouvoir conserver
les fichiers électroniques envoyés par des tiers.
La conservation
du document
numérique :
naissance du
SAE
De part l’ensemble des avantages qu’apportent le document numérique,
l’usage du document papier diminue très rapidement et d’une manière
inexorable. Le document original numérique devient donc un ensemble
d’octets qu’il convient de conserver aussi longtemps et d’une manière aussi
adaptée que ce qui était mis en place pour les documents papiers. Les
obligations et les risques associés à la non conservation des documents
électroniques originaux sont les mêmes que ceux qui existent vis-à-vis des
originaux papiers. Comme pour les documents papiers, il ne doit exister qu’un
seul original. Celui qui à une valeur légale. Les autres documents peuvent être
considérés comme des copies. Une impression papier d’un document
électronique n’a pas de valeur légale même si on pourrait peut-être arriver à
lui donner une certaine valeur probatoire à l’aide d’éléments de preuve
associés à la copie papier. La conservation des documents papiers à valeur
légale est assurée par la mise en place d’un système d’archivage où les
documents sont classés dans des boîtes d’archives, elles mêmes rangées dans
des rayonnages. Parfois, pour faciliter l’accessibilité à certaines catégories de
documents, des moyens de reproduction sont mis en place par ces services. Il
peut s’agir de techniques de micrographie ou de numérisation. Le système
d’archivage papier peut être interne à l’entreprise, ou externalisé chez un tiers
archiveur spécialisé dans la gestion des documents papiers. Dans le cadre de la
numérisation, les images des documents peuvent être versées dans le système
d’archivage électronique afin de leur donner une valeur de copie. Pour assurer
la conservation des documents électroniques, le système d’archivage papier
doit être remplacé ou complété par Le SAE (Système d’Archivage Electronique).
8
4. SAE ET SYSTEMES DE STOCKAGE
Principes
fondamentaux
Avec l’arrivée des documents électroniques à valeur légale, les nouveaux enjeux
pour les entreprises et les tiers archiveurs consistent à assurer la valeur
probatoire dans le « temps probant » pour ces nouveaux types de documents.
La difficulté liée à la volatilité des documents électroniques est réelle et
nécessite de mettre en place un système performant apportant de véritables
solutions liées aux contraintes imposés par un SAE:
La prise en charge et la maitrise des versements des documents
électroniques dans le SAE.
L’intégrité des documents versés dans le SAE.
La traçabilité des actions réalisées sur les documents électroniques et aux
opérations réalisées au sein du SAE.
La pérennité des documents électroniques et des traces associées au
regard du temps pour permettre la lisibilité et l’audit des contenus.
La réversibilité des contenus archivés dans le SAE
La sécurité des documents électroniques et du SAE.
Le SAE gère les documents électroniques qui lui sont confiés par des
applications externes. Pour le stockage des fichiers, il peut s’appuyer sur un
« coffre-fort numérique » ou gérer directement le stockage sur des ressources
disques qu’il pilotera. Les outils et mécanismes de stockage, qu’il soit mis en
œuvre par le SAE ou par le « coffre-fort numérique » piloté par le SAE, doivent
respecter les standards et ne pas utiliser des principes de chiffrement ou tout
autre mécanisme propriétaire de gestion des fichiers.
Les documents électroniques qui doivent être conservés pendant plusieurs
dizaines d’années doivent être stockés de manière à ce qu’il soit facilement
possible de les déplacer sur de nouveaux supports de stockage au bout de
quelques années du fait de l’obsolescence rapide (moins de 10 ans) des
technologies de stockage. Le SAE doit donc être le plus indépendant que
possible du matériel utilisé pour le stockage afin de pouvoir facilement en
changer lorsque ce matériel devient obsolète. Pour ce faire, le SAE doit être
régulièrement contrôlés afin de vérifier que les technologies qu’il utilise restent
pertinentes au regard des évolutions technologiques. Il doit permettre
d’anticiper l’obsolescence afin de gérer le changement dans des conditions
organisationnelles et financières optimales.
Dans tous les cas, le SAE a la responsabilité des documents électroniques qui lui
sont confiés et doit mettre en œuvre l’ensemble des moyens techniques et
technologiques nécessaires pour répondre aux contraintes exposées ci –dessus.
9
Architecture
d’un SAE et
enjeux
stratégiques
dans le système
d’information
Le SAE dans le SI
Les applications métiers qui génèrent des documents papiers pour des tiers
(rentrant dans le cadre des catégories de documents qu’il faut conserver) sont
amenées à évoluer. Actuellement, ces applications utilisent en majorité des
services d’impression et de mise sous pli des documents pour imprimer puis
envoyer par courrier les documents aux tiers. Une copie est alors conservée
dans le service d’archive ou directement aspirée par un outil de GED (Gestion
Electronique de Documents) de type COLD.
Les nouvelles générations d’application métiers permettent déjà pour certaines
et vont permettre pour les autres, de générer des documents électroniques, de
les signer pour en assurer l’authentification, et de les déposer sur des serveurs
sécurisés pour que les destinataires puissent les récupérer. Certaines
applications vont jusqu’à gérer l’envoi des données électroniques (EDI) vers les
systèmes tiers.
Cependant, ces applications métiers n’offrent pas la possibilité de gérer la
valeur probatoire des documents électroniques car cette préoccupation est
éloignée du cœur de l’application. De plus, les échanges multi latérales
s’intensifient, et les entreprises reçoivent de plus en plus de documents
électroniques par des canaux aussi difficiles à maitriser que la messagerie
d’entreprise.
Afin de gérer les documents électroniques entrants et sortants qu’il convient de
conserver au regard de la politique d’archivage de chaque entreprise, il devient
nécessaire de mettre en place au service du système d’information de chaque
entreprise, un SAE capable de gérer les documents électroniques en
provenance des différents canaux et progiciels qui peuvent fournir ce type de
document. Pour permettre aux applications du SI de déposer des documents
électroniques dans le SAE d’entreprise, il est nécessaire de mettre en place des
mécanismes de versements universels que toutes les applications existantes ou
à venir dans le SI pourront utiliser afin de confier leurs documents.
ECM - GED - SAE
Le système d’archivage électronique (SAE) est un sous ensemble des
technologies de la gestion de contenu (ECM). La gestion électronique des
documents (GED) est également un sous ensemble de la gestion de contenu
(ECM). Les deux types d’application (GED et SAE) gèrent des documents
électroniques.
Il semble donc à priori étonnant de devoir mettre en œuvre un SAE lorsqu’une
GED est en place ou de mettre une GED en place lorsqu’un SAE est en place.
Pourtant le périmètre d’un SAE est totalement différent de celui d’une GED.
10
Un document électronique possède une durée de vie globale souvent qualifié
dans les normes de durée administrative (DUA). Cette durée de vie est ellemême constituée de deux périodes différentes. La durée d’utilité courante et la
durée d’utilité intermédiaire. La durée d’utilité courante est la durée durant
laquelle l’accès au document est souvent fréquent du fait des actions à réaliser
liées au document et au contenu qu’il porte. Les systèmes de GED sont souvent
mis en œuvre pour gérer les documents pendant cette période du cycle de vie
du document. Le temps moyen de cette durée est très variable selon le type de
document. Il peut s’agir de quelques jours jusqu’à quelques années.
Une fois la durée d’utilité courante passée, le document entre dans sa période
appelée durée d’utilité intermédiaire. Il s’agit alors de préserver le document
tant qu’il est nécessaire de le conserver par rapport aux obligations légales.
Bien souvent, cette durée est importante, et il devient inutile de saturer les
systèmes de GED avec ces documents puisqu’ils n’ont plus aucune utilité.
Le SAE doit être utilisé dès le début du cycle de vie du document électronique
et donc le plus tôt possible après sa création. Plus le SAE prend en charge le
document rapidement, meilleur est sa valeur probatoire. Il ne faut pas attendre
la fin de la durée utile du document pour le verser dans le SAE mais il faut le
verser dès sa création.
Bien entendu, une copie électronique peut vivre en même temps dans un
système de GED. Mais le document original doit être déposé au plutôt dans le
SAE qui reste le garant de son intégrité. Dans le cas de la mise en œuvre d’une
GED qui produit des documents à valeur probatoire comme un courrier
électronique signé, il est alors important que la GED puisse verser le document
dans le SAE après signature du document par son auteur. Une copie du
document peut néanmoins rester dans la GED pendant sa durée de vie utile.
11
Eléments d’une
solution
d’Archivage
Electronique
Conformité aux spécifications normatives et aux exigences
Toute solution technologique complète pour mettre en place un SAE doit être
conforme aux spécifications techniques de la norme NF Z42-013:2009 en
appliquant toutes les exigences techniques minimales de la norme
conformément aux principes exposés dans le paragraphe 8.2 de ce document.
Du fait de sa capacité à gérer des documents électroniques mais également des
« records », la solution ES-Compliance, lorsqu’elle est couplée avec un système
informatique de gestion des transactions financières est parfaitement conforme
à l’article 313-50 de l’AMF puisqu’elle permet facilement de reconstituer
chaque étape clé du traitement de toutes les transactions dont la trace est
versée dans le SAE qui en assure alors l’intégrité, la sécurité et la pérennité en
dehors de l’application métier.
Un SAE s’intégrant au SI
Quelque soit le Système d’information et le schéma d’architecture en place ou
souhaité,
La solution d’Archivage Electronique doit s’intégrer au SI comme un simple
service complémentaire à la disposition des applications de l’entreprise.
Les documents électroniques à valeur probatoire de l’entreprise peuvent être
envoyés dans un coffre-fort électronique externe (tiers-archiveur) ou dans le
coffre-fort électronique de l’entreprise (système de stockage propre à
l’entreprise piloté par le SAE).
LA solution d’Archivage Electronique doit être positionnée au sein du SI comme
une solution transverse du système d’information qui permet à toutes les
applications de l’entreprise de déposer des documents électroniques. Mais il
est également possible de positionner ES-Compliance comme une solution
dédiée à l’archivage des documents électroniques d’une application particulière
du SI.
Dans tous les cas, le SAE est le garant de la sécurité, de l’intégrité et de la
pérennité des documents archivés. Il est également le responsable de la
constitution des journaux liés au cycle de vie des documents et aux évènements
d’exploitation du système.
12
Capture des documents et flux électroniques
La solution doit permettre d’assurer la capture des documents papiers (fichiers
numérisés) ou électroniques (fichiers électroniques ou messages électroniques
avec ou sans fichiers attachés). Pour la capture des documents électroniques,
La solution doit permettre de déclarer des flux d’archivage. Il s’agit pour chaque
type de flux candidat de paramétrer ses caractéristiques et de définir les règles
d’import qui lui seront associées. D’une manière standard, le SAE est en mesure
de capturer des flux déposés par des applications tiers dans des répertoires
disques dédiés mais également de capturer des flux arrivant sur des serveurs de
messagerie électronique. Son interface de capture extrêmement paramétrable
permet lorsque c’est nécessaire de développer spécifiquement des mécanismes
de capture différents.
Capture des métadonnées associées aux documents électronique : Pour
pouvoir intégrer un document électronique dans le SAE, il est obligatoire de
le décrire préalablement avec des métas-données associées conformément
aux exigences des normes en vigueur. Selon le cas, les métadonnées
peuvent se trouver directement intégrées dans le document électronique
ou se trouver dans une structure XML accompagnant le document
électronique à archiver. Lorsqu’un fichier porte ses métadonnées en son
seing, la fonction de capture du SAE peut extraire ces données s’il s’agit
d’informations structurées au format XMP (eXtensible Metadata Platform).
Cette technologie permet d'ajouter des données relatives à un fichier
directement dans le fichier lui-même, et ce sous forme de balise XML.
L’avantage de cette technologie spécifiée par Adobe est de rendre
indissociable le fichier et ses métadonnées. De nombreux formats de
fichiers supportent les balises XMP (PDF, TIFF, JPEG, GIG, PNG, HTML, AI,
SVG, PSD, EPS, AVI, MOV, MP4, WMA, …).
Vérification du format de fichier : Conformément à la norme NF Z42-013, le
SAE doit posséder une table des formats de fichiers électroniques qu’il
accepte de prendre en charge. Cette table évolutive permet de limiter
volontairement l’import de documents électroniques ayant des formats
standards et de refuser les fichiers dont le format ne serait pas accepté par
le SAE.
13
Conversion de format en entrée : Bien que pas toujours souhaitable, Le SAE
peut être en mesure de convertir des documents électroniques lors de leur
import. Cependant, la norme NFZ 42-013 préconise dans ses exigences
minimales liées à la pérennité d’utiliser des « formats normalisés ou
standardisés et utilisable librement ». Si à l’origine, les documents
électroniques versés n’utilisent pas ce type de format, la norme permet au
travers des exigences complémentaires liée à la pérennité, de réaliser des
« conversions des formats à l’entrée ». Le choix du nouveau format de
conservation et les modalités de conversion doivent en tout état de cause
éviter la perte involontaire d’informations significatives. La réalisation et les
caractéristiques de la conversion sont contrôlées et enregistrées par le SAE
dans son journal des évènements.
Contrôle d’unicité des métadonnées dans le SAE : Afin d’éviter les doublons
involontaires, le SAE doit mettre à disposition un mécanisme de contrôle
de doublons basé sur les métadonnées associées aux documents versés.
Numériser les documents papiers : Très souvent, l’image numérique
imprimée des documents papiers associée aux informations de traçabilité
démontrant l’intégrité de ces documents sera suffisante en cas de besoin
de fourniture de justificatif. En effet, pour plus de 80% des cas, la fourniture
d’une copie d’un document papier est suffisante en cas de litige. Il n’est que
très rarement nécessaire de devoir produire un document original. De ce
fait, la numérisation des documents papiers pour en réaliser une archive
électronique tout en conservant l’original papier est une solution très
économique et profitable. Le classement à moindre frais chez un tiers ou
dans des emplacements peu couteux remplaceront avantageusement un
classement interne et méticuleux des documents papiers à conserver sur
des périodes plus ou moins longues. La conservation numérique assurera
également une préservation de la qualité du document. Même si l’image
numérique d’un document papier à valeur légale ne peut donner qu’une
valeur de preuve limitée, la mise en place d’un SAE apporte un véritable
gain organisationnel suffisant à économiser les coûts associés à la
préservation des documents papiers dans des conditions suffisantes à leur
exploitation.
Profils d’archivage
Conformément à la norme NF Z42-013, il est nécessaire de définir, au moment
de chaque dépôt, l’ensemble des règles applicables à celui-ci. Pour ce faire, le
SAE permet de définir des profils d’archivage. Comme le mentionne le
paragraphe 5.1 de la norme, « Un profil d’archivage est un ensemble de règles
applicables à des documents partageant les mêmes critères de confidentialité,
de durée de conservation, de destruction et de droits d’accès pour déposer,
consulter ou détruire. »
14
Profils Utilisateurs
Des droits d’accès doivent permettre de définir les fonctionnalités accessibles
dans le SAE pour chaque catégorie d’utilisateur. A minima, un « auditeur » doit
avoir la possibilité de rechercher et consulter les archives ainsi que d’accéder à
l’ensemble des journaux associés aux documents et à l’ensemble des traces
soigneusement conservées par le SAE. Le « record manager » doit avoir les
mêmes possibilités que l’auditeur mais doit pouvoir également paramétrer et
gérer les profils de documents. L’administrateur technique doit pouvoir se
charger du suivi des jobs de capture et du suivi du système.
Stockage des documents électroniques et des données associées
Le SAE dépose les informations et les fichiers qu’il prend en charge dans son
système de stockage.
L’évolution des solutions d’archivage électronique, à l’instar des modifications
apportées à la norme française sur l’archivage électronique, permet de
substituer aux traditionnels supports physiques non réinscriptibles (Worm3
physique), des supports logiques non réinscriptibles (Worm logique) voire des
supports réinscriptibles. L’emploi de supports Worm logique, dont le caractère
non réinscriptible est assuré par des dispositifs matériel et/ou logiciel
intrinsèques a pour avantage de répondre aux besoins fonctionnels d’un
système d’archivage électronique tout en interdisant la destruction, l’altération
ou la modification de l’information. Ces supports réinscriptibles non amovibles,
compte tenu des dispositifs de protection embarqués, y compris contre la
suppression, paraissent donc admissibles au même titre que le Worm physique,
d’autant que, à la différence de ces derniers, le Worm logique permet de gérer
l’exigence du droit à l’oubli, imposée par la loi Informatique et libertés, passée
la durée de conservation initialement assignée4. Le recours aux supports dits
réinscriptibles non Worm, au regard de la norme précitée, permet d’établir,
sous réserve de se conformer à un ensemble d’exigences supplémentaires, la
traçabilité de toute modification, c’est à dire l’intégrité des enregistrements,
dès lors que la notion d’intégrité se limite à l’altération ou la modification mais
non la suppression, intentionnelle ou non, d’une information. Le choix du
support de stockage peut être également guidé par d’autres considérations,
comme les temps d’accès ou le coût total de possession (« Total cost of
ownership » ou « TCO », en anglais). L’exigence d’intégrité pourrait être
appréciée par l’Autorité au cas par cas dans le cadre des enquêtes et ce, par
3
Write Once, Read Many.
4
En cas de recours au Worm logique, une attention particulière devra être apportée aux paramétrages de la
solution de stockage, de sorte que l’enregistrement des données soit effectivement irréversible, même par le
« super administrateur ».
15
application du principe de proportionnalité excipé du Règlement général de
l’Autorité. Dès lors, il pourrait être envisagé le recours à des supports de
stockage réinscriptibles non Worm, sous réserve de répondre aux exigences de
la norme NF Z 42-013 :2009, c’est à dire de mettre en œuvre les moyens
cryptographiques, qui y sont exigés, tout en précisant le niveau de sécurité
acceptable au regard des exigences du Règlement général de l’Autorité.
Relevons néanmoins que la SEC5 a, dès 2003, explicitement exclut le recours
aux supports réinscriptibles. Quoiqu’il en soit, il serait erroné de penser que la
conformité d’un système d’archivage électronique dépend uniquement des
supports de stockage.
Dans tous les cas, le SAE doit assurer le pilotage et l’intégration des événements
d’exploitation des systèmes de stockage. L’ensemble des opérations qui sont
réalisées au sein des systèmes de stockage sont capturées par le SAE afin
d’assurer une parfaite traçabilité de toutes les opérations critiques.
Afin d’être conforme à la norme et pour sécuriser le stockage, Le SAE doit
utiliser un mécanisme d’archivage en Y (archivage en miroir). Chaque document
électronique doit être stocké dans deux espaces situés dans deux lieus
géographiquement différents. Ainsi, à tout moment, il doit toujours exister au
moins deux copies de chaque fichier. Le SAE doit vérifier régulièrement
l’intégrité des deux copies en comparant les empreintes des copies. Au
moment de la prise en charge des documents électroniques par le SAE, chaque
fichier fait l'objet d'une prise d’empreinte et d’une signature par le SAE. Cette
empreinte qui est unique pour chaque fichier peut permettre également le dédoublonnage des fichiers lors de la capture des documents.
Lors de l’enregistrement des métadonnées de description d’un document dans
la base de données du SAE (création d’un record), une signature est également
générée sur les données qui constituent le record, soit sur l’ensemble des
métadonnées associées. Enfin, pour permettre de conserver l’association
« document – métadonnées », le couple « signature du document - signature
de l’enregistrement» est pris en compte afin de générer une troisième
signature (signature globale).
La vérification des signatures porte sur la signature de chaque élément,
documents attachés et métadonnées, et sur la signature globale. Ces
signatures permettent d'assurer l'intégrité des données lors de toute demande
d'affichage des documents.
Chaque fichier stocké dans le SAE est accompagné d’un fichier XML comportant
l’ensemble des métadonnées associé au document ainsi que les trois signatures
associé à chaque document.
5
17 CFR Part 241 34-47806 SEC interpretation Electronic Storage of Broker-Dealer Records.
16
Traçabilité et journaux quotidiens
Toutes les actions faites sur les archives et tous les évènements d’exploitation
du SAE doivent être enregistrés. Il faut donc être en mesure de produire les
types de journaux suivants :
un journal quotidien des évènements du SAE, qui est archivé,
un journal quotidien du cycle de vie des archives, qui est archivé,
un journal d’archive par document archivé, qui est généré ponctuellement
par l’utilisateur et n’est pas archivé en tant que tel,
un journal des logs des systèmes de stockage.
Le processus de journalisation peut reposer sur l'enregistrement en base de
données de certains évènements et la génération de listing de ces évènements
selon un critère de date (quotidien) ou sur un objet précis (document ou type
d'évènement). Le SAE doit générer automatiquement et quotidiennement un
journal des évènements qui peut être au format PDF/A-1 et qui comporte une
ligne chronologique et horodatée par évènement décrivant l’opération réalisée.
Lorsqu’une ligne du journal concerne une archive, l’identifiant unique et
chronologique de l’archive concernée par l’opération doit être mentionnée.
Le journal (fichier PDF/A-1) doit être
accompagné de trois autres fichiers :
lui-même archivé au sein du SAE
Fichier des métadonnées techniques concernant l'archivage du journal,
Fichier des métadonnées de description du journal,
l’enregistrement dans la table des journaux,
Fichier des métadonnées techniques
métadonnées de description du journal.
concernant
issues
l'archivage
de
des
Les mécanismes d’empreintes et de signature mis en œuvre pour assurer la
vérification d’intégrité des fichiers stockés dans le SAE doivent également
s’appliquer aux journaux archivés.
Le mécanisme d'horodatage utilisé par le SAE dans le cadre de l’enregistrement
des événements se produisant dans le SAE, doit répondre aux exigences de la
norme NF Z42-013:2009. La norme reprend les éléments de la norme ISO
8601:2004 concernant la représentation des dates et des heures. Cet
horodatage est effectué sur la base du Temps Universel Coordonné. Les
différentes horloges du réseau, et par conséquent les composants du système,
doivent être synchronisés via un serveur de temps (NTP par exemple).
17
Audit et contrôle d’intégrité
A tout moment, il doit être possible de rechercher des documents dans le SAE
et de vérifier leur intégrité ainsi que celle des métadonnées associées et des
journaux.
Processus de destruction
Le SAE doit être livré avec une documentation du processus de destruction des
archives qui doit décrire le mécanisme de destruction des documents du SAE.
La suppression des documents archivés dans le cadre de l'application
résulte de plusieurs processus.
Destruction des métadonnées dans la base de données du SAE
Destruction des documents archivés au niveau des deux supports
d’archivage (archivage en Y).
Conformément à la norme, la destruction ne doit pas être automatique et doit
nécessiter une validation externe d’un utilisateur habilité. Le processus de
destruction se déroule donc en deux étapes, la première automatique
(transfert des documents à éliminer vers un profil adapté), la seconde manuelle
( validation externe après vérification de la liste des documents à éliminer).
Chaque destruction entraine un ensemble de traces complémentaires dans les
journaux quotidiens (attestation de destruction). Les journaux associés aux
documents détruits ne doivent jamais être détruits.
Réversibilité des systèmes de stockage
Le SAE doit être livré avec une documentation de réversibilité afin de permettre
d’extraire des systèmes de stockage du SAE tous les documents qui y sont
archivés ainsi que toutes les métadonnées associées. La réversibilité permet
d’éviter la dépendance du client par rapport à la solution d’archivage en lui
permettant de migrer l’ensemble des archives d’une SAE vers un autre.
18
5. CADRE JURIDIQUE ET LEGAL ASSOCIE AU SAE
Afin d’encadrer les fonctionnalités d’un SAE, des normes et recommandations ont vu le jour
depuis quelques années. En Europe, les états membres de l’Union Européenne bénéficient des
directives que chaque Etat doit ensuite faire appliquer dans son pays. Dans ce paragraphe,
Philippe Ballet, avocat chez Alain Bensoussan Avocats, vous donne les clés de lecture sur le cadre
juridique et légal associé au SAE.
Copie fidèle
et durable
La destruction de l’originale est encadrée par la loi depuis le 12 juillet 1980.
L’article 1348 al. 2 du code civil donne la faculté de produire en justice la copie
fidèle et durable au lieu et place de l’original.
La preuve
électronique
La première directive européenne importante pour la mise en œuvre d’un SAE
et celle qui remonte au 13 décembre 1999 et qui fixe le cadre juridique de la
signature électronique applicable aux états membres de l’Union Européenne.
Cette directive avait pour objectif de permettre l'utilisation de la signature
électronique en contribuant à sa reconnaissance juridique au sein des états
membres. En France, cette directive a été appliquée via la loi du 13 mars 2000
article 1316 du code civil en donnant à la signature électronique la même
valeur juridique que la signature manuscrite sous réserve que le procédé de
signature électronique soit fiable.
Afin de préciser la présomption de fiabilité d’un procédé de signature
électronique, un décret N° 2001-272 daté du 30 mars 2001 fut publié.
Le droit à
l’oubli
La loi informatique et libertés encadre le droit à l’oubli par la loi du 6 janvier
1978, article 6.5. Cette loi fait exception pour les archives définitives. Dans le
cadre des documents électroniques, cette loi impose donc des purges
impératives des données et documents associés. Au niveau du code monétaire,
le droit à l’oubli impose de faire disparaître l’identification des investisseurs
après 5 ans à compter de la clôture des comptes ou de la cessation des
relations contractuelles (article L561-12). En ce qui concerne l’autorité des
marchés financiers, le droit à l’oubli s’exerce après 5 ans, puisqu’il convient de
conserver les informations pendant une durée de 5 années minimum (art. 31349) et entre 6 mois et 5 ans pour les enregistrements téléphoniques (art.31352).
La
prescription
Les durées de prescription du droit commun sont très variées puisqu’il existe
250 délais différents. Dans la majorité des cas, les délais sont raccourcis à 5 ans.
De nombreux délais de prescriptions sont spécifiques pour la fiscalité, la
comptabilité, … D’autres phénomènes chronologiques comme la suspension ou
l’interruption de la prescription (litiges) peuvent rallonger la durée de
prescription jusqu’à 20 ans. A noter qu’une durée peut en cacher une autre :
19
prescription civile et commerciale : 5 ans, pièces comptables (pièces
justificatives) 10 ans.
Autorité des
Marchés
Financiers
(AMF)
Les prestataires de services d’investissement doivent conserver les
informations pertinentes relatives à toutes transactions sur instruments
financiers qu’ils ont conclues, dans les conditions fixées par le règlement
général de l’Autorité des marchés financiers.
Compte tenu de la généralisation des échanges sous forme électronique, les
prestataires de services d’investissement doivent se doter d’un système
d’archivage électronique répondant aux exigences posées dans le règlement
général de l’Autorité des marchés financiers.
L’article 313-50 du Règlement général de l’Autorité des marchés financiers
dispose que les enregistrements des prestataires de services d’investissement
doivent être conservés sur un support qui permet le stockage d'informations de
telle façon qu'ils puissent être consultés par l'Autorité des marchés financiers,
sous une forme et d'une manière qui satisfont à un ensemble de conditions :
l’Autorité des marchés financiers doit pouvoir y accéder facilement et
reconstituer chaque étape clé du traitement de toutes les transactions ;
il doit être possible de vérifier aisément le contenu de toute correction ou
autre modification, ou l'état des enregistrements antérieurs à ces
corrections ou modifications ;
il ne doit pas être possible de manipuler ou altérer les enregistrements de
quelque façon que ce soit.
20
6. CADRE NORMATIF ASSOCIE AU SAE
La conformité d’un système d’archivage électronique aux exigences réglementaires nécessite, en
pratique, d’avoir recours aux normes, d’application volontaire, en particulier la norme française
sur l’archivage électronique. Les normes permettent d’assurer une passerelle entre les exigences
réglementaires et l’état de l’art. Le respect de la norme NF Z 42-013 s’impose désormais à
l’externalisation des archives publiques électroniques. Toutefois, l’application des normes
n’emporte pas présomption de conformité à la réglementation, sauf exception. Christian
Dubourg, membre de la commission de normalisation 171 à l’AFNOR et contributeur dans le
groupe de travail qui a révisé la norme NF Z 42-013 vous guide dans la lecture du texte normatif.
Norme NF
Z42-013
En parallèle de l’ajustement législatif, un cadre normatif a été mis en place en
France par l’AFNOR. Une norme Française connue sous le sigle « NF Z42-013 »
a été publiée en 1999 puis révisée une première fois en décembre 2001 et une
seconde fois en mars 2009. Initialement, cette norme avait pour objet de
définir un ensemble de recommandations pour la conception et l'exploitation
des systèmes informatiques afin d'assurer la conservation et l'intégrité des
documents stockés. Jusqu’à la révision de mars 2009, cette norme n’était
utilisable que pour des systèmes d’archivage basés sur des supports de
stockage WORM physique.
Depuis mars 2009, et après 3 ans de travail, cette norme Française a
entièrement été révisée et son orientation a été revue puisqu’elle est passée
d’une norme contenant des recommandations, à une norme contenant des
spécifications. Le nouveau titre de la norme est : « Spécifications relatives à la
conception et à l’exploitation de systèmes informatiques en vue d’assurer la
conservation et l’intégrité des documents stockés dans ces systèmes ».
La norme NF Z42-013 :2009 a été écrite par un groupe de travail de la
Commission de normalisation 171 de l’AFNOR. La société EVER TEAM, membre
de la CN 171, a participé à la rédaction de la révision 2009 et a mis en œuvre
dans sa solution ES-Compliance les spécifications de la norme rendant ainsi
tous les SAE basés sur sa solution conforment aux spécifications techniques
décrites dans la norme. EVER TEAM a également participé au groupe de
travail qui a réalisé le guide d’application de la nouvelle révision de la norme
qui sera prochainement publié par l’AFNOR afin d’aider les sociétés à mettre
en œuvre les spécifications techniques et organisationnelles.
21
La « Z42-013 :2009 » est basé sur différents niveaux d’exigences. La conformité
d’un SAE est donc appréciée au regard des exigences minimales et
complémentaires le caractérisant. Les différentes exigences sont classées en
trois grandes catégories :
Exigences relatives à la pérennité.
Exigences relatives à l’intégrité.
Exigences relatives à la sécurité.
Les exigences minimales relatives à la pérennité concernent :
l’usage de formats normalisés ou standardisés et utilisable librement.
la nécessité de décrire les documents électroniques au moyen de
métadonnées.
la nécessité de maitriser la migration des supports de stockage pour
permettre un déplacement des fichiers d’un support vers un autre afin
d’anticiper l’obsolescence des supports dans le temps.
la nécessité de gérer la conversion des formats lors de leur entrée dans
le SAE ou plus tard lorsque les formats évoluent et qu’il est estimé
nécessaire de convertir un document électronique d’un format vers un
autre pour éviter son obsolescence technologique.
La nécessité d’anticiper l’obsolescence du SAE par la surveillance et le
remplacement maitrisé des technologies utilisés par le SAE.
Les exigences minimales relatives à l’intégrité concernent :
Le processus de capture des documents électroniques. Il doit assurer
dès le début l’intégrité des documents versés. En particulier, si le
document versé est transformé par le processus de capture
(conversion, numérisation, …) le format des documents stockés dans le
SAE diffère du format d’origine. C’est le cas par exemple lorsqu’un SAE
doit gérer des documents papiers sous forme électronique à des fin de
valeur probatoire. Il convient alors de mettre en place une procédure
de numérisation suffisamment maitrisée afin de s’assurer de l’intégrité
du document électronique issue du processus de numérisation. Dans ce
cas, l’intégrité est relative à la non perte d’informations significatives
entre le document papier et l’image qui en a été réalisée par la
numérisation.
La nécessité d’utiliser des supports de stockage aptes à garantir
l’intégrité des fichiers stockés. En langage courant, cela signifie qu’un
fichier déposé sur un support de stockage ne doit pas pouvoir être
modifié ni supprimé par accident voir même volontairement. De ce fait,
les supports magnétiques couramment utilisés sont à priori des
22
mauvais candidats pour gérer les documents électroniques. Seuls les
disques physiquement non réinscriptibles comme les DVD-R ou autres
supports optiques connus sous l’acronyme WORM (Write Once Read
Many) permettent d’assurer cette intégrité d’une manière intrinsèque.
Afin de ne pas interdire le stockage sur d’autres types de support que
les supports WORM, la norme donne la possibilité d’utiliser des WORM
logiques fixes ou amovibles ainsi que des disques réinscriptibles.
Comme ces supports sont logiquement effaçables, l’intégrité des
documents stockés pourrait être mise en cause. Avec ces technologies,
il est nécessaire de mettre en places des moyens techniques
complémentaires mentionnés par des exigences minimales
complémentaires.
La nécessité de maitriser le cycle de destruction des archives par la
mise en place d’alertes avant destruction et l’utilisation d’un processus
maitrisé pour parvenir à supprimer les documents électroniques.
Les exigences minimales relatives à la sécurité concernent :
L’organisation à mettre en place pour assurer l’identification des
personnes et des processus qui doivent accéder au SAE et à ses
documents électroniques.
La sécurisation des documents électroniques par la mise en place
systématique et dès le début du cycle de vie dans le SAE de copies des
documents électroniques tout en assurant l’intégrité des copies par
rapport au document original.
L’horodatage de l’ensemble des actions du SAE.
La tenue d’un journal du cycle de vie des archives et d’un journal des
évènements qui doivent être alimentés par les informations liées à la
traçabilité horodatée des actions menées sur les documents
électroniques et sur l’exploitation du SAE. Les moyens utilisés dans le
SAE doivent permettre d’assurer également l’intégrité, la pérennité et
la sécurité des journaux.
La tenue d’un dossier technique complet du SAE décrivant tous les
composants et tous les processus mis en œuvre dans le SAE. Ce dossier
doit permettre régulièrement d’auditer le SAE afin de pouvoir vérifier
sa conformité aux éléments décrits dans le dossier technique.
Le maintien en condition opérationnel (MCO) du SAE
Avec cette révision de la norme NF Z42-013, les entreprises et les collectivités
Françaises possèdent enfin un outil de qualité pour permettre de mettre en
place un Système d’Archivage Electronique pérenne capable d’assurer la
sécurité et l’intégrité des documents électroniques qu’il gère.
23
Certification
NF Z 42-013
Les organismes et entreprises qui mettent en œuvre les spécifications de la
norme NF Z42-013 pourront faire certifier leur solution (fin 2010). Un
référentiel de certification est en cours d’élaboration. La certification sera
proposée aux organismes et entreprises, aux sociétés de services informatiques
et éditeurs de logiciels de SAE ainsi qu’aux sociétés qui proposent des services
de tiers archivage.
MoReq : un
modèle
Anglo-Saxon
pour
l’Europe
Le MoReq (Model Requirements for the Management of Electronic Documents
and Records) est un recueil d'exigences pour l'organisation de l'archivage
électronique qui a été élaboré dans le cadre de l'Union européenne afin de
tenter d’uniformiser entre les pays de la CEE les usages par rapport aux
politiques d’archivage. Initialement édité en anglais en 2001 et traduit en
français en 2004, la première version du MoReq a été remplacée en 2008 par le
MoReq2 dont la traduction Française est disponible depuis fin 2009. Cette
seconde version reprend l’ensemble des exigences initiales et corrige, renforce
ou complète certaines exigences du fait des évolutions technologiques et
réglementaires.
Le MoReq est basé sur le modèle du « Record Management » décrit dans la
norme IS0 15489. Ce modèle est appliqué d’avantage dans les pays anglo-saxon
qu’en France ou le mot « Record Management» n’a pas étonnamment trouvé
de traduction. Tout cela tient au fait que le modèle véhiculé par le « record
Management » intègre essentiellement la conservation de la qualité de la
preuve d’un document alors que l’archivage des documents en France est
souvent plus orienté autour de la valeur patrimoniale du document en
particulier dans le domaine des Archivistes.
Actuellement, ce recueil d’exigences est souvent utilisé par les responsables de
projet d’archivage dans le secteur privé. La révision 2009 de la norme NF Z42013 contribue au niveau national à reprendre certaines notions du « record
management » spécifiées dans le MoReq2 et dans la norme ISO 15489. La NF
Z42-013 limite cependant à l’essentiel les exigences mentionnées sous forme de
différentes options dans le MOREQ2. Elle est ainsi plus pragmatique et donc
basée sur des spécifications applicables plus rapidement et à moindre coût que
se soit pour le secteur privé comme pour le secteur public.
Du fait de la difficulté de mise en œuvre de MoReq2, le DLM Forum, en charge
des spécifications MoReq a décidé en mars 2010 de travailler sur une nouvelle
version des spécifications MoReq. La nouvelle version intitulée MoReq2010
devrait voir le jour en fin d’année 2010 avec comme objectif de simplifier et
rendre plus modulaire l’ensemble des recommandations.
24
Autres
normes
dans le
monde
D’autres normes liées à l’archivage des documents électroniques ont été
publiés dans différents pays d’Europe comme la norme néerlandaise NEN 2082
ou aux USA comme la norme DoD 5015. Ces normes plus anciennes viennent
compléter le référentiel normatif sur lequel s’appuie les normes les plus
récentes comme la NF Z42013 :2009. Des normes plus techniques comme l’ISO
19005-1 (PDF/A-1) sont également utilisés dans le référentiel normatif des
dernières normes publiées. Enfin, de nouvelles normes dans le domaine du
Record Management sont au stade d’enquête comme la norme ISO 16175.
25
7. MISE EN PLACE D’UN SAE : UN PROJET A PLUSIEURS
ETAPES.
Même si c’est une obligation, la définition d’une politique d’archivage répertoriant les profils
d’archivages et le cycle de vie associé à chacun d’eux ne suffit plus. Il faut pouvoir appliquer cette
politique d’une manière maitrisée et sereine afin d’éviter les risques liés à l’incapacité de produire
une pièce électronique pour prouver sa bonne foi. La mise en place d’un SAE permet de manager le
risque et de l’assumer sans difficulté et correspond à la mise en place d’un véritable projet pour
l’entreprise. Ce projet comporte plusieurs phases. Dans ce paragraphe, Michel Thomas, consultant
expert chez Serda, vous donne les clés de lecture fonctionnelles, techniques et organisationnelles.
L’Analyse
initiale
La mise en place d’un SAE nécessite plusieurs étapes préalables. L’une des
premières étapes consiste à dresser un inventaire des systèmes et des données,
une cartographie réglementaire, fonctionnelle et technique, et une liste des
familles de documents. Il convient à cette phase de déterminer les exigences
archivistiques : durées de conservations et purge, sécurité (confidentialité et
intégrité). Il faut évaluer l’existant : écarts, analyse des risques à (ne pas)
conserver, déterminer le ROI. Enfin, il faut identifier la stratégie par
l’élaboration de tableaux de gestion, la définition de plan de classement et de
nommage, et définir la charte d’archivage.
L’expression
des besoins
Cette étape consiste à élaborer le cahier des charges du SAE. Celui ci doit faire
référence aux normes et aux exigences réglementaires. Cependant, la
conformité aux normes ne donne pas présomption de conformité à la
réglementation Il doit permettre de communiquer la politique d’archivage,
d’opter pour une solution interne ou externalisée ou une combinaison des
deux, indiquer les bénéfices attendus, formaliser les critères de choix (matrice
de conformité).
La contractualisation
Cette troisième étape du SAE consiste à choisir entre une solution interne ou
une solution externalisée pour la mise en place du SAE.
Solution
interne
Dans le cas de la mise en place d’une solution interne, il faut définir les règles
liées aux licences du progiciel retenu en surveillant les points suivants :
indivisibilité contrats, dépôt des sources, modalités tarifaires (régularisation). Il
faut également définir les règles d’intégration de la solution (recette, reprise
des données) et traiter de la maintenance du SAE ( pérennité, compatibilité
ascendante, SLA).
26
Solution
externalisée
Dans le cas de la mise en place d’une solution externalisée, il convient
d’encadrer cette approche à l’aide des spécifications de la norme NF 42013 :2009 paragraphe 13 et 14. Il convient également de préciser les
instructions applicables entre sociétés mères et filiales :
Plan de continuité d’activité « sur mesure »
Réversibilité
Changement de contrôle
Accord de niveaux de services (« SLA »)
Données personnelles (Art 34 & 35 I&L)
Audit (y inclus sous traitant et « tutelle »)
Sous-traitance (opposabilité des clauses)
Le suivi
Cette phase du projet intègre la prise en charge du suivi contractuel. Il s’agit de
gérer les risques du projet en assurant un suivi rigoureux du calendrier, en
identifiant les écarts sur les différents livrables du projet par rapport au cahier
des charges, en participant activement à la validation des spécifications
fonctionnelles détaillées (SFD). Le suivi comporte également la validation des
comptes rendus de Comité de pilotage et la validation du procès verbal de
recette de l’application. Dans le cadre de la mise en œuvre de la norme NFZ42013 :2009, un suivi tout particulier doit être apportée à l’élaboration du
« dossier technique », véritable centre documentaire du SAE mis en place. Ce
dossier permettra en particulier d’effectuer des audits du SAE.
Conseils et
facteurs clefs
pour un projet
SAE
Un projet SAE est un projet structurant pour les entreprises. Pour une bonne
réussite du projet, cinq conseils peuvent être donnés et cinq facteurs
clefs doivent être suivis:
Les cinq
Conseils
Associer conformité, juristes, IT et fonctionnels (gestion de projet)
Définir un périmètre fonctionnel réaliste, mais représentatif (pilote)
Définir ses objectifs et identifier ses contraintes (politique archivage)
Formaliser ses exigences (cahier des charges)
Assurer le suivi du projet (gestion post-contrat, audit)
Une analyse préalable exhaustive prenant en compte les risques
réglementaires, patrimoniaux, commerciaux… une analyse par activités :
données, documents et métadonnées nécessaires. Une définition des
processus d’alimentation, d’information, de contrôle, etc.
Une méthodologie éprouvée basée sur la
Les cinq
Facteurs clefs
conduite de projet
27
rigoureusement cadrée, l’application des normes et réglementations, le
déploiement progressif, l’accompagnement aux changements.
Audit d’un SAE
Des choix technologiques justes et cohérents fondés sur une architecture
ouverte, une
forte intégration des applications dans le système
d’information, un choix judicieux des supports de stockage, de sauvegarde
et d’archivage.
Une implication des différents métiers de l’entreprise au niveau
management (DG, DAF, Communication…), au niveau des équipes
informatiques (DSI, RSSI, chef de projet…) et enfin au niveau des
opérationnels (Contrôleurs de gestion, Auditeurs, Knowledge Manager…).
Des choix d’organisation au niveau du service archives de l’entreprise, de
l’exploitation informatique, de la conception du centre de calcul, du centre
de numérisation (lorsqu’il y a lieu), du recours à des tiers.
La mise en place d’un SAE doit permettre de simplifier l’accessibilité aux
documents électroniques légaux archivés. En particulier, un SAE conforme à la
norme NF Z42-013 :2009 comme ES-Compliance permet à un auditeur
d’interroger le système d’archivage pour consulter aisément les documents
électroniques archivés et obtenir l’ensemble des traces associées aux actions et
événements intervenus durant le cycle de vie du document électronique. Il
n’est pas nécessaire de faire appel à un expert technique pour sortir du système
les éléments indispensables à la production de la preuve. En cas de besoin, une
expertise technique du système peut être réalisée en s’appuyant sur le dossier
technique qui recense l’ensemble des composants et des processus utilisés par
le SAE.
28
8. BENEFICES ET PERSPECTIVES
Les bénéfices organisationnels liés à la mise en place d’un SAE sont très nombreux et ont été
explorés tout au long de ce document. Cependant, les deux principaux bénéfices stratégiques de la
mise en place d’un SAE sont la conformité de l’entreprise par rapport à ses contraintes
réglementaires et la sécurité et la pérennité des informations archivés.
La maitrise des
risques
financiers
Les conséquences financières d’un archivage déficient peuvent être
importantes voir désastreuses comme l’ont montré certaines grandes affaires
récentes. La mise en place d’un outil de gestion des « records » et des
documents électroniques est devenue une nécessité primordiale pour
permettre de répondre sans risque au moindre audit.
La disparition
des risques de
catastrophes
L’archivage électronique s’il est mis en œuvre réglementairement et
conformément aux spécifications des normes en vigueur permet de sécuriser
les informations de l’entreprise via un stockage dans des lieux
géographiquement différents assurant ainsi une pérennisation du capital de
l’entreprise.
29
9. LES CONTRIBUTEURS
Christian Dubourg est directeur dans le groupe EVER TEAM. L’un des pionniers des systèmes
d’archivage sur Disque Optique en France avec la conception en 1990 de la solution d’archivage
électronique sur DON WORM Archiv’2000, il crée également la solution de Gestion Electronique de
Documents MAXIM intégrée dans de nombreuses solutions du marché. Il est membre actif de la
Commission de normalisation 171 à l’AFNOR et contributeur régulier aux travaux des groupes de
travail de cette commission. Il a participé récemment activement à la révision de la norme NF Z42-013
parue en mars 2009.
EVER TEAM est le 1er éditeur européen de solutions intégrées de gestion de contenu d’entreprise
(ECM) et le 1er éditeur français à entrer dans le « Magic Quadrant » des solutions ECM, publié
par le Gartner. EVER TEAM aide les organisations, quelle que soit leur taille, à mettre en œuvre
leur système de gestion de contenu pour mieux gérer, utiliser, protéger et partager l’information.
Michel Thomas, ingénieur ENS Télécom, connaît parfaitement l’environnement bancaire, ayant conçu,
mis en place et/ou audité des systèmes d’archivage pour un grand nombre de banques. Expert auprès
de la CN171 de l’AFNOR et du TC171 de l’ISO, qui traitent les questions applicatives de la gestion
électronique de documents (normes PDF, micrographiques, implémentation de SAE, …), il possède une
expertise reconnue de l’environnement technique, organisationnel et réglementaire des systèmes
d’archivage et a conduit de nombreux projets de dématérialisation et de systèmes d’archivage
électronique dans le domaine financier.
Spécialiste de l’organisation de la mémoire et du savoir, le groupe SERDA-ARCHIMAG met
depuis plus de 25 ans ses métiers (Maîtrise, Formation et Édition) au service des grandes
entreprises du secteur privé ainsi que d'administrations et de collectivités territoriales, sur
une approche globale des problématiques telles que la gestion documentaire, la gestion de
contenu, le management des connaissances, l'archivage papier et électronique, la veille et
l'intelligence économique.
AUTRE SOURCE
Philippe Ballet est avocat à la Cour d'appel de Paris et directeur du département « Dématérialisation
& Archivage électronique » chez Alain Bensoussan Avocats. Il intervient en particulier auprès des
autorités administratives, assurances, banques, entreprises d’investissement ou prestataires
techniques. Il bénéficie d’une compétence juridique, normative voire technique acquise en Cabinet,
mais également chez des prestataires et organismes de normalisation. Il est expert auprès de l’AFNOR.
Il réalise de nombreuses publications, articles de doctrine, analyses de jurisprudence, veilles, études,
guides et conférences sur la dématérialisation ou l’archivage électronique.

Livre blanc

Transcription

Documents pareils

racing 4 syntex sae 10w40 – 5w50 – 15w50

Raccords Mâle fixe FLARE SAE Femelle écrou tournant FLARE SAE

sound advice sound advice

2012 Sales Show 1

Sécurité des structures artificielles d`escalade

Organigramme - Accueil Lycée Janson de Sailly

Procédure d`archivage d`exercice dans SAGE

Fichier téléchargeable - club alpin francais orleans

(geb g\351n\351ral fr.qxp)

2 | Diagnostics embarqués - MS Motorservice International