Livre blanc
Transcription
Livre blanc
Livre blanc Octobre 2010 Archivage Electronique et Conformité Réglementaire Comprendre et mettre en œuvre des systèmes d’archivage électronique à valeur probatoire 17 quai Joseph Gillet 69004 Lyon - France +33 (0)4 26 68 33 00 www.ever-team.com 24, rue de Milan 75009 Paris - France +33 (0)1 44 53 45 00 www.serda.com 2 1. A propos de cet ouvrage .......................................................................................................................... 3 2. Enjeux ...................................................................................................................................................... 4 3. Genèse du Système d’Archivage Electronique ......................................................................................... 5 4. SAE et systèmes de stockage ................................................................................................................... 8 5. Cadre juridique et légal associé au SAE .................................................................................................. 18 6. Cadre normatif associé au SAE ............................................................................................................... 20 7. Mise en place d’un SAE : un projet à plusieurs étapes. .......................................................................... 25 8. Bénéfices et Perspectives....................................................................................................................... 28 9. Les contributeurs ................................................................................................................................... 29 Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 3 1. A PROPOS DE CET OUVRAGE Ce document s’adresse à tous ceux qui doivent mettre en place un Système d’Archivage Electronique (SAE). Il sera très utile pour ceux qui mènent des missions de conseil et de prévention et qui doivent s’assurer de la maîtrise du risque de non-conformité, risque pouvant entraîner des sanctions pénales et financières et une atteinte à l'image de l'entreprise et de ses dirigeants. En plus des responsables conformité (Compliance Officer), ce document s’adresse aux DSI qui devront mettre en place le SAE. Ce document souligne les points essentiels pour concevoir, mettre en place et exploiter un système d’archivage électronique conforme à la réglementation, avec une vision juridique, organisationnelle et technique, apportée par Philippe Ballet, avocat chez Alain Bensoussan Avocats, Michel Thomas, consultant expert chez Serda, Christian Dubourg, Directeur chez EVER TEAM Software. Une partie des textes composant ce document est issue d’un article intitulé «SPECIFICATIONS JURIDIQUES ET TECHNIQUES DES SYSTEMES D’ARCHIVAGE ELECTRONIQUE » publié le 5 février 2010 et rédigé par Philippe Ballet et Michel Thomas. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 4 2. ENJEUX Depuis que les entreprises ou les collectivités échangent des informations avec des tiers, il est indispensable pour certaines catégories de documents de mettre en place des systèmes afin de conserver les documents qui revêtissent une valeur légale opposable à un tiers. Cette valeur ne s’applique qu’aux documents originaux. La loi définit précisément les obligations et les durées de conservation ainsi que les risques financiers voir pénaux associés au non respect de ces obligations. Les normes et réglementations ont été modifiées durant ces dix dernières années pour s’adapter au nouveau contexte d’une gestion des données et des documents dématérialisés. La crise financière va accroître cette pression réglementaire. La Commission européenne a récemment publié une proposition de directive visant à harmoniser la réglementation du secteur financier. En France, les prestataires de services d’investissement (PSI) sont soumis au Code monétaire et financier ainsi qu’au Règlement général de l’Autorité des Marchés Financiers. Ces dispositions leur impose la mise en place d’un système d’archivage électronique, lequel participe directement au contrôle permanent interne, en particulier la sécurité de l’information, comme l’intégrité et, par conséquent, à la maîtrise du risque opérationnel. Le recours aux normes, telle que la norme NF Z42-013 sur l’archivage électronique, s’il est nécessaire, ne dispense pas d’une réflexion approfondie pour en faire un outil de conformité avec une approche des coûts et des risques. Au-delà des risques économiques liés à la non conformité, notamment le pouvoir de sanctions de l’Autorité des marchés financiers, la croissance non contrôlée de la volumétrie des données milite également pour la mise en place d’un système d’archivage électronique permettant de gérer les durées de conservation et de désengorger les serveurs de production. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 5 3. GENESE DU SYSTEME D’ARCHIVAGE ELECTRONIQUE Du Papier au fichier Les documents sont des flux d’informations qui entrent ou qui sortent des organismes ou des entreprises depuis toujours. Ces documents contiennent des informations plus ou moins importantes et plus ou moins précieuses pour l’entreprise. Il s’agit souvent d’informations échangées avec des tiers via des moyens technologiques même anciens tels que le papier qui permettent de fixer les mots et de les transporter. Avant les années 1960, le support papier a été en majorité utilisé pour transporter les informations échangées. Ainsi, le document est devenu un support de contenu créé par un tiers à destination d’un autre tiers. Les moyens d’acheminement de ces documents correspondaient au déplacement physique du papier d’un émetteur vers un destinataire. Pour ce faire, les entreprises utilisaient les services de tiers de confiance comme ceux proposés par La Poste en France. Pour les documents jugés importants, ces tiers de confiance offraient également des services plus ou moins couteux pour permettre d’apporter la preuve à l’émetteur que le document avait bien été reçu par le destinataire (recommandé avec AR). Comme les possibilités de perte des documents existaient pendant la phase de transport, il était coutume de réaliser une copie papier du document avant de le confier au tiers de confiance. Ainsi, il était toujours possible de renouveler l’envoi en cas de défaillance du tiers de confiance. Dans les années 1970, l’arrivée de nouveaux moyens de communication a changé la manière dont les entreprises échangeaient les documents. L’arrivée des télécopieurs apportait de véritables nouvelles possibilités technologiques pour simplifier l’échange de copie de documents papiers entre tiers sans déplacer physiquement le support papier. Les défauts du télex étaient entièrement gommés par ce nouveau moyen de communication basé sur des normes d’échange internationales (CCITT) et permettant de reproduire à l’identique sur le terminal papier du destinataire, le document envoyé par l’émetteur. Toutes les informations visuelles (logo, signature, …) étaient reproduites par ce nouveau procédé technologique mais avec quelques dégradations du fait de la perte de qualité et de l’appauvrissement réalisé par la transformation des couleurs en points noirs et blancs. L’arrivée des serveurs fax, puis de la messagerie électronique a facilité encore les échanges de copie de documents papiers entre tiers tout en conservant les principes initiaux du télécopieur. Les copies de documents sont transmises sous la forme de fichiers électroniques comportant l’image des documents papiers. Il n’est dès lors plus nécessaire d’imprimer le fichier pour visualiser et exploiter le document électronique. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 6 Malgré la facilité de transport des copies de document via la messagerie ou tout autre moyen, la majorité des documents échangés entre tiers doit être conservée à fin de preuve. Comme le mentionne la loi du 13 mars 20001 précisant l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache, la copie électronique dépourvue d’une identification intègre du signataire ne suffit pas à donner à ce document électronique une valeur identique au document original. La conservation de certaines catégories de documents papiers est donc toujours nécessaire même si la loi facilite l’utilisation des copies électroniques. Pour exemple, depuis 2001, les services administratifs, les entreprises, ne peuvent plus dans leurs demandes, exiger la production d'une copie certifiée conforme à l'original d'un document administratif. La production d'une photocopie simple du document original, dés lors qu'il est lisible, doit être acceptée. Cependant, en cas de doute sur la validité de la copie produite ou envoyée, ces administrations ou autres organismes peuvent demander de manière motivée, par lettre recommandée avec demande d'avis de réception, la production de l'original. Documents électroniques : cycle sans papier Depuis quelques années, la législation a évolué afin de permettre aux entreprises de dématérialiser dès l’origine certains documents et de passer dans un cycle sans papier. Avec cette approche, il n’est plus nécessaire de générer une forme papier du document. C’est par exemple le cas pour la facture électronique. Pour ce type de document, trois possibilités sont offertes : La dématérialisation simple: la facture papier est numérisée pour un usage propre à l’entreprise (service comptable, commerciale, marketing, etc.). Avec cette approche, les « informations » de la facture sont disponibles sous forme électronique mais la « facture-papier » reste nécessaire d’un point de vue fiscal. La dématérialisation fiscale sous forme de flux EDI : la facture papier n’existe plus. Les informations contenues dans la facture sont structurés sous forme de données informatique et échangées entre système informatique via l’EDI. Ce moyen d’échange reste cependant couteux à mettre en place pour les PME. La dématérialisation fiscale sous forme de fichier : L'article 289-V du CGI4 2 fixe la possibilité d'une dématérialisation fiscale de la facture sous la forme 1 Loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique. 2 Code Général des impôts : Article 289 modifié par LOI n°2010-237 du 9 mars 2010 - art. 16 Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 7 d’un fichier qu’il est alors possible de véhiculer simplement. « Les factures peuvent, sous réserve de l'acceptation du destinataire, être transmises par voie électronique dès lors que l'authenticité de leur origine et l'intégrité de leur contenu sont garanties au moyen d'une signature électronique. Les factures ainsi transmises tiennent lieu de facture d'origine pour l'application de l'article 286 et du présent article.». Les modes d’implémentation de cet article peuvent être mis en oeuvre à l’aide de fichiers non structurées ou semi-structurées (facture au format PDF, …), comme à des fichiers structurés (fichiers xml, ebXML par exemple). Pour faciliter les échanges électroniques, l’administration fiscale a précisé que la signature électronique pouvait émaner d’une personne morale et non pas uniquement d’une personne physique. Plus récemment, Le Code du travail modifié par la Loi du 12 mai 2009 donne la possibilité aux employeurs de remettre un bulletin de paie aux salariés sous forme électronique. Il devient donc important de pouvoir mettre en place un moyen pour conserver les documents électroniques et les mettre à disposition pour des tiers (salariés par exemple) mais également pour pouvoir conserver les fichiers électroniques envoyés par des tiers. La conservation du document numérique : naissance du SAE De part l’ensemble des avantages qu’apportent le document numérique, l’usage du document papier diminue très rapidement et d’une manière inexorable. Le document original numérique devient donc un ensemble d’octets qu’il convient de conserver aussi longtemps et d’une manière aussi adaptée que ce qui était mis en place pour les documents papiers. Les obligations et les risques associés à la non conservation des documents électroniques originaux sont les mêmes que ceux qui existent vis-à-vis des originaux papiers. Comme pour les documents papiers, il ne doit exister qu’un seul original. Celui qui à une valeur légale. Les autres documents peuvent être considérés comme des copies. Une impression papier d’un document électronique n’a pas de valeur légale même si on pourrait peut-être arriver à lui donner une certaine valeur probatoire à l’aide d’éléments de preuve associés à la copie papier. La conservation des documents papiers à valeur légale est assurée par la mise en place d’un système d’archivage où les documents sont classés dans des boîtes d’archives, elles mêmes rangées dans des rayonnages. Parfois, pour faciliter l’accessibilité à certaines catégories de documents, des moyens de reproduction sont mis en place par ces services. Il peut s’agir de techniques de micrographie ou de numérisation. Le système d’archivage papier peut être interne à l’entreprise, ou externalisé chez un tiers archiveur spécialisé dans la gestion des documents papiers. Dans le cadre de la numérisation, les images des documents peuvent être versées dans le système d’archivage électronique afin de leur donner une valeur de copie. Pour assurer la conservation des documents électroniques, le système d’archivage papier doit être remplacé ou complété par Le SAE (Système d’Archivage Electronique). Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 8 4. SAE ET SYSTEMES DE STOCKAGE Principes fondamentaux Avec l’arrivée des documents électroniques à valeur légale, les nouveaux enjeux pour les entreprises et les tiers archiveurs consistent à assurer la valeur probatoire dans le « temps probant » pour ces nouveaux types de documents. La difficulté liée à la volatilité des documents électroniques est réelle et nécessite de mettre en place un système performant apportant de véritables solutions liées aux contraintes imposés par un SAE: La prise en charge et la maitrise des versements des documents électroniques dans le SAE. L’intégrité des documents versés dans le SAE. La traçabilité des actions réalisées sur les documents électroniques et aux opérations réalisées au sein du SAE. La pérennité des documents électroniques et des traces associées au regard du temps pour permettre la lisibilité et l’audit des contenus. La réversibilité des contenus archivés dans le SAE La sécurité des documents électroniques et du SAE. Le SAE gère les documents électroniques qui lui sont confiés par des applications externes. Pour le stockage des fichiers, il peut s’appuyer sur un « coffre-fort numérique » ou gérer directement le stockage sur des ressources disques qu’il pilotera. Les outils et mécanismes de stockage, qu’il soit mis en œuvre par le SAE ou par le « coffre-fort numérique » piloté par le SAE, doivent respecter les standards et ne pas utiliser des principes de chiffrement ou tout autre mécanisme propriétaire de gestion des fichiers. Les documents électroniques qui doivent être conservés pendant plusieurs dizaines d’années doivent être stockés de manière à ce qu’il soit facilement possible de les déplacer sur de nouveaux supports de stockage au bout de quelques années du fait de l’obsolescence rapide (moins de 10 ans) des technologies de stockage. Le SAE doit donc être le plus indépendant que possible du matériel utilisé pour le stockage afin de pouvoir facilement en changer lorsque ce matériel devient obsolète. Pour ce faire, le SAE doit être régulièrement contrôlés afin de vérifier que les technologies qu’il utilise restent pertinentes au regard des évolutions technologiques. Il doit permettre d’anticiper l’obsolescence afin de gérer le changement dans des conditions organisationnelles et financières optimales. Dans tous les cas, le SAE a la responsabilité des documents électroniques qui lui sont confiés et doit mettre en œuvre l’ensemble des moyens techniques et technologiques nécessaires pour répondre aux contraintes exposées ci –dessus. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 9 Architecture d’un SAE et enjeux stratégiques dans le système d’information Le SAE dans le SI Les applications métiers qui génèrent des documents papiers pour des tiers (rentrant dans le cadre des catégories de documents qu’il faut conserver) sont amenées à évoluer. Actuellement, ces applications utilisent en majorité des services d’impression et de mise sous pli des documents pour imprimer puis envoyer par courrier les documents aux tiers. Une copie est alors conservée dans le service d’archive ou directement aspirée par un outil de GED (Gestion Electronique de Documents) de type COLD. Les nouvelles générations d’application métiers permettent déjà pour certaines et vont permettre pour les autres, de générer des documents électroniques, de les signer pour en assurer l’authentification, et de les déposer sur des serveurs sécurisés pour que les destinataires puissent les récupérer. Certaines applications vont jusqu’à gérer l’envoi des données électroniques (EDI) vers les systèmes tiers. Cependant, ces applications métiers n’offrent pas la possibilité de gérer la valeur probatoire des documents électroniques car cette préoccupation est éloignée du cœur de l’application. De plus, les échanges multi latérales s’intensifient, et les entreprises reçoivent de plus en plus de documents électroniques par des canaux aussi difficiles à maitriser que la messagerie d’entreprise. Afin de gérer les documents électroniques entrants et sortants qu’il convient de conserver au regard de la politique d’archivage de chaque entreprise, il devient nécessaire de mettre en place au service du système d’information de chaque entreprise, un SAE capable de gérer les documents électroniques en provenance des différents canaux et progiciels qui peuvent fournir ce type de document. Pour permettre aux applications du SI de déposer des documents électroniques dans le SAE d’entreprise, il est nécessaire de mettre en place des mécanismes de versements universels que toutes les applications existantes ou à venir dans le SI pourront utiliser afin de confier leurs documents. ECM - GED - SAE Le système d’archivage électronique (SAE) est un sous ensemble des technologies de la gestion de contenu (ECM). La gestion électronique des documents (GED) est également un sous ensemble de la gestion de contenu (ECM). Les deux types d’application (GED et SAE) gèrent des documents électroniques. Il semble donc à priori étonnant de devoir mettre en œuvre un SAE lorsqu’une GED est en place ou de mettre une GED en place lorsqu’un SAE est en place. Pourtant le périmètre d’un SAE est totalement différent de celui d’une GED. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 10 Un document électronique possède une durée de vie globale souvent qualifié dans les normes de durée administrative (DUA). Cette durée de vie est ellemême constituée de deux périodes différentes. La durée d’utilité courante et la durée d’utilité intermédiaire. La durée d’utilité courante est la durée durant laquelle l’accès au document est souvent fréquent du fait des actions à réaliser liées au document et au contenu qu’il porte. Les systèmes de GED sont souvent mis en œuvre pour gérer les documents pendant cette période du cycle de vie du document. Le temps moyen de cette durée est très variable selon le type de document. Il peut s’agir de quelques jours jusqu’à quelques années. Une fois la durée d’utilité courante passée, le document entre dans sa période appelée durée d’utilité intermédiaire. Il s’agit alors de préserver le document tant qu’il est nécessaire de le conserver par rapport aux obligations légales. Bien souvent, cette durée est importante, et il devient inutile de saturer les systèmes de GED avec ces documents puisqu’ils n’ont plus aucune utilité. Le SAE doit être utilisé dès le début du cycle de vie du document électronique et donc le plus tôt possible après sa création. Plus le SAE prend en charge le document rapidement, meilleur est sa valeur probatoire. Il ne faut pas attendre la fin de la durée utile du document pour le verser dans le SAE mais il faut le verser dès sa création. Bien entendu, une copie électronique peut vivre en même temps dans un système de GED. Mais le document original doit être déposé au plutôt dans le SAE qui reste le garant de son intégrité. Dans le cas de la mise en œuvre d’une GED qui produit des documents à valeur probatoire comme un courrier électronique signé, il est alors important que la GED puisse verser le document dans le SAE après signature du document par son auteur. Une copie du document peut néanmoins rester dans la GED pendant sa durée de vie utile. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 11 Eléments d’une solution d’Archivage Electronique Conformité aux spécifications normatives et aux exigences Toute solution technologique complète pour mettre en place un SAE doit être conforme aux spécifications techniques de la norme NF Z42-013:2009 en appliquant toutes les exigences techniques minimales de la norme conformément aux principes exposés dans le paragraphe 8.2 de ce document. Du fait de sa capacité à gérer des documents électroniques mais également des « records », la solution ES-Compliance, lorsqu’elle est couplée avec un système informatique de gestion des transactions financières est parfaitement conforme à l’article 313-50 de l’AMF puisqu’elle permet facilement de reconstituer chaque étape clé du traitement de toutes les transactions dont la trace est versée dans le SAE qui en assure alors l’intégrité, la sécurité et la pérennité en dehors de l’application métier. Un SAE s’intégrant au SI Quelque soit le Système d’information et le schéma d’architecture en place ou souhaité, La solution d’Archivage Electronique doit s’intégrer au SI comme un simple service complémentaire à la disposition des applications de l’entreprise. Les documents électroniques à valeur probatoire de l’entreprise peuvent être envoyés dans un coffre-fort électronique externe (tiers-archiveur) ou dans le coffre-fort électronique de l’entreprise (système de stockage propre à l’entreprise piloté par le SAE). LA solution d’Archivage Electronique doit être positionnée au sein du SI comme une solution transverse du système d’information qui permet à toutes les applications de l’entreprise de déposer des documents électroniques. Mais il est également possible de positionner ES-Compliance comme une solution dédiée à l’archivage des documents électroniques d’une application particulière du SI. Dans tous les cas, le SAE est le garant de la sécurité, de l’intégrité et de la pérennité des documents archivés. Il est également le responsable de la constitution des journaux liés au cycle de vie des documents et aux évènements d’exploitation du système. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 12 Capture des documents et flux électroniques La solution doit permettre d’assurer la capture des documents papiers (fichiers numérisés) ou électroniques (fichiers électroniques ou messages électroniques avec ou sans fichiers attachés). Pour la capture des documents électroniques, La solution doit permettre de déclarer des flux d’archivage. Il s’agit pour chaque type de flux candidat de paramétrer ses caractéristiques et de définir les règles d’import qui lui seront associées. D’une manière standard, le SAE est en mesure de capturer des flux déposés par des applications tiers dans des répertoires disques dédiés mais également de capturer des flux arrivant sur des serveurs de messagerie électronique. Son interface de capture extrêmement paramétrable permet lorsque c’est nécessaire de développer spécifiquement des mécanismes de capture différents. Capture des métadonnées associées aux documents électronique : Pour pouvoir intégrer un document électronique dans le SAE, il est obligatoire de le décrire préalablement avec des métas-données associées conformément aux exigences des normes en vigueur. Selon le cas, les métadonnées peuvent se trouver directement intégrées dans le document électronique ou se trouver dans une structure XML accompagnant le document électronique à archiver. Lorsqu’un fichier porte ses métadonnées en son seing, la fonction de capture du SAE peut extraire ces données s’il s’agit d’informations structurées au format XMP (eXtensible Metadata Platform). Cette technologie permet d'ajouter des données relatives à un fichier directement dans le fichier lui-même, et ce sous forme de balise XML. L’avantage de cette technologie spécifiée par Adobe est de rendre indissociable le fichier et ses métadonnées. De nombreux formats de fichiers supportent les balises XMP (PDF, TIFF, JPEG, GIG, PNG, HTML, AI, SVG, PSD, EPS, AVI, MOV, MP4, WMA, …). Vérification du format de fichier : Conformément à la norme NF Z42-013, le SAE doit posséder une table des formats de fichiers électroniques qu’il accepte de prendre en charge. Cette table évolutive permet de limiter volontairement l’import de documents électroniques ayant des formats standards et de refuser les fichiers dont le format ne serait pas accepté par le SAE. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 13 Conversion de format en entrée : Bien que pas toujours souhaitable, Le SAE peut être en mesure de convertir des documents électroniques lors de leur import. Cependant, la norme NFZ 42-013 préconise dans ses exigences minimales liées à la pérennité d’utiliser des « formats normalisés ou standardisés et utilisable librement ». Si à l’origine, les documents électroniques versés n’utilisent pas ce type de format, la norme permet au travers des exigences complémentaires liée à la pérennité, de réaliser des « conversions des formats à l’entrée ». Le choix du nouveau format de conservation et les modalités de conversion doivent en tout état de cause éviter la perte involontaire d’informations significatives. La réalisation et les caractéristiques de la conversion sont contrôlées et enregistrées par le SAE dans son journal des évènements. Contrôle d’unicité des métadonnées dans le SAE : Afin d’éviter les doublons involontaires, le SAE doit mettre à disposition un mécanisme de contrôle de doublons basé sur les métadonnées associées aux documents versés. Numériser les documents papiers : Très souvent, l’image numérique imprimée des documents papiers associée aux informations de traçabilité démontrant l’intégrité de ces documents sera suffisante en cas de besoin de fourniture de justificatif. En effet, pour plus de 80% des cas, la fourniture d’une copie d’un document papier est suffisante en cas de litige. Il n’est que très rarement nécessaire de devoir produire un document original. De ce fait, la numérisation des documents papiers pour en réaliser une archive électronique tout en conservant l’original papier est une solution très économique et profitable. Le classement à moindre frais chez un tiers ou dans des emplacements peu couteux remplaceront avantageusement un classement interne et méticuleux des documents papiers à conserver sur des périodes plus ou moins longues. La conservation numérique assurera également une préservation de la qualité du document. Même si l’image numérique d’un document papier à valeur légale ne peut donner qu’une valeur de preuve limitée, la mise en place d’un SAE apporte un véritable gain organisationnel suffisant à économiser les coûts associés à la préservation des documents papiers dans des conditions suffisantes à leur exploitation. Profils d’archivage Conformément à la norme NF Z42-013, il est nécessaire de définir, au moment de chaque dépôt, l’ensemble des règles applicables à celui-ci. Pour ce faire, le SAE permet de définir des profils d’archivage. Comme le mentionne le paragraphe 5.1 de la norme, « Un profil d’archivage est un ensemble de règles applicables à des documents partageant les mêmes critères de confidentialité, de durée de conservation, de destruction et de droits d’accès pour déposer, consulter ou détruire. » Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 14 Profils Utilisateurs Des droits d’accès doivent permettre de définir les fonctionnalités accessibles dans le SAE pour chaque catégorie d’utilisateur. A minima, un « auditeur » doit avoir la possibilité de rechercher et consulter les archives ainsi que d’accéder à l’ensemble des journaux associés aux documents et à l’ensemble des traces soigneusement conservées par le SAE. Le « record manager » doit avoir les mêmes possibilités que l’auditeur mais doit pouvoir également paramétrer et gérer les profils de documents. L’administrateur technique doit pouvoir se charger du suivi des jobs de capture et du suivi du système. Stockage des documents électroniques et des données associées Le SAE dépose les informations et les fichiers qu’il prend en charge dans son système de stockage. L’évolution des solutions d’archivage électronique, à l’instar des modifications apportées à la norme française sur l’archivage électronique, permet de substituer aux traditionnels supports physiques non réinscriptibles (Worm3 physique), des supports logiques non réinscriptibles (Worm logique) voire des supports réinscriptibles. L’emploi de supports Worm logique, dont le caractère non réinscriptible est assuré par des dispositifs matériel et/ou logiciel intrinsèques a pour avantage de répondre aux besoins fonctionnels d’un système d’archivage électronique tout en interdisant la destruction, l’altération ou la modification de l’information. Ces supports réinscriptibles non amovibles, compte tenu des dispositifs de protection embarqués, y compris contre la suppression, paraissent donc admissibles au même titre que le Worm physique, d’autant que, à la différence de ces derniers, le Worm logique permet de gérer l’exigence du droit à l’oubli, imposée par la loi Informatique et libertés, passée la durée de conservation initialement assignée4. Le recours aux supports dits réinscriptibles non Worm, au regard de la norme précitée, permet d’établir, sous réserve de se conformer à un ensemble d’exigences supplémentaires, la traçabilité de toute modification, c’est à dire l’intégrité des enregistrements, dès lors que la notion d’intégrité se limite à l’altération ou la modification mais non la suppression, intentionnelle ou non, d’une information. Le choix du support de stockage peut être également guidé par d’autres considérations, comme les temps d’accès ou le coût total de possession (« Total cost of ownership » ou « TCO », en anglais). L’exigence d’intégrité pourrait être appréciée par l’Autorité au cas par cas dans le cadre des enquêtes et ce, par 3 Write Once, Read Many. 4 En cas de recours au Worm logique, une attention particulière devra être apportée aux paramétrages de la solution de stockage, de sorte que l’enregistrement des données soit effectivement irréversible, même par le « super administrateur ». Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 15 application du principe de proportionnalité excipé du Règlement général de l’Autorité. Dès lors, il pourrait être envisagé le recours à des supports de stockage réinscriptibles non Worm, sous réserve de répondre aux exigences de la norme NF Z 42-013 :2009, c’est à dire de mettre en œuvre les moyens cryptographiques, qui y sont exigés, tout en précisant le niveau de sécurité acceptable au regard des exigences du Règlement général de l’Autorité. Relevons néanmoins que la SEC5 a, dès 2003, explicitement exclut le recours aux supports réinscriptibles. Quoiqu’il en soit, il serait erroné de penser que la conformité d’un système d’archivage électronique dépend uniquement des supports de stockage. Dans tous les cas, le SAE doit assurer le pilotage et l’intégration des événements d’exploitation des systèmes de stockage. L’ensemble des opérations qui sont réalisées au sein des systèmes de stockage sont capturées par le SAE afin d’assurer une parfaite traçabilité de toutes les opérations critiques. Afin d’être conforme à la norme et pour sécuriser le stockage, Le SAE doit utiliser un mécanisme d’archivage en Y (archivage en miroir). Chaque document électronique doit être stocké dans deux espaces situés dans deux lieus géographiquement différents. Ainsi, à tout moment, il doit toujours exister au moins deux copies de chaque fichier. Le SAE doit vérifier régulièrement l’intégrité des deux copies en comparant les empreintes des copies. Au moment de la prise en charge des documents électroniques par le SAE, chaque fichier fait l'objet d'une prise d’empreinte et d’une signature par le SAE. Cette empreinte qui est unique pour chaque fichier peut permettre également le dédoublonnage des fichiers lors de la capture des documents. Lors de l’enregistrement des métadonnées de description d’un document dans la base de données du SAE (création d’un record), une signature est également générée sur les données qui constituent le record, soit sur l’ensemble des métadonnées associées. Enfin, pour permettre de conserver l’association « document – métadonnées », le couple « signature du document - signature de l’enregistrement» est pris en compte afin de générer une troisième signature (signature globale). La vérification des signatures porte sur la signature de chaque élément, documents attachés et métadonnées, et sur la signature globale. Ces signatures permettent d'assurer l'intégrité des données lors de toute demande d'affichage des documents. Chaque fichier stocké dans le SAE est accompagné d’un fichier XML comportant l’ensemble des métadonnées associé au document ainsi que les trois signatures associé à chaque document. 5 17 CFR Part 241 34-47806 SEC interpretation Electronic Storage of Broker-Dealer Records. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 16 Traçabilité et journaux quotidiens Toutes les actions faites sur les archives et tous les évènements d’exploitation du SAE doivent être enregistrés. Il faut donc être en mesure de produire les types de journaux suivants : un journal quotidien des évènements du SAE, qui est archivé, un journal quotidien du cycle de vie des archives, qui est archivé, un journal d’archive par document archivé, qui est généré ponctuellement par l’utilisateur et n’est pas archivé en tant que tel, un journal des logs des systèmes de stockage. Le processus de journalisation peut reposer sur l'enregistrement en base de données de certains évènements et la génération de listing de ces évènements selon un critère de date (quotidien) ou sur un objet précis (document ou type d'évènement). Le SAE doit générer automatiquement et quotidiennement un journal des évènements qui peut être au format PDF/A-1 et qui comporte une ligne chronologique et horodatée par évènement décrivant l’opération réalisée. Lorsqu’une ligne du journal concerne une archive, l’identifiant unique et chronologique de l’archive concernée par l’opération doit être mentionnée. Le journal (fichier PDF/A-1) doit être accompagné de trois autres fichiers : lui-même archivé au sein du SAE Fichier des métadonnées techniques concernant l'archivage du journal, Fichier des métadonnées de description du journal, l’enregistrement dans la table des journaux, Fichier des métadonnées techniques métadonnées de description du journal. concernant issues l'archivage de des Les mécanismes d’empreintes et de signature mis en œuvre pour assurer la vérification d’intégrité des fichiers stockés dans le SAE doivent également s’appliquer aux journaux archivés. Le mécanisme d'horodatage utilisé par le SAE dans le cadre de l’enregistrement des événements se produisant dans le SAE, doit répondre aux exigences de la norme NF Z42-013:2009. La norme reprend les éléments de la norme ISO 8601:2004 concernant la représentation des dates et des heures. Cet horodatage est effectué sur la base du Temps Universel Coordonné. Les différentes horloges du réseau, et par conséquent les composants du système, doivent être synchronisés via un serveur de temps (NTP par exemple). Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 17 Audit et contrôle d’intégrité A tout moment, il doit être possible de rechercher des documents dans le SAE et de vérifier leur intégrité ainsi que celle des métadonnées associées et des journaux. Processus de destruction Le SAE doit être livré avec une documentation du processus de destruction des archives qui doit décrire le mécanisme de destruction des documents du SAE. La suppression des documents archivés dans le cadre de l'application résulte de plusieurs processus. Destruction des métadonnées dans la base de données du SAE Destruction des documents archivés au niveau des deux supports d’archivage (archivage en Y). Conformément à la norme, la destruction ne doit pas être automatique et doit nécessiter une validation externe d’un utilisateur habilité. Le processus de destruction se déroule donc en deux étapes, la première automatique (transfert des documents à éliminer vers un profil adapté), la seconde manuelle ( validation externe après vérification de la liste des documents à éliminer). Chaque destruction entraine un ensemble de traces complémentaires dans les journaux quotidiens (attestation de destruction). Les journaux associés aux documents détruits ne doivent jamais être détruits. Réversibilité des systèmes de stockage Le SAE doit être livré avec une documentation de réversibilité afin de permettre d’extraire des systèmes de stockage du SAE tous les documents qui y sont archivés ainsi que toutes les métadonnées associées. La réversibilité permet d’éviter la dépendance du client par rapport à la solution d’archivage en lui permettant de migrer l’ensemble des archives d’une SAE vers un autre. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 18 5. CADRE JURIDIQUE ET LEGAL ASSOCIE AU SAE Afin d’encadrer les fonctionnalités d’un SAE, des normes et recommandations ont vu le jour depuis quelques années. En Europe, les états membres de l’Union Européenne bénéficient des directives que chaque Etat doit ensuite faire appliquer dans son pays. Dans ce paragraphe, Philippe Ballet, avocat chez Alain Bensoussan Avocats, vous donne les clés de lecture sur le cadre juridique et légal associé au SAE. Copie fidèle et durable La destruction de l’originale est encadrée par la loi depuis le 12 juillet 1980. L’article 1348 al. 2 du code civil donne la faculté de produire en justice la copie fidèle et durable au lieu et place de l’original. La preuve électronique La première directive européenne importante pour la mise en œuvre d’un SAE et celle qui remonte au 13 décembre 1999 et qui fixe le cadre juridique de la signature électronique applicable aux états membres de l’Union Européenne. Cette directive avait pour objectif de permettre l'utilisation de la signature électronique en contribuant à sa reconnaissance juridique au sein des états membres. En France, cette directive a été appliquée via la loi du 13 mars 2000 article 1316 du code civil en donnant à la signature électronique la même valeur juridique que la signature manuscrite sous réserve que le procédé de signature électronique soit fiable. Afin de préciser la présomption de fiabilité d’un procédé de signature électronique, un décret N° 2001-272 daté du 30 mars 2001 fut publié. Le droit à l’oubli La loi informatique et libertés encadre le droit à l’oubli par la loi du 6 janvier 1978, article 6.5. Cette loi fait exception pour les archives définitives. Dans le cadre des documents électroniques, cette loi impose donc des purges impératives des données et documents associés. Au niveau du code monétaire, le droit à l’oubli impose de faire disparaître l’identification des investisseurs après 5 ans à compter de la clôture des comptes ou de la cessation des relations contractuelles (article L561-12). En ce qui concerne l’autorité des marchés financiers, le droit à l’oubli s’exerce après 5 ans, puisqu’il convient de conserver les informations pendant une durée de 5 années minimum (art. 31349) et entre 6 mois et 5 ans pour les enregistrements téléphoniques (art.31352). La prescription Les durées de prescription du droit commun sont très variées puisqu’il existe 250 délais différents. Dans la majorité des cas, les délais sont raccourcis à 5 ans. De nombreux délais de prescriptions sont spécifiques pour la fiscalité, la comptabilité, … D’autres phénomènes chronologiques comme la suspension ou l’interruption de la prescription (litiges) peuvent rallonger la durée de prescription jusqu’à 20 ans. A noter qu’une durée peut en cacher une autre : Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 19 prescription civile et commerciale : 5 ans, pièces comptables (pièces justificatives) 10 ans. Autorité des Marchés Financiers (AMF) Les prestataires de services d’investissement doivent conserver les informations pertinentes relatives à toutes transactions sur instruments financiers qu’ils ont conclues, dans les conditions fixées par le règlement général de l’Autorité des marchés financiers. Compte tenu de la généralisation des échanges sous forme électronique, les prestataires de services d’investissement doivent se doter d’un système d’archivage électronique répondant aux exigences posées dans le règlement général de l’Autorité des marchés financiers. L’article 313-50 du Règlement général de l’Autorité des marchés financiers dispose que les enregistrements des prestataires de services d’investissement doivent être conservés sur un support qui permet le stockage d'informations de telle façon qu'ils puissent être consultés par l'Autorité des marchés financiers, sous une forme et d'une manière qui satisfont à un ensemble de conditions : l’Autorité des marchés financiers doit pouvoir y accéder facilement et reconstituer chaque étape clé du traitement de toutes les transactions ; il doit être possible de vérifier aisément le contenu de toute correction ou autre modification, ou l'état des enregistrements antérieurs à ces corrections ou modifications ; il ne doit pas être possible de manipuler ou altérer les enregistrements de quelque façon que ce soit. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 20 6. CADRE NORMATIF ASSOCIE AU SAE La conformité d’un système d’archivage électronique aux exigences réglementaires nécessite, en pratique, d’avoir recours aux normes, d’application volontaire, en particulier la norme française sur l’archivage électronique. Les normes permettent d’assurer une passerelle entre les exigences réglementaires et l’état de l’art. Le respect de la norme NF Z 42-013 s’impose désormais à l’externalisation des archives publiques électroniques. Toutefois, l’application des normes n’emporte pas présomption de conformité à la réglementation, sauf exception. Christian Dubourg, membre de la commission de normalisation 171 à l’AFNOR et contributeur dans le groupe de travail qui a révisé la norme NF Z 42-013 vous guide dans la lecture du texte normatif. Norme NF Z42-013 En parallèle de l’ajustement législatif, un cadre normatif a été mis en place en France par l’AFNOR. Une norme Française connue sous le sigle « NF Z42-013 » a été publiée en 1999 puis révisée une première fois en décembre 2001 et une seconde fois en mars 2009. Initialement, cette norme avait pour objet de définir un ensemble de recommandations pour la conception et l'exploitation des systèmes informatiques afin d'assurer la conservation et l'intégrité des documents stockés. Jusqu’à la révision de mars 2009, cette norme n’était utilisable que pour des systèmes d’archivage basés sur des supports de stockage WORM physique. Depuis mars 2009, et après 3 ans de travail, cette norme Française a entièrement été révisée et son orientation a été revue puisqu’elle est passée d’une norme contenant des recommandations, à une norme contenant des spécifications. Le nouveau titre de la norme est : « Spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes ». La norme NF Z42-013 :2009 a été écrite par un groupe de travail de la Commission de normalisation 171 de l’AFNOR. La société EVER TEAM, membre de la CN 171, a participé à la rédaction de la révision 2009 et a mis en œuvre dans sa solution ES-Compliance les spécifications de la norme rendant ainsi tous les SAE basés sur sa solution conforment aux spécifications techniques décrites dans la norme. EVER TEAM a également participé au groupe de travail qui a réalisé le guide d’application de la nouvelle révision de la norme qui sera prochainement publié par l’AFNOR afin d’aider les sociétés à mettre en œuvre les spécifications techniques et organisationnelles. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 21 La « Z42-013 :2009 » est basé sur différents niveaux d’exigences. La conformité d’un SAE est donc appréciée au regard des exigences minimales et complémentaires le caractérisant. Les différentes exigences sont classées en trois grandes catégories : Exigences relatives à la pérennité. Exigences relatives à l’intégrité. Exigences relatives à la sécurité. Les exigences minimales relatives à la pérennité concernent : l’usage de formats normalisés ou standardisés et utilisable librement. la nécessité de décrire les documents électroniques au moyen de métadonnées. la nécessité de maitriser la migration des supports de stockage pour permettre un déplacement des fichiers d’un support vers un autre afin d’anticiper l’obsolescence des supports dans le temps. la nécessité de gérer la conversion des formats lors de leur entrée dans le SAE ou plus tard lorsque les formats évoluent et qu’il est estimé nécessaire de convertir un document électronique d’un format vers un autre pour éviter son obsolescence technologique. La nécessité d’anticiper l’obsolescence du SAE par la surveillance et le remplacement maitrisé des technologies utilisés par le SAE. Les exigences minimales relatives à l’intégrité concernent : Le processus de capture des documents électroniques. Il doit assurer dès le début l’intégrité des documents versés. En particulier, si le document versé est transformé par le processus de capture (conversion, numérisation, …) le format des documents stockés dans le SAE diffère du format d’origine. C’est le cas par exemple lorsqu’un SAE doit gérer des documents papiers sous forme électronique à des fin de valeur probatoire. Il convient alors de mettre en place une procédure de numérisation suffisamment maitrisée afin de s’assurer de l’intégrité du document électronique issue du processus de numérisation. Dans ce cas, l’intégrité est relative à la non perte d’informations significatives entre le document papier et l’image qui en a été réalisée par la numérisation. La nécessité d’utiliser des supports de stockage aptes à garantir l’intégrité des fichiers stockés. En langage courant, cela signifie qu’un fichier déposé sur un support de stockage ne doit pas pouvoir être modifié ni supprimé par accident voir même volontairement. De ce fait, les supports magnétiques couramment utilisés sont à priori des Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 22 mauvais candidats pour gérer les documents électroniques. Seuls les disques physiquement non réinscriptibles comme les DVD-R ou autres supports optiques connus sous l’acronyme WORM (Write Once Read Many) permettent d’assurer cette intégrité d’une manière intrinsèque. Afin de ne pas interdire le stockage sur d’autres types de support que les supports WORM, la norme donne la possibilité d’utiliser des WORM logiques fixes ou amovibles ainsi que des disques réinscriptibles. Comme ces supports sont logiquement effaçables, l’intégrité des documents stockés pourrait être mise en cause. Avec ces technologies, il est nécessaire de mettre en places des moyens techniques complémentaires mentionnés par des exigences minimales complémentaires. La nécessité de maitriser le cycle de destruction des archives par la mise en place d’alertes avant destruction et l’utilisation d’un processus maitrisé pour parvenir à supprimer les documents électroniques. Les exigences minimales relatives à la sécurité concernent : L’organisation à mettre en place pour assurer l’identification des personnes et des processus qui doivent accéder au SAE et à ses documents électroniques. La sécurisation des documents électroniques par la mise en place systématique et dès le début du cycle de vie dans le SAE de copies des documents électroniques tout en assurant l’intégrité des copies par rapport au document original. L’horodatage de l’ensemble des actions du SAE. La tenue d’un journal du cycle de vie des archives et d’un journal des évènements qui doivent être alimentés par les informations liées à la traçabilité horodatée des actions menées sur les documents électroniques et sur l’exploitation du SAE. Les moyens utilisés dans le SAE doivent permettre d’assurer également l’intégrité, la pérennité et la sécurité des journaux. La tenue d’un dossier technique complet du SAE décrivant tous les composants et tous les processus mis en œuvre dans le SAE. Ce dossier doit permettre régulièrement d’auditer le SAE afin de pouvoir vérifier sa conformité aux éléments décrits dans le dossier technique. Le maintien en condition opérationnel (MCO) du SAE Avec cette révision de la norme NF Z42-013, les entreprises et les collectivités Françaises possèdent enfin un outil de qualité pour permettre de mettre en place un Système d’Archivage Electronique pérenne capable d’assurer la sécurité et l’intégrité des documents électroniques qu’il gère. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 23 Certification NF Z 42-013 Les organismes et entreprises qui mettent en œuvre les spécifications de la norme NF Z42-013 pourront faire certifier leur solution (fin 2010). Un référentiel de certification est en cours d’élaboration. La certification sera proposée aux organismes et entreprises, aux sociétés de services informatiques et éditeurs de logiciels de SAE ainsi qu’aux sociétés qui proposent des services de tiers archivage. MoReq : un modèle Anglo-Saxon pour l’Europe Le MoReq (Model Requirements for the Management of Electronic Documents and Records) est un recueil d'exigences pour l'organisation de l'archivage électronique qui a été élaboré dans le cadre de l'Union européenne afin de tenter d’uniformiser entre les pays de la CEE les usages par rapport aux politiques d’archivage. Initialement édité en anglais en 2001 et traduit en français en 2004, la première version du MoReq a été remplacée en 2008 par le MoReq2 dont la traduction Française est disponible depuis fin 2009. Cette seconde version reprend l’ensemble des exigences initiales et corrige, renforce ou complète certaines exigences du fait des évolutions technologiques et réglementaires. Le MoReq est basé sur le modèle du « Record Management » décrit dans la norme IS0 15489. Ce modèle est appliqué d’avantage dans les pays anglo-saxon qu’en France ou le mot « Record Management» n’a pas étonnamment trouvé de traduction. Tout cela tient au fait que le modèle véhiculé par le « record Management » intègre essentiellement la conservation de la qualité de la preuve d’un document alors que l’archivage des documents en France est souvent plus orienté autour de la valeur patrimoniale du document en particulier dans le domaine des Archivistes. Actuellement, ce recueil d’exigences est souvent utilisé par les responsables de projet d’archivage dans le secteur privé. La révision 2009 de la norme NF Z42013 contribue au niveau national à reprendre certaines notions du « record management » spécifiées dans le MoReq2 et dans la norme ISO 15489. La NF Z42-013 limite cependant à l’essentiel les exigences mentionnées sous forme de différentes options dans le MOREQ2. Elle est ainsi plus pragmatique et donc basée sur des spécifications applicables plus rapidement et à moindre coût que se soit pour le secteur privé comme pour le secteur public. Du fait de la difficulté de mise en œuvre de MoReq2, le DLM Forum, en charge des spécifications MoReq a décidé en mars 2010 de travailler sur une nouvelle version des spécifications MoReq. La nouvelle version intitulée MoReq2010 devrait voir le jour en fin d’année 2010 avec comme objectif de simplifier et rendre plus modulaire l’ensemble des recommandations. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 24 Autres normes dans le monde D’autres normes liées à l’archivage des documents électroniques ont été publiés dans différents pays d’Europe comme la norme néerlandaise NEN 2082 ou aux USA comme la norme DoD 5015. Ces normes plus anciennes viennent compléter le référentiel normatif sur lequel s’appuie les normes les plus récentes comme la NF Z42013 :2009. Des normes plus techniques comme l’ISO 19005-1 (PDF/A-1) sont également utilisés dans le référentiel normatif des dernières normes publiées. Enfin, de nouvelles normes dans le domaine du Record Management sont au stade d’enquête comme la norme ISO 16175. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 25 7. MISE EN PLACE D’UN SAE : UN PROJET A PLUSIEURS ETAPES. Même si c’est une obligation, la définition d’une politique d’archivage répertoriant les profils d’archivages et le cycle de vie associé à chacun d’eux ne suffit plus. Il faut pouvoir appliquer cette politique d’une manière maitrisée et sereine afin d’éviter les risques liés à l’incapacité de produire une pièce électronique pour prouver sa bonne foi. La mise en place d’un SAE permet de manager le risque et de l’assumer sans difficulté et correspond à la mise en place d’un véritable projet pour l’entreprise. Ce projet comporte plusieurs phases. Dans ce paragraphe, Michel Thomas, consultant expert chez Serda, vous donne les clés de lecture fonctionnelles, techniques et organisationnelles. L’Analyse initiale La mise en place d’un SAE nécessite plusieurs étapes préalables. L’une des premières étapes consiste à dresser un inventaire des systèmes et des données, une cartographie réglementaire, fonctionnelle et technique, et une liste des familles de documents. Il convient à cette phase de déterminer les exigences archivistiques : durées de conservations et purge, sécurité (confidentialité et intégrité). Il faut évaluer l’existant : écarts, analyse des risques à (ne pas) conserver, déterminer le ROI. Enfin, il faut identifier la stratégie par l’élaboration de tableaux de gestion, la définition de plan de classement et de nommage, et définir la charte d’archivage. L’expression des besoins Cette étape consiste à élaborer le cahier des charges du SAE. Celui ci doit faire référence aux normes et aux exigences réglementaires. Cependant, la conformité aux normes ne donne pas présomption de conformité à la réglementation Il doit permettre de communiquer la politique d’archivage, d’opter pour une solution interne ou externalisée ou une combinaison des deux, indiquer les bénéfices attendus, formaliser les critères de choix (matrice de conformité). La contractualisation Cette troisième étape du SAE consiste à choisir entre une solution interne ou une solution externalisée pour la mise en place du SAE. Solution interne Dans le cas de la mise en place d’une solution interne, il faut définir les règles liées aux licences du progiciel retenu en surveillant les points suivants : indivisibilité contrats, dépôt des sources, modalités tarifaires (régularisation). Il faut également définir les règles d’intégration de la solution (recette, reprise des données) et traiter de la maintenance du SAE ( pérennité, compatibilité ascendante, SLA). Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 26 Solution externalisée Dans le cas de la mise en place d’une solution externalisée, il convient d’encadrer cette approche à l’aide des spécifications de la norme NF 42013 :2009 paragraphe 13 et 14. Il convient également de préciser les instructions applicables entre sociétés mères et filiales : Plan de continuité d’activité « sur mesure » Réversibilité Changement de contrôle Accord de niveaux de services (« SLA ») Données personnelles (Art 34 & 35 I&L) Audit (y inclus sous traitant et « tutelle ») Sous-traitance (opposabilité des clauses) Le suivi Cette phase du projet intègre la prise en charge du suivi contractuel. Il s’agit de gérer les risques du projet en assurant un suivi rigoureux du calendrier, en identifiant les écarts sur les différents livrables du projet par rapport au cahier des charges, en participant activement à la validation des spécifications fonctionnelles détaillées (SFD). Le suivi comporte également la validation des comptes rendus de Comité de pilotage et la validation du procès verbal de recette de l’application. Dans le cadre de la mise en œuvre de la norme NFZ42013 :2009, un suivi tout particulier doit être apportée à l’élaboration du « dossier technique », véritable centre documentaire du SAE mis en place. Ce dossier permettra en particulier d’effectuer des audits du SAE. Conseils et facteurs clefs pour un projet SAE Un projet SAE est un projet structurant pour les entreprises. Pour une bonne réussite du projet, cinq conseils peuvent être donnés et cinq facteurs clefs doivent être suivis: Les cinq Conseils Associer conformité, juristes, IT et fonctionnels (gestion de projet) Définir un périmètre fonctionnel réaliste, mais représentatif (pilote) Définir ses objectifs et identifier ses contraintes (politique archivage) Formaliser ses exigences (cahier des charges) Assurer le suivi du projet (gestion post-contrat, audit) Une analyse préalable exhaustive prenant en compte les risques réglementaires, patrimoniaux, commerciaux… une analyse par activités : données, documents et métadonnées nécessaires. Une définition des processus d’alimentation, d’information, de contrôle, etc. Une méthodologie éprouvée basée sur la Les cinq Facteurs clefs Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW conduite de projet 27 rigoureusement cadrée, l’application des normes et réglementations, le déploiement progressif, l’accompagnement aux changements. Audit d’un SAE Des choix technologiques justes et cohérents fondés sur une architecture ouverte, une forte intégration des applications dans le système d’information, un choix judicieux des supports de stockage, de sauvegarde et d’archivage. Une implication des différents métiers de l’entreprise au niveau management (DG, DAF, Communication…), au niveau des équipes informatiques (DSI, RSSI, chef de projet…) et enfin au niveau des opérationnels (Contrôleurs de gestion, Auditeurs, Knowledge Manager…). Des choix d’organisation au niveau du service archives de l’entreprise, de l’exploitation informatique, de la conception du centre de calcul, du centre de numérisation (lorsqu’il y a lieu), du recours à des tiers. La mise en place d’un SAE doit permettre de simplifier l’accessibilité aux documents électroniques légaux archivés. En particulier, un SAE conforme à la norme NF Z42-013 :2009 comme ES-Compliance permet à un auditeur d’interroger le système d’archivage pour consulter aisément les documents électroniques archivés et obtenir l’ensemble des traces associées aux actions et événements intervenus durant le cycle de vie du document électronique. Il n’est pas nécessaire de faire appel à un expert technique pour sortir du système les éléments indispensables à la production de la preuve. En cas de besoin, une expertise technique du système peut être réalisée en s’appuyant sur le dossier technique qui recense l’ensemble des composants et des processus utilisés par le SAE. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA 28 8. BENEFICES ET PERSPECTIVES Les bénéfices organisationnels liés à la mise en place d’un SAE sont très nombreux et ont été explorés tout au long de ce document. Cependant, les deux principaux bénéfices stratégiques de la mise en place d’un SAE sont la conformité de l’entreprise par rapport à ses contraintes réglementaires et la sécurité et la pérennité des informations archivés. La maitrise des risques financiers Les conséquences financières d’un archivage déficient peuvent être importantes voir désastreuses comme l’ont montré certaines grandes affaires récentes. La mise en place d’un outil de gestion des « records » et des documents électroniques est devenue une nécessité primordiale pour permettre de répondre sans risque au moindre audit. La disparition des risques de catastrophes L’archivage électronique s’il est mis en œuvre réglementairement et conformément aux spécifications des normes en vigueur permet de sécuriser les informations de l’entreprise via un stockage dans des lieux géographiquement différents assurant ainsi une pérennisation du capital de l’entreprise. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW 29 9. LES CONTRIBUTEURS Christian Dubourg est directeur dans le groupe EVER TEAM. L’un des pionniers des systèmes d’archivage sur Disque Optique en France avec la conception en 1990 de la solution d’archivage électronique sur DON WORM Archiv’2000, il crée également la solution de Gestion Electronique de Documents MAXIM intégrée dans de nombreuses solutions du marché. Il est membre actif de la Commission de normalisation 171 à l’AFNOR et contributeur régulier aux travaux des groupes de travail de cette commission. Il a participé récemment activement à la révision de la norme NF Z42-013 parue en mars 2009. EVER TEAM est le 1er éditeur européen de solutions intégrées de gestion de contenu d’entreprise (ECM) et le 1er éditeur français à entrer dans le « Magic Quadrant » des solutions ECM, publié par le Gartner. EVER TEAM aide les organisations, quelle que soit leur taille, à mettre en œuvre leur système de gestion de contenu pour mieux gérer, utiliser, protéger et partager l’information. Michel Thomas, ingénieur ENS Télécom, connaît parfaitement l’environnement bancaire, ayant conçu, mis en place et/ou audité des systèmes d’archivage pour un grand nombre de banques. Expert auprès de la CN171 de l’AFNOR et du TC171 de l’ISO, qui traitent les questions applicatives de la gestion électronique de documents (normes PDF, micrographiques, implémentation de SAE, …), il possède une expertise reconnue de l’environnement technique, organisationnel et réglementaire des systèmes d’archivage et a conduit de nombreux projets de dématérialisation et de systèmes d’archivage électronique dans le domaine financier. Spécialiste de l’organisation de la mémoire et du savoir, le groupe SERDA-ARCHIMAG met depuis plus de 25 ans ses métiers (Maîtrise, Formation et Édition) au service des grandes entreprises du secteur privé ainsi que d'administrations et de collectivités territoriales, sur une approche globale des problématiques telles que la gestion documentaire, la gestion de contenu, le management des connaissances, l'archivage papier et électronique, la veille et l'intelligence économique. AUTRE SOURCE Philippe Ballet est avocat à la Cour d'appel de Paris et directeur du département « Dématérialisation & Archivage électronique » chez Alain Bensoussan Avocats. Il intervient en particulier auprès des autorités administratives, assurances, banques, entreprises d’investissement ou prestataires techniques. Il bénéficie d’une compétence juridique, normative voire technique acquise en Cabinet, mais également chez des prestataires et organismes de normalisation. Il est expert auprès de l’AFNOR. Il réalise de nombreuses publications, articles de doctrine, analyses de jurisprudence, veilles, études, guides et conférences sur la dématérialisation ou l’archivage électronique. Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA