L archivage électronique pour les laboratoires pharmaceutiques

Transcription

1 L archivage électronique pour les laboratoires pharmaceutiques Juin 2010 Tous droits d utilisation et de reproduction réservés

2 Les Auteurs Isabelle Renard Isabelle Renard est ingénieur, Docteur Ingénieur, et avocat. Elle a passé une grande partie de sa carrière dans l industrie de l informatique et des services, notamment au sein des groupes Thalès et Unisys en France et aux Etats-Unis. Avocat depuis 1999 elle a exercé au sein des Cabinets Archibald Andersen, August & Debouzy et Vaughan avant de rejoindre avec son équipe le Cabinet Racine en janvier 2010 pour créer le département du droit des Technologies de l Information. Elle a une expertise approfondie des questions juridiques liées à la dématérialisation, aux échanges électroniques et à l archivage, et a conduit de nombreuses missions dans ce domaine aux fins d analyser des processus de dématérialisation. Isabelle enseigne par ailleurs le droit des contrats au sein du Master professionnel de droit du multimédia et de l informatique de l université de Paris II depuis sa création en Elle assure également des formations dans plusieurs masters professionnels et au sein d entreprise, dans les domaines liés à la sécurité informatique, aux échanges dématérialisés, à la protection du patrimoine informationnel et à la gestion des relations contractuelles complexes. Le CEDHYS Association des directeurs des systèmes d'information des Sciences de la Vie Forum francophone de réflexion, d'initiatives et d'innovation, créé en 1977 et regroupant, aujourd'hui, une quarantaine de sociétés, permettant à ses membres d'élaborer pour leurs entreprises les meilleures stratégies de développement des technologies de l'information. Sébastien ASSELIN : Ingénieur Méthodes S.I. DIAGNOSTICA STAGO François CASSE : Responsable informatique ROCHE France Jean-Marc Rietsch Jean-Marc Rietsch ( [email protected]) est expert des métiers de la confiance et plus particulièrement de l archivage électronique. Ingénieur Civil des Mines, JM Rietsch a débuté sa vie professionnelle par le développement logiciel et l'offre de services pour les PME-PMI. En 1993, il oriente sa carrière vers la sécurité et plus particulièrement la sauvegarde des données informatiques et dépose un brevet sur le sujet. En 2001, JM Rietsch participe au lancement du premier tiers archiveur en France. JM Rietsch est Président de FedISA (Fédération de l ILM du Stockage et l Archivage) créée en 2005 et destinée à répondre aux attentes des utilisateurs en matière de dématérialisation au sens le plus large. Il est également le fondateur de Demateus ( organisme de formation spécialisé dans ce domaine et à l origine d un BADGE (Bilan d aptitude délivré par les Grandes Ecoles) première partie d un mastère exécutif concernant «le management de la dématérialisation et de l archivage électronique» en collaboration avec MinesParistech. Eric CHAUVEL : Directeur des Systèmes d'information Genzyme SAS Raphaël COMMARET : Responsable des Systèmes d'information FLAMEL Technologies Thierry GREHAIGNE : Directeur des Systèmes d'information STALLERGENES S.A. & président du CEDHYS Jean-Louis QUEVA : Directeur des Systèmes d'information LFB Nous tenons également à remercier tout particulièrement Thierry AMADIEU pour son aide apportée à la réalisation de cet ouvrage. 1

3 Preface Au-delà de la dématérialisation, l archivage électronique est de plus en plus un véritable sujet d actualité pour l ensemble des organisations tant publiques que privées. Bien évidemment, les laboratoires pharmaceutiques n échappent pas à la règle et c est pourquoi il nous est apparu important de réaliser cet ouvrage spécialement adapté à cet environnement afin de le rendre d autant plus pratique et efficace. Rappelons également que la compréhension de la dématérialisation ne doit pas se limiter à celle de la numérisation de documents mais doit être vue dans son sens le plus large. La dématérialisation intervient également au niveau des échanges avec l exemple des s, ainsi qu au niveau des processus métier et la dématérialisation des factures. L archivage électronique peut ainsi être vu comme une conséquence de la dématérialisation mais pas seulement. Son origine se retrouve ainsi à plusieurs niveaux et plus particulièrement dans : l augmentation extrêmement forte du volume de données électroniques gérées au quotidien du fait principalement des évolutions technologiques ; les changements dans les processus d entreprise, essentiellement en matière de dématérialisation ; de nouvelles obligations tant légales que réglementaires. Cependant il ne faut surtout pas considérer la problématique de l archivage électronique comme relevant de la simple dématérialisation des techniques traditionnelles d archivage. Outre l influence des nouvelles obligations, légales et réglementaires, ce nouveau type d archivage doit être pris en compte très en amont, dès l instant où les données peuvent être considérées comme figées. C est donc l ensemble du cycle de vie de l information qu il va falloir prendre en compte, de la création de la donnée jusqu à sa destruction, pour réaliser la mise en place d un système d archivage électronique véritablement efficient. La notion même d archivage a ainsi largement évolué. Là ou autrefois l archivage correspondait à une véritable rupture pour les organisations, du fait de l électronique, l information reste désormais accessible tout au long de son cycle de vie. Ainsi même rendue au statut d archive, la donnée doit être disponible. Cela peut également être vu comme une évolution de la GED ou gestion électronique des documents dont l objectif était justement de permettre une meilleure accessibilité aux données d entreprise. Un des enjeux de l archivage électronique, et non le moindre, est ainsi de pouvoir renforcer le système d information d une organisation et, par là même, sa compétitivité en lui permettant de disposer de la bonne information au bon moment. Par ailleurs, et de façon bien naturelle, l archivage électronique fait naître très rapidement des questions concernant les supports dont la pérennité est forcément limitée en regard des technologies actuelles. C est là le paradoxe de l archivage électronique qui consiste à devoir travailler avec des technologies dont l obsolescence est extrêmement rapide alors que l on cherche justement à conserver des données sur du long terme. Pour répondre à cette interrogation fondamentale nous verrons dans la suite de cet ouvrage qu il est en fait indispensable de dissocier pour un document la notion de support de son contenu informationnel. Enfin, au-delà de la technique et pour aborder le sujet de l archivage électronique, il est également indispensable de considérer d autres aspects très différents comme les aspects juridiques, organisationnels ou normatifs. Nous verrons également qu un tel projet doit obligatoirement prendre en compte la notion de risque ainsi que la conduite du changement. Sans être compliqué, cet environnement devient néanmoins vite complexe tout en bouleversant bon nombre de nos habitudes. D où la nécessité de pouvoir effectivement sensibiliser, informer voire rassurer et impliquer l ensemble des utilisateurs potentiellement concernés afin de leur permettre de profiter pleinement de tous les apports de ces nouvelles approches. Il s agit là d une des principales missions que FedISA s est fixée, sachant que le présent document fait suite à une série d ouvrages déjà écrits sur ce thème ayant, tous, ce même objectif de présenter l ensemble des différentes facettes d un projet d archivage électronique et surtout les rendre rapidement accessibles afin d attirer l attention sur les enjeux stratégiques qui y sont directement liés. Espérons que le présent ouvrage permettra au plus grand nombre d être à la fois rassuré et convaincu de tous les avantages qu il y a à dématérialiser et à mettre en place l archivage électronique correspondant. Désormais il ne s agit plus de décider de dématérialiser ou pas mais plutôt de savoir quand et comment. L accès quasi-permanent à l information constitue incontestablement une nouvelle richesse pour toute organisation car favorisant sa transformation en connaissance. Thierry GREHAIGNE Président du CEDHYS Jean-Marc RIETSCH Président de FEDISA 2

4 Introduction Nous assistons depuis plusieurs années à une augmentation gigantesque de la volumétrie des données numériques qu il est en général nécessaire d archiver. On nous annonce en effet plus de Po dès cette année 2010 (source Gartner). Rappelons à ce sujet que : 100 mégaoctets (Mo) représentent le contenu d une pile de livres de 1 mètre de haut, 2 téraoctets (To 1012 octets) correspondent à tous les ouvrages d une bibliothèque universitaire et 2 pétaoctets (Po) aux fonds de toutes les bibliothèques universitaires des Etats-Unis! Face à cette augmentation de la volumétrie que subissent de plein fouet les services informatiques, la solution adoptée a souvent été une fuite en avant avec l installation de nouvelles baies de stockage capable d absorber les volumes. D un point de vue économique, cela a été rendu possible du fait de la baisse rapide des prix du stockage. Or nous atteignons actuellement de tels niveaux en matière de volumétrie à stocker que cette baisse n est plus suffisante pour garantir une sorte de stabilité du budget informatique alors même que la grande majorité des entreprises impose sa diminution. De plus la solution au problème de volumétrie de stockage ne répond pas pour autant à la capacité, pourtant essentielle à retrouver de l information parmi de tels volumes. Il est donc essentiel de mettre en place de nouvelles solutions dont la plus naturelle consiste tout simplement à rationaliser son espace de stockage en ayant une bonne connaissance des types de données concernées afin de leur appliquer le traitement adapté. Cette notion de rationalisation se retrouve ainsi à différents niveaux : Migration vers du stockage secondaire plutôt que d exploiter du support, certes performant mais onéreux, pour des données qui ne le nécessitent pas ou plus ; Archivage au sens électronique, à savoir isoler les données figées afin de pouvoir les gérer comme archives. L en représente le parfait exemple dans la mesure où il est figé dès sa création. Ce type d organisation diminue de façon drastique les volumes nécessaires y compris ceux nécessaires pour les sauvegardes ; Suppression des données après la durée de conservation requise, application d une véritable politique correspondante ; Gestion du taux d occupation des baies de stockage afin d optimiser leur utilisation. Au sujet plus précis de l et bien au-delà de son simple rôle de communication, il constitue un support de plus en plus fondamental des relations entre fournisseurs et clients et par là même occupe une place de plus en plus centrale au sein du système d information de toute organisation et doit de ce fait être considéré comme une application critique à part entière. Ainsi le Gartner estime que, en dehors des applications métier, 50 % à 75 % de l information utile dans l entreprise est échangée de personne à personne d où l accent sur la valeur juridique de l et ses implications. Il nous est donc apparu naturel de réserver un chapitre spécifique au sein du présent ouvrage pour traiter de la problématique de l archivage de l . En matière d archivage nous attirons également l attention quant au fait que contrairement à un archivage traditionnel, les exigences de l archivage électronique sont multiples et il doit ainsi permettre : D assurer l intégrité, la traçabilité, la confidentialité et la pérennité des données ; De répondre aux obligations légales et réglementaires de conservation et de restitution ; De respecter les exigences de la CNIL en matière de données à caractère personnel ; De relever le défi de l obsolescence technologique récurrente ; De faciliter l accès à l information. Bien évidemment, tout ce qui précède doit se faire au meilleur coût et avec un minimum de risques. Dans la mesure du possible, il est également important d avoir en permanence à l esprit les aspects environnementaux qui doivent être abordés non pas en termes d objectif à atteindre mais comme un élément supplémentaire permettant de guider certains choix d une solution plutôt que telle autre. Face à tous ces facteurs, à toutes ces variables, composantes et autres obligations, les responsables d entreprise se trouvent fort démunis et leur réaction fort légitime au demeurant consiste à attendre! Pourtant les enjeux sont de taille : stratégiques, financiers, juridiques, réglementaires, organisationnels, sécuritaires L objectif de ce document est ainsi d aider les responsables d entreprises et plus particulièrement des laboratoires pharmaceutiques dans cette démarche d archivage au sens électronique du terme. Afin de faciliter au maximum son apport et son accessibilité, le présent document a été construit sous forme de fiches. Chacune d entre elle a été conçue de façon à pouvoir être lue indépendamment et comporte trois parties : contexte, enjeux et recommandations. Ce choix a été dicté par un souci d efficacité destiné à permettre au lecteur de trouver rapidement les premiers éléments de réponse aux problèmes qu il se pose. A contrario, ceci provoque inévitablement certaines répétitions ou renvois le cas échéant à d autres fiches complémentaires. A l intérieur de chaque fiche on pourra retrouver un certain nombre de focus (sous forme d encadrés) au sujet de certains points importants qu il ne nous était pas possible de traiter ici plus en détail. Par ailleurs, un référentiel documentaire à la fin du présent document permettra à ceux qui le désirent de pouvoir approfondir tel ou tel aspect. 3

5 L archivage électronique pour les laboratoires pharmaceutiques Phase N Fiche Thèmes Page Le cadre 1 Besoins d archivage 5 2 Spécificités au niveau des labos 8 3 Aspects juridiques 10 4 Contraintes techniques 18 5 Stratégie d'archivage 22 Les solutions 6 Outils méthodologiques 24 7 Technologies actuelles 28 8 Les logiciels 32 9 Tiers archiveur 34 Compléments 10 Archivage des s Coûts de l archivage 39 Annexes - Exemple de durées de conservation, propres aux laboratoires - Tableau récapitulatif des exigences réglementaires principales se rattachant à la signature électronique. 41 Les points focus : N Fiche Focus Page 1 A propos de l intégrité 7 3 A propos de la confidentialité 17 4 A propos de l identification - authentification 18 4 A propos de la signature électronique 21 6 Politique d archivage 25 7 L évolution «du WORM physique vers le WORM logique» 29 4

6 Le Cadre Fiche 1 Besoins d archivage Contexte De façon très générique, l archivage correspond à la mémoire de toute organisation et répond ainsi à deux nécessités essentielles, à savoir conserver l information et surtout la retrouver relativement facilement. Les origines de l archivage électronique sont par ailleurs multiples. Nous reprenons ici tout en les complétant, les principaux facteurs déjà largement abordés en introduction au présent livre blanc, à savoir : La dématérialisation de plus en plus importante de bon nombre de procédures, fait que les volumes de données à conserver augmentent sensiblement. Il est également essentiel de prendre en compte la dématérialisation des échanges avec les s dont il n est plus nécessaire de préciser l importance ; La sécurisation de l information est extrêmement importante et la conservation fait évidemment partie des éléments qui y contribuent ; La rationalisation des espaces de stockage est également à l origine de l archivage dans la mesure où il paraît naturel de faire correspondre au mieux les besoins avec les solutions disponibles. Toutes les données n ont pas à être traitées de la même manière du fait de leur grande disparité en matière de criticité, importance ou encore valeur pour l entreprise ; Au-delà de ces besoins naturels de conservation des données s ajoutent de plus en plus des obligations tant légales que réglementaires qui pèsent sur les organisations ; Enfin la notion de patrimoine concerne plus spécifiquement la notion de mémoire évoquée précédemment, destinée à garder les éléments importants pour l histoire, y compris pour l entreprise. L ensemble de ce qui précède s applique à tout type ou forme de l information : données structurées, données non structurées, images, sons, vidéos. Aussi est-il important de traiter ici quels sont véritablement les besoins qui en découlent. Les volumes de données numériques produites et échangées augmentent continuellement sachant que par ailleurs il est évidemment essentiel de répondre à ses obligations. On peut ainsi relever un certain nombre de problèmes qui en résultent tels : Adaptation des espaces disque de stockage sur les serveurs : l archivage va permettre de pouvoir déplacer automatiquement des données figées selon des règles pré-établies vers un stockage plus adapté ; Temps de sauvegarde et de restauration : les espaces de stockage de données nécessitent d être sauvegardés très régulièrement dans leur intégralité. Le fait d en archiver une partie va permettre de très largement optimiser les sauvegardes en diminuant les volumes concernés, tout en conservant l accessibilité aux éléments archivés ; Retrouver l information : sans système prévu et organisé à cet effet, il est relativement difficile de retrouver des données. Un système d archivage efficace doit ainsi permettre d organiser et d indexer les documents de telle sorte que la recherche et l extraction de données soit facile et rapide ; Répondre à ses obligations (légales et réglementaires) : les entreprises sont de plus en plus soumises à des obligations concernant entre autre la conservation de leurs données électroniques pendant des périodes déterminées. Une solution d archivage s impose alors afin de servir de référentiel sécurisé pour les éléments exigeant un délai de conservation donné. Enjeux Si la mise en œuvre d une solution d archivage électronique doit permettre d offrir à l utilisateur une plus grande souplesse concernant l accès à l information, l archivage répond avant tout à de multiples enjeux : Organisationnel : L archivage doit participer à une exploitation aussi efficace que possible du système informatique de l entreprise ; Sécuritaire : la volumétrie des données numériques, déjà importante, croît constamment en nombre et en volume. De ce fait les procédures de sauvegarde deviennent de plus en plus délicates et c est donc la sécurité des données qui se voit remise en cause. L archivage d une partie des données doit entre autres permettre une rationalisation des espaces de stockage, allégeant d autant les temps de sauvegarde ; Juridique : en complément au point précédent, le principal risque est de ne pas pouvoir produire en cas de besoin les données requises dans une forme recevable. Rappelons à ce sujet que les données doivent être archivées en respectant a minima les caractéristiques d identification, d intégrité et d intelligibilité leur permettant d être retenues comme une preuve recevable ; Financier : au niveau financier l enjeu est multiple avec en premier lieu la conséquence sous forme d amende ou de condamnation, liée à la non production de données en cas de litige. En second lieu nous attirons également l attention sur un autre phénomène à ne pas négliger qui relève du temps passé à la recherche d information ou encore d investissements perdus dans des outils non maintenus dans le temps. Enfin de façon plus classique la mise en place d un archivage permet un gain direct au niveau des espaces de stockage et des procédures de sauvegarde ; Technique : l enjeu technique est également double avec les problèmes d interopérabilité entre systèmes, et le défi de pérennité des données sur le long terme, face à l obsolescence rapide des supports et des formats. 5

7 Recommandations Outre les besoins génériques exprimés précédemment pour lesquels l archivage apporte une véritable solution, il n en reste pas moins vrai que la première tâche consiste à évaluer ses besoins en détail, c est-à-dire archiver quoi, pourquoi et pour combien de temps? Afin d aider à cette définition de besoins, il est recommandé de répondre de manière appropriée aux questions suivantes : Quelles sont les données à archiver parmi l ensemble géré? Quelle est la criticité des données? Quelles sont les exigences de conservation? Quelles exigences d intégrité et de sécurité doit-on assurer? Quelle est la volumétrie à traiter? Quels accès? Les données à archiver constituent seulement une partie de l ensemble de celles traitées dans le cadre des activités de toute organisation. Il faut donc si possible parvenir à classifier les données afin de pouvoir décider de celles qui entreront dans le processus de conservation et si possible élaborer des priorités par rapport à des notions comme la valeur de l information, le caractère légal et réglementaire, les données à caractère personnel ou encore la mémoire historique sans oublier de prévoir la durée de conservation à respecter. Il s agit si possible d évaluer et de préciser : la sensibilité de l information (confidentielle, difficile à reconstituer), ou au contraire information courante ; la disponibilité, c'est-à-dire les conditions de la consultation (fréquence et rapidité) selon les types de données. Le système d archivage doit assurer la maintenance des données jusqu à la fin du cycle de vie de l information. Cette durée peut aller de quelques mois à plusieurs décennies, voire ad vitam aeternam. La durée de conservation est déterminée soit en application des textes légaux et réglementaires, soit par analogie avec ces textes en fonction du risque de contentieux, soit par métiers en fonction de la réutilisation prévisible de l information ainsi archivée. Si les données doivent être restituées dans un environnement juridique ou dans le cadre d un audit, il est impératif qu elles respectent certaines conditions. En fait la loi de mars 2000 (voir fiche 2 Aspect légal de l archivage numérique) fait ressortir quatre éléments fondamentaux : Intelligibilité de la donnée ; Intégrité du contenu depuis son origine (voir focus ci-après) ; Identification de l auteur ou des auteurs de l information ; Pérennité de l information. La maîtrise de cet élément est indispensable afin de pouvoir estimer correctement les besoins. La question de l accès comporte plusieurs aspects : les droits d accès, définis en fonction du profil des utilisateurs (notion d habilitation) : accès à tout ou partie des informations, restrictions d accès, évolution dans le temps ; la possibilité de recherche d information via des mots-clés (indexation automatique ou manuelle) ou à l aide d un moteur de recherche, assorti ou non d un thésaurus. 6

8 Le Cadre Fiche 1 Besoins d archivage A propos de l intégrité Ne pas recueillir d information constitue un problème d indisponibilité, tandis qu obtenir des informations fausses ou mutantes est un souci d intégrité. Ce dernier point revêt une importance particulière, il doit être abordé avec d autant plus d attention que la durée de conservation des données sera longue et donc les risques de corruption des données plus nombreux. L intégrité peut être définie comme la propriété qui assure qu une information n est modifiée que par les utilisateurs habilités dans les conditions d accès normalement prévues. On recherche donc par l intégrité, l absence de modification volontaire ou involontaire des flux et des traitements. L article 4.f du Règlement CE n 460/2004 du Parlement européen et du conseil du 10 mars 2004 instituant l'agence européenne chargée de la sécurité des réseaux et de l'information définit l intégrité des données comme : «la confirmation que les données qui ont été envoyées, reçues ou stockées sont complètes et n'ont pas été modifiées» Si l intégrité représente un critère de sécurité de base, il en est néanmoins le plus diffus et donc le plus difficile à mettre en œuvre sur la totalité de la cible du traitement de l information. L intégrité se subdivise normalement en deux sous ensembles distincts pour s approcher davantage de la mécanique du traitement de l information : L intégrité des flux de données, L intégrité des traitements. En général, les atteintes à l intégrité sont d origine malveillante. Les cas d accidents ou d erreurs sont beaucoup plus rares. Selon le CLUSIF (Club de la Sécurité des Systèmes d Information Français), sur une période de plus de 10 ans, la malveillance s accroît de près de 15 % par an, principalement au détriment de l intégrité des données et des traitements. Le monde de l Internet est en effet un champ d expérimentation mondial pour l atteinte à l intégrité des données, des messages et des traitements. Cependant il existe plusieurs interprétations possibles de l intégrité suivant que l on se place du côté purement technique ou plutôt du côté organisationnel et juridique. Par principe l intégrité technique d un document électronique est mise en cause dès l instant où un seul des bits constituant le document est modifié. A l inverse l intégrité au sens juridique d un document consiste à conserver le sens de l information qu il contient sans s attacher nécessairement à la forme. Ainsi le fait de modifier un accent dans un texte ne va pas en changer fondamentalement le sens alors que cela suffira à lui faire perdre son intégrité technique. Afin d apporter une solution à cette difficulté d interprétation, le Forum des Droits sur l Internet et la Mission Économie Numérique ont recommandé dans leur rapport 2006 que la notion d intégrité du document telle que prévue par l article du Code Civil soit assurée par le respect cumulé des trois critères suivants : Lisibilité du document, Stabilité du contenu informationnel, Traçabilité des opérations sur le document. Les enjeux de l intégrité des flux et des traitements sont fondamentaux, spécialement à l heure d Internet dans la mesure où il est indispensable de pouvoir faire «confiance» aux données constituant l élément essentiel du patrimoine informationnel. En effet la perte d intégrité peut présenter des dangers vitaux comme par exemple des mutations de données du groupe sanguin d un dossier médical partagé (stocké dans un centre d hébergement des dossiers médicaux) ou bien d un identifiant patient etc. Les cas pratiques donnant lieu ou non à des recours juridiques sont très nombreux et inquiétants, du fait de leur croissance exponentielle depuis plus de quinze ans. 7

9 Le Cadre Fiche 2 Spécificités au niveau des labos Contexte L'archivage des données dans un laboratoire pharmaceutique est soumis à deux réglementations particulières : Celle s'appliquant à toute société commerciale, selon la législation en vigueur du pays où opère la société ; Celle propre à l'activité de fabrication et commercialisation de médicaments à usage humain ou vétérinaire, édictée par des textes internationaux ou nationaux. Le propos de ce document n'est pas de traiter des contraintes légales applicables à toutes les sociétés commerciales mais de mettre l'accent sur les contraintes particulières à adresser par les laboratoires du fait de leur activité. Les contraintes spécifiques de validation des laboratoires L'industrie pharmaceutique a ceci de particulier que ses systèmes d'information qui ont un impact direct ou indirect sur la qualité des produits fabriqués sont tenus de respecter des règles communément appelées «règles GxP» (pour «Good x Practices», le x se référant, selon l'activité, à la fabrication «Manufacturing» - aux opérations de contrôle «Laboratory»- ou à la distribution «Distribution»). Ces règles, qui portent essentiellement sur les contrôles d'accès aux systèmes, la traçabilité des opérations de mise à jour de données considérées critiques, les conditions de mise en place de signature électronique et la validation des systèmes, se retrouvent dans plusieurs textes réglementaires : USA cgmp : 21 CFR Part 11 / 210 & CFR part 210 : Current Good Manufacturing Practice in manufacturing, processing, packing, or holding of drugs, general 21 CFR part 211 : Current Good Manufacturing Practice for finished pharmaceuticals 21 CFR part 11 : Electronic records ; electronic signatures Scope and Application EU - Guide to Good Manufacturing Practice, édition en vigueur, annexes incluses, notamment annexes 11 et 15 Bonnes Pratiques de Fabrication AFSSAPS : n 2007/1bis, notamment lignes directrices n 5 Des guides méthodologiques se référant à ces textes sont également disponibles : ICH Q9 : Quality Risk Management 2005 ISPE GAMP (Good Automated Manufacturing Practices) V5.0 février 2008 Et particulièrement sur le sujet de l'archivage : ISPE GAMP Electronic Data Archiving A priori, un SAE (système d'archivage électronique) mis en place dans un laboratoire devra se conformer aux règles évoquées ci-dessus, considérant que partie, au moins, des données et documents archivés ont un contenu qui a trait aux produits commercialisés. Il conviendra donc, lors de la mise en place du SAE, de valider celui-ci. Une analyse des risques encourus par l'utilisation du système sera préalablement menée, de façon à déterminer l'ampleur et la profondeur des tests à réaliser avant la mise en production du système ainsi que les conditions du maintien en état validé du système. La durée de conservation des données Les durées de conservation minimale des données sont, très largement, édictées par les textes réglementaires en vigueur. Une revue détaillée des règles découlant de ces textes est disponible dans le guide ISPE GAMP Electronic Data Archiving, mentionné ci-dessus, à l'annexe A chapitre 5.2. Le tableau ci-dessous donne, d'une façon générale, une indication de durée à respecter selon le type de donnée ou document. Catégorie de donnée Fabrication (incluant opérations de contrôle qualité) Recherche & développement Finance Ressources humaines Commentaire Enregistrements relatifs à la chaîne de fabrication des produits, des achats de composants et matières premières à la distribution des produits finis aux clients. Enregistrements relatifs aux études et travaux réalisés durant le développement d'un nouveau produit Enregistrements relatifs aux opérations comptables Données relatives aux salariés Durée de conservation conseillée 5 ans après la fabrication du produit. 30 ans 10 ans 30 ans Voir en annexe 1, un tableau un peu plus détaillé concernant ces durées de conservation. L'archivage des données d'équipements de laboratoire Les instruments de mesure utilisés dans les laboratoires de recherche ou de contrôle sont, désormais systématiquement, couplés à des logiciels permettant l'analyse, l'interprétation et la visualisation des mesures effectuées. Le problème actuellement posé est que ces logiciels sont, très souvent, propriétaires et que la lecture des données, plusieurs années après la mesure, n'est guère possible sans l'utilisation des mêmes logiciels (voire même, parfois, de 8

10 Le Cadre Fiche 2 Spécificités au niveau des labos la version du logiciel utilisée au moment de la mesure). Dans le cadre d'un système d'archivage électronique, où il n'est pas question de conserver à la fois les données et les logiciels à même de lire ces données, cela pose un problème particulièrement délicat. L'adoption de standards propres à la lecture de données d'instruments de laboratoire est encore en construction, même si, sous l'égide de l'astm, leur définition avance. En attendant l'aboutissement de ces travaux, il conviendra donc d'être vigilant dans le choix des logiciels pour favoriser ceux qui ont déjà prévu de transformer à terme leurs fichiers dans les formats standards qui seront définis. De ce qui précède, il résulte que le format logique des données archivées est effectivement essentiel car il pose le problème de l interprétation du train de bits qui doit être traduit, le moment venu, en une information intelligible par l'être humain que nous sommes. Cette information peut rester inaccessible à l opérateur qui dans quelques années souhaitera reconstituer la donnée du simple fait que le logiciel ou le format «propriétaire» n existe plus ou ne permet pas la description exhaustive et ouverte du train de bits d origine. Les règles qui président à l éligibilité des formats sont très pragmatiques et reposent principalement sur la stabilité desdits formats dans le temps. De plus les spécifications du format doivent être de préférences normalisées, voire publiques et largement répandues afin le cas échéant d'être capable d'écrire un interpréteur. Seront donc à éliminer a priori les formats «propriétaire» aux spécifications secrètes. En ce sens le format PDF/A normalisé ISO constitue une bonne avancée mais nécessite néanmoins la prudence et son utilisation doit être analysée avec soin et au cas par cas, selon la destination et le type de documents que l on souhaite pérenniser (voir le guide pratique d'utilisation du PDF/A publié par FedISA). Malgré toutes ces précautions, la migration des données au cours du temps doit également être envisagée et surtout organisée et accompagnée d une veille technologique. Rappelons que l'objectif de ces migrations de formats est de rendre les données indépendantes des matériels, logiciels et des plates-formes d'où elles émanent, de façon à pouvoir les interpréter quelles que soient les évolutions technologiques afin de les rendre intelligibles à tout moment. 9

11 Le Cadre Fiche 3 Aspects juridiques Section I - Droit et projets d archivage électronique dans le secteur pharmaceutique La typologie des documents à archiver dans le secteur pharmaceutique est très variée. S agissant des archives «cœur de métier» spécifiques à ce secteur, il s agira pour l essentiel des documents suivants : Cahiers de laboratoire des services R&D ; Rapports d'études cliniques ; Dossiers d'enregistrement de médicaments ; Dossiers de lot de fabrication (trace des évènements et opérations relatives à la fabrication d'un lot de produits ; Dossiers de pharmacovigilance. Chercher une règle juridique unique pour gérer l ensemble de ces documents est voué à l échec. Ce qui importe est l impact de la règle de droit ou de la contrainte réglementaire applicable en termes de risques. Il est à cet égard nécessaire de distinguer deux domaines : Le domaine de la preuve ; Le domaine des réglementations de conformité, ou de «compliance». I.1. Le domaine de la preuve C est le domaine de la défense des intérêts de l entreprise. Il prend toute son importance en cas de litige, lorsque la valeur probatoire de l enregistrement numérique produit par l entreprise est remise en cause. Prenons l exemple du cahier de laboratoire, document particulièrement sensible dont la dématérialisation ne s effectue que progressivement. Le cahier de laboratoire est un outil fondamental de la traçabilité des travaux des chercheurs, dont l utilité juridique est essentielle pour prouver une antériorité ou pour la rédaction d un brevet. Le cahier de laboratoire est, sous sa forme papier, un cahier relié dans lequel le chercheur consigne ses travaux, au jour le jour, à l encre indélébile. Chaque cahier possède un numéro unique. Y figurent également le nom de l'utilisateur, le nom du propriétaire et un espace en bas de chaque page numérotée pour dater et signer. Ce formalisme montre bien l enjeu lié à la capacité d une entreprise d apporter la preuve du caractère original d un cahier de laboratoire en cas de litige portant, par exemple, sur l antériorité d une découverte opposant deux laboratoires. I.1.1. Un litige sur la preuve est toujours «localisé» Si le cahier de laboratoire est sous forme numérique, le débat portera sur la fiabilité de cette preuve numérique. Celle-ci sera évaluée à l aune des règles de droit applicables au litige considéré, car un litige est toujours «localisé». Le litige sera en effet jugé par un tribunal étatique ou arbitral dans un pays donné, sur la base des règles de droit applicables : ce peuvent être les mêmes que celles du lieu où se situe le tribunal saisi, ou celles d un autre pays. La détermination du droit applicable à un litige fait l objet des règles dites de «droit international privé». On objectera que cela devient très compliqué, car dans notre exemple, la question qui se pose est la suivante : imaginons qu un laboratoire pharmaceutique français mette en œuvre des cahiers de laboratoire numériques en s assurant que ceux-ci auront une valeur probatoire au regard du droit français. Mais un litige survient, opposant ce laboratoire français à un laboratoire américain et, compte tenu du contexte, celui-ci va se juger sur le sol américain et au regard du droit américain. Que vaudra l analyse réalisée en droit français? Le droit américain reconnaîtra-t-il la valeur probatoire du cahier de laboratoire et sur quels critères? I.1.2. Appréciation de la valeur probatoire d un enregistrement numérique dans un contexte international Le droit de la preuve n est pas le même dans tous les pays. Même en Europe, la directive «Signature Electronique» (Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, portant sur un cadre communautaire pour les signatures électroniques) n est pas un texte visant à unifier le droit de la preuve numérique dans les pays européens. La Directive Signature Electronique est un texte technique, qui établit des critères de base pour la reconnaissance juridique des signatures électroniques en Europe, en se concentrant sur les services de certification. La directive définit deux nouvelles notions qui ont été transposées de façon plus ou moins fidèle dans les différents états européens : la signature électronique avancée et le certificat qualifié. La Directive n est pas, à proprement parler, un texte qui régit le droit de la preuve dans les Etats Membres. La seule indication qu elle donne à cet égard est la suivante : «Les États membres veillent à ce que l'efficacité juridique et la recevabilité comme preuve en justice ne soient pas refusées à une signature électronique au seul motif que : la signature se présente sous forme électronique ou qu'elle ne repose pas sur un certificat qualifié ou qu'elle ne repose pas sur un certificat qualifié délivré par un prestataire accrédité de service de certification ou qu'elle n'est pas créée par un dispositif sécurisé de création de signature.» 10

12 Le Cadre Fiche 3 Aspects juridiques La recevabilité des éléments de preuve est laissée à la discrétion de chaque Etat, que ce soit sur les aspects de fond ou sur les aspects procéduraux. Et ce qui est vrai en Europe l est bien entendu également au niveau international. I.1.3. Peut-on mettre en place un système d archivage «à valeur probante» au niveau international? Si le système d archivage mis en place se donne pour objectif de conférer une valeur probante aux enregistrements qu il contient dans un environnement international, il faudra prendre un certain nombre de précautions. En effet, les exigences organisationnelles et techniques qui permettent, en France, de donner une valeur probante à un enregistrement numérique ont de facto une valeur internationale dans la mesure où elles se rapportent à des normes reconnues au plan international. On peut donc considérer que le socle technique mis en place dans le cadre d une analyse de droit français sera reconnu dans d autres systèmes de droits, dès lors que celui-ci repose sur la conformité à une norme reconnue au plan international. Ce que l on ne connaît pas en revanche sont les spécificités éventuelles des autres systèmes de droit pour un type de document donné. Reprenant l exemple de notre cahier de laboratoire, on pourrait imaginer que, dans certains pays, sa valeur probante fasse l objet d une législation spécifique qui détermine de façon précise les exigences techniques à remplir pour que le cahier de laboratoire soit recevable comme preuve en justice. Le laboratoire pharmaceutique qui souhaite mettre en œuvre une gestion numérisée de ses cahiers de laboratoire devra donc vérifier que le socle technique mis en place en France est suffisant pour assurer la valeur probante du cahier dans les principaux pays où un litige pourrait se produire. I.1.4. Le système d archivage à mettre en place est dimensionné par l analyse de risques Le risque doit être évalué au cas par cas pour chaque typologie d enregistrement numérique géré par le laboratoire. Reprenant l exemple du cahier de laboratoire, la grille d analyse de risque à mettre en place par un laboratoire français sera la suivante : 1. Quelle est l importance accordée par le laboratoire à la reconnaissance de la valeur probante de ses cahiers de laboratoire en France? Importance faible : gestion dans un système à faible niveau de service, donc à faible coût ; Importance forte (si par exemple la situation de concurrence est telle qu il est indispensable de pouvoir produire les cahiers de laboratoire lors d un litige) : gestion dans un système d archivage à fort niveau de service au regard des règles de droit de la preuve en France. 2. Quelle est l importance accordée par le laboratoire à la reconnaissance de la valeur probante des cahiers de laboratoire à l étranger? Importance faible : le système mis en place dans le cadre de l analyse effectuée au niveau français pourra être utilisé au niveau international sans effectuer de recherches complémentaires ; Importance forte (si par exemple le laboratoire envisage des conflits possibles à l étranger) : l étude des conditions posées à la valeur probante du cahier de laboratoire au regard du socle technique mis en place en France devra être réalisée dans chacun des pays identifiés comme stratégiques. Le choix du niveau de service du système d archivage mis en place, et donc son coût, est directement lié au risque encouru, au niveau français et/ou international, si l entreprise ne peut pas démontrer que l enregistrement numérique mis en cause a une valeur probante. I.2. Le domaine de la conformité L industrie pharmaceutique est une des industries les plus réglementées au monde. Cette réglementation est d origine et de nature diverse : Nationale : en France, ce seront les décrets ou les règlements et, de façon générale, tous les textes de nature réglementaire ; Européenne : les règlements européens d application directe en droit national ; Internationale : il s agit de réglementations sectorielles ou de normes internationales adoptées par l ensemble de la profession. I.2.1. Au niveau français Au niveau français, l Agence française de sécurité sanitaire des produits de santé (Afssaps) a pour mission de garantir la sécurité d emploi, la qualité et le bon usage des produits de santé. C est un établissement public de l'etat placé sous tutelle du ministère chargé de la santé. Les attributions de l Agence sont définies à l article L du Code de la Santé Publique. L Agence est notamment chargée de l application des lois et règlements relatifs à la fabrication des médicaments à usage humain et des produits mentionnés à l article L L Afssaps élabore des documents de référence à l intention des acteurs du secteur, au titre de l ordonnance n du 1 septembre 2005 relative aux établissements publics nationaux à caractère sanitaire qui octroie certaines compétences à l Afssaps, notamment en matière d élaboration des bonnes pratiques. C est dans ce cadre que l Afssaps a élaboré en 2007 un guide des bonnes pratiques de fabrication publié par Bulletin Officiel n 2007/1 bis qui prend en compte la réglementation communautaire applicable. 11

13 Ce guide comprend un chapitre 4 «documentation» qui aborde le sujet des enregistrements numériques : «Les données peuvent être enregistrées par des systèmes de traitement électronique, par photographie ou par d autres moyens fiables ; dans ce cas, les procédures détaillées du fonctionnement du système doivent être disponibles et l exactitude des enregistrements doit être vérifiée : le fabricant doit avoir validé le système adopté en prouvant que les données pourront être correctement conservées pendant la période envisagée. Si les documents sont traités par des systèmes informatisés, seules les personnes autorisées doivent pouvoir entrer ou modifier des données dans l ordinateur et les changements ou suppressions doivent être relevés, l accès doit être protégé par des mots de passe ou d autres moyens et la saisie des données critiques doit être vérifiée indépendamment. Les dossiers de lot conservés par un système informatisé doivent être protégés, contre toute perte ou altération de données, par un transfert sur bande magnétique, microfilm, papier ou tout autre système. Il est particulièrement important, pendant toute la durée d archivage, de pouvoir restituer les données dans un délai convenable et de façon lisible, et de les transmettre sur demande à l autorité compétente». Le guide comprend également un chapitre 5 dédié aux «systèmes informatisés». Il comprend des recommandations de nature organisationnelle et technique, relatives notamment à la documentation du système d information, au contrôle d accès, à la traçabilité des opérations, et à la stabilité des données. Au plan juridique, un guide de bonnes pratiques s assimile à un état de l art, ou à un usage, dès lors qu il est à jour. Le non respect d une bonne pratique ne donne pas lieu à une amende financière ou à une sanction pénale. Mais son respect est très important en terme d image et de positionnement du laboratoire en cas de litige ou d enquête. I.2.2. Au niveau international Au niveau international, le sujet de l archivage électronique dans l industrie pharmaceutique fait l objet d un double corpus de réglementations. a) Le premier est lié à l environnement normatif de l archivage numérique, tous secteurs confondus. Il existe de nombreuses normes dans le domaine de l archivage électronique, qui portent soit sur les aspects techniques, soit sur les aspects organisationnels de l archivage. A titre d exemple, parmi les normes les plus reconnues en France et en Europe figurent : norme ISO ou modèle OAIS (Open Archival Information System) de la Consultative Committee for Space Data System, organisation et fonctionnement d'un centre d'archivage de données ; norme ISO Records Management, stratégie globale pour la traçabilité de l'information et des responsabilités ; norme ISO PDF/A format de conservation des documents ; norme AFNOR NF Z Archivage électronique - Spécifications relatives à la conception et à l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés dans ces systèmes modèle européen MoReq (Model Requirements for the Management of Electronic Records) ; norme ISO Systèmes de gestion de la sécurité de l'information. Voir pour plus d information sur les normes le Guide pratique publié par FedISA en 2008, actualisé en 2009 : Comprendre et utiliser les normes dans le domaine de l'archivage numérique. Comme un guide de bonnes pratiques, la norme s assimile à un état de l art ou à un usage et son ignorance n est pas, en soi, sanctionnée. Mais le respect de la norme est important car en France, les tribunaux considèrent que l existence d une norme dans un domaine est représentative d un état de l art. En cas de litige sur la valeur probante d un document archivé électroniquement, celle-ci sera reconnue plus volontiers par les tribunaux si le système d archivage a été conçu dans le respect de normes reconnues. b) Le second est lié à la réglementation sectorielle spécifique à l industrie pharmaceutique, qui est largement internationalisée. Ces règles sont de natures diverses. Elles sont référencées de façon très complète dans l ouvrage intitulé «GAMP Good Practice Guide : Electronic Data archiving» édité en juillet 2007 par l ISPE (International Society for Pharmaceutical Engineering). S agissant plus particulièrement de la signature électronique et des «electronic records», la référence universellement adoptée par la profession est la réglementation «21 CFR part 11» élaborée par l US Food and Drug Administration (FDA). Les entreprises du secteur pharmaceutique qui ne respectent pas la réglementation 21 CFR part11 peuvent faire l objet de poursuites par la FDA. En dehors des Etats Unis, le non respect de certaines règles sectorielles par les acteurs de l industrie pharmaceutique peut également les exposer à des poursuites. L enjeu lié au respect des contraintes réglementaires en matière d archivage numérique par les entreprises du secteur pharmaceutique est donc double : 1 : Le respect des bonnes pratiques et des normes créera, en cas de litige, un a priori favorable pour ce qui concerne la valeur probante et/ou la fiabilité des documents électroniques mis en cause. 2 : Lorsque les réglementations sont impératives, leur non respect sera sanctionné de différentes manières selon le pays considéré (sanction financière ou pénale) et générera un important préjudice d image. 12

14 Le Cadre Fiche 3 Aspects juridiques Section II - Les critères juridiques de la valeur probante d un document en droit français II.1. La valeur probante des documents conservés II.1.1 L introduction dans notre système juridique de la définition de la preuve littérale Le droit de la preuve en France a été réformé en profondeur par la loi n du 13 mars 2000, portée aux articles 1316 et suivants du Code Civil. Aux termes de l article 1316 du Code civil : «La preuve littérale, ou preuve par écrit, résulte d une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d une signification intelligible, quels que soient leur support et leurs modalités de transmission». Désormais, la preuve n est plus liée au support autrefois considéré comme seul valable : le papier. Le fait que l information soit dissociée de son support ne prive pas l information numérique de valeur probante : le tout est qu elle reste intelligible. Mais la valeur probante est toujours une notion relative : le document est valable tant qu il n est pas remis en cause. S il est remis en cause, il faudra faire la démonstration de sa fiabilité. Là est toute la difficulté de la valeur probante du document numérique, qui aura subi de nombreuses transformations tout au long de son cycle de vie depuis sa naissance jusqu à sa restitution : transmission, transformation de format, stockage sur différents supports, risque d accès non contrôlé. II.1.2 Les critères juridiques de la valeur probante Ces critères figurent à l article du Code Civil, texte fondamental introduit par la loi du 13 mars 2000 : «L écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu il soit établi et conservé dans des conditions de nature à en garantir l intégrité». Il s infère de cet article que la qualité de la conservation de l écrit électronique est une condition de la validité de la preuve, mais la loi ne traite pas des modalités d archivage. Cela n est pas une lacune : la loi doit être indépendante de la technologie. La technologie est le domaine du règlement ou de la norme et c est là que les normes relatives à l archivage, dont nous avons parlé plus haut, prennent toute leur importance dans la construction d un système d archivage à «valeur probante». La loi ne donne pas non plus de définition de la notion d «intégrité», voir focus fiche 1. Nous rappelons ici la définition qui en est donnée par le Forum des Droits sur l Internet, largement reconnue par les experts du domaine. Selon cette définition l intégrité se rapporte à : la lisibilité ; la stabilité du contenu informationnel (c'est-à-dire sa fidélité par rapport au document d origine et la capacité de détecter toute modification des documents conservés) ; la traçabilité des opérations effectuées sur le document, c'est-à-dire la capacité d enregistrer toutes les opérations effectuées sur les documents stockés (auteur de l opération, date et heure de l opération). Le critère d identification se rapporte quant à lui à la notion d imputabilité : un document n est générateur de droits et d obligations que si l on sait qui est «responsable» de l exécution de ces obligations, ou qui peut se prévaloir de ces droits. Cela n implique pas nécessairement, dans le domaine professionnel, que le document soit signé : la plupart des documents générés par une entreprise ne sont pas signés, et en matière commerciale la preuve est libre. Mais on sait les imputer à l entreprise car ils sont émis sur un support caractéristique de celleci : papier en tête, apposition d un logo. L équivalent de cette imputabilité en matière dématérialisée est la capacité à montrer que le document a été généré sous la responsabilité et le contrôle de l entreprise. II.1.3 Les documents pour lesquels un écrit est requis ad validitatem Les documents ad validitatem sont ceux pour lesquels la loi ou la jurisprudence a posé le principe selon lequel, en l absence d écrit, l acte considéré est entaché de nullité. Ces documents peuvent être maintenant dématérialisés, mais sous réserve d être conformes aux articles à du Code Civil. En clair, et sous réserve d une confirmation de cette interprétation par la jurisprudence à venir, cela signifie qu ils doivent être signés électroniquement avec une signature électronique avancée au sens où l entend la Directive Signature Electronique [cf. Section I]. S agissant des documents générés lors du processus de développement et de fabrication d un médicament, cette règle du droit français interfère largement avec la réglementation 21 CFR Part 11, qui a justement pour objet de sécuriser et de fiabiliser les enregistrements numériques associés aux différents stades de la conception, de la mise au point et de la fabrication des médicaments. On peut se poser la question théorique de savoir si la signature requise par la réglementation 21 CFR Part 11 répond de façon complète aux exigences du droit français. Cette question a été débattue au sein de certains laboratoires pharmaceutiques français mais n a pas donné lieu à ce stade à des conclusions définitives. II.2. Rappel sur le déroulement d une contestation relative à la valeur probante d un enregistrement en France Notre système juridique, au travers de dispositions contenues tant dans le Code Civil que dans le Nouveau Code 13

15 de Procédure Civile, a laissé au juge un pouvoir d appréciation important quant à la validité de la preuve, notamment numérique, qui lui est soumise. Art Code Civil : «Lorsque la loi n a pas fixé d autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu en soit le support». Art 287 NCPC : «Si la dénégation ou le refus de connaissance porte sur un écrit ou une signature électroniques, le juge vérifie si les conditions, mises par les articles et du code civil à la validité de l écrit ou de la signature électronique sont satisfaites» Le juge devra donc, en particulier, vérifier que le document a conservé son intégrité, ou qu il est bien imputable à l entreprise dont il est censé émaner. En pratique, cette vérification passera par une analyse complète du cycle de vie du document. La qualité de la documentation du processus suivi par l enregistrement numérique, régulièrement remise à jour, revêt donc une importance fondamentale. Rappelons que la production de cette documentation peut être exigée par la partie qui conteste le document par voie judiciaire (injonction, mesure d instruction). L incapacité à produire dans des délais très brefs une documentation à jour aura un impact extrêmement négatif sur la fiabilité du processus mis en œuvre. Cette documentation prendra généralement la forme d une «politique d archivage», qui décrira notamment la gestion des extractions ou des exports d archive, la gestion des transferts d archive, le contrôle d intégrité des données, le contrôle de non altération des supports, la migration des supports, la migration cryptographique, la gestion de la destruction des archives. Elle devra être remise à jour périodiquement, et séquestrée lors de sa création et à chaque mise à jour pour lui donner date certaine. L élaboration de la politique d archivage rejoint et complète l exigence générale de documentation propre à l utilisation du système d information dans le secteur pharmaceutique, notamment exprimée par le guide Afssaps des bonnes pratiques de fabrication mentionné plus haut en I.2.1. II.3. Extension internationale Les exigences posées par le droit français pour pouvoir attribuer une valeur probante à un enregistrement numérique (imputabilité, intégrité) amènent, au travers de l application des normes organisationnelles et techniques, à la définition d un socle technique pour tout système d archivage. Des modalités techniques d implémentation de ce socle, et de son prix, dépendront la qualité et la fiabilité du système d archivage. Se pose la question de savoir si ce socle permettra de répondre aux exigences probatoires de tous les pays dans lesquels un laboratoire pharmaceutique risque de devoir faire face à un litige portant sur la valeur probante d un enregistrement numérique. La réponse précise à cette question ne peut être apportée que par une analyse au cas par cas, dans chaque pays concerné, de l existence d une exigence probatoire spécifique pour le type de document considéré, sur le fond ou en matière procédurale. En l absence d exigence spécifique, on peut affirmer que le respect par le système d archivage du socle technique issu de notre analyse en droit français permettra à tout le moins de prouver l intégrité et l imputabilité de l enregistrement considéré dès lors que le système respecte une norme reconnue au niveau international et, a fortiori, si il a été certifié par un organisme indépendant comme étant conforme à cette norme. Section III - La signature électronique : articulation des règles juridiques et sectorielles III.1. La signature électronique en droit français Avant la Loi du 13 mars 2000, aucun texte législatif ne définissait la notion de signature. Il était couramment acquis, par la jurisprudence et la doctrine, que celle-ci matérialisait l engagement que prenait le signataire de respecter les obligations à sa charge contenues dans l acte signé. La Loi du 13 mars 2000 a formalisé cette définition dans l article du Code Civil : «La signature nécessaire à la perfection d un acte juridique identifie celui qui l appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte». «Lorsqu elle est électronique, elle consiste en l usage d un procédé fiable d identification garantissant son lien avec l acte auquel elle s attache» Précisons un point important : ces dispositions légales ne sont pas une transposition de la Directive Signature Electronique. Elles sont indépendantes de tout choix technologique. C est le décret n du 30 mars 2001 qui a réalisé cette transposition, en adaptant en France la notion de «signature avancée», qui devient la «signature sécurisée» dès lors que le prestataire qui la fournit a été certifié dans les conditions définies par les textes. Les textes réglementaires font directement référence aux systèmes reposant sur les technologies cryptographiques à clés publiques (ou asymétriques, ou encore PKI), distribuées et garanties par des entités qui jouent un rôle de «tiers de confiance» dans le dispositif. Le tiers de confiance («Prestataire de Service de Certification Elec- 14

16 Le Cadre Fiche 3 Aspects juridiques tronique» ou «PSCE» dans les textes juridiques ) attribue à une personne dont il vérifie l identité les moyens qui vont lui permettre d apposer une signature électronique sur des enregistrements numériques : la personne signe le document au moyen d une «clé privée» qu elle est seule à détenir (par exemple logée sur une carte à puce), et le destinataire vérifie l intégrité du document et l identité du signataire au moyen d informations qui sont fournies et garanties par le tiers de confiance. En France, la ANSSI (Agence Nationale de la Sécurité des Systèmes d Information) a élaboré des documents qui font figure de référence, et notamment le RGS (référentiel général de sécurité) à l intérieur duquel on retrouve la PRIS (Politique de Référencement Intersectorielle de Sécurité), qui permet aux prestataires de définir leurs offres dans le cadre du développement de l administration électronique. III.2. Les déclinaisons pratiques de la signature électronique La signature électronique dans sa version très sécurisée décrite par la PRIS est pour l instant réservée à un petit nombre d applications de la sphère publique. La plupart des implémentations «commerciales» de la signature électronique se sont orientées vers des solutions plus simples à mettre en œuvre au regard notamment des modalités de distribution des outils de signature. S agissant de son utilisation par les laboratoires pharmaceutiques, il est important de garder à l esprit que : La signature électronique n est pas obligatoire pour qu un enregistrement ait une valeur probante. En France, c est le respect des deux conditions posées par l article du Code Civil qui fonde la valeur probante d un enregistrement numérique : imputabilité de l enregistrement et garantie de son intégrité ; La signature électronique au sens de la réglementation CFR 21 part 11 n est pas au niveau d exigence de la PRIS ; La signature électronique serait obligatoire pour les enregistrements pour lesquels un écrit serait requis ad validitatem [Cf. II.1.3], mais cette exigence est largement recouverte par les règles CFR 21 part 11 ; L archivage des documents signés électroniquement est un processus complexe. Il n est donc pas souhaitable de signer électroniquement les documents si cela ne découle pas d une obligation légale ou réglementaire. Section IV Les conventions de preuve : solution universelle? La convention de preuve est une commodité connue depuis longtemps au niveau international par les professionnels au travers de l EDI (échange de données informatiques). La convention de preuve permet, dans le cadre d une relation d affaire préétablie, de poser les critères de recevabilité d un enregistrement numérique par tous les acteurs adhérant à cette convention de preuve. La validité de la convention de preuve est maintenant reconnue de façon générale par le droit français, y compris visà-vis de non professionnels (Art Code Civil). La convention de preuve est très bien adaptée aux situations fermées, dans lesquels le nombre d acteurs est limité. On pourrait ainsi imaginer qu en France, les échanges dématérialisés entre les différents acteurs du secteur fassent l objet d une convention de preuve, voire d une convention de branche, sans qu il soit nécessaire de recourir à la signature électronique pour sécuriser les échanges. La seule limite de la convention de preuve est son caractère relatif. Totalement valable entre ses signataires, elle ne peut pas être opposée à un tiers. Il faut donc en relativiser la portée. En cas de litige avec un tiers portant sur le caractère probant d un document, il sera nécessaire de retracer le cycle de vie complet du document au travers de la politique d archivage qui reste, en tout état de cause, un élément indispensable de la construction de systèmes d archivages fiables et pérennes. Section V Comment l analyse juridique conduit à la détermination des niveaux de service du système d archivage L analyse juridique intervient à différents niveaux pour déterminer les niveaux de services que devra remplir un système d archivage pour une typologie de documents considérés. V.1 La détermination des fonctionnalités du socle technique d un système d archivage Le droit détermine les fonctionnalités de haut niveau que doit remplir un système d archivage pour que les enregistrements numériques aient une valeur probante (imputabilité, intégrité). Ces fonctionnalités de haut niveau sont ensuite déclinées au travers des textes normatifs pour déterminer un socle technique, qui sera plus ou moins fiable selon la prise de risque acceptable en matière de démonstration de la valeur probante d un document. V.2 La détermination du risque encouru si la valeur probante d un enregistrement numérique n est pas reconnue en cas de litige. A chaque type de document conservé par un laboratoire pharmaceutique est associé un risque spécifique si, lors d un litige, sa valeur probante n est pas reconnue. 15

17 Ce risque, qui découlera d une analyse juridique in concreto de l ordre de grandeur du montant de dommages intérêts en cas de condamnation du laboratoire, déterminera s il est nécessaire de procéder à une analyse internationale de la reconnaissance de la valeur probante dans les différents pays concernés, et déterminera le niveau de service (fort ou faible) du système d archivage associé. V.3 La détermination de l environnement réglementaire applicable Tous les enregistrements faisant l objet d une réglementation impérative à peine de sanction (comme CFR 21 part 11) devront être archivés conformément à cette réglementation. Ceux-ci sont déjà bien identifiés par les acteurs de l industrie pharmaceutique mais leur archivage doit maintenant être intégré dans une perspective plus globale de socle technique, incluant les exigences de reconnaissance probatoire. Section VI Archivage de données personnelles L archivage de documents contenant des données à caractère personnel doit faire l objet des formalités requises par la loi du 6 janvier 1978 (ou «Loi Informatique et Libertés»). A ce titre, l entreprise doit : soit effectuer de nouvelles formalités préalables relatives à la gestion de l archivage électronique ; soit modifier les formalités préalables qui avaient déjà été effectuées en vue d y introduire l archivage des données. En vertu de l article 32 de la Loi Informatique et Libertés, l entreprise doit notamment informer les personnes concernées par le traitement de son identité en tant que responsable du traitement, des finalités poursuivies par le traitement, et des destinataires des données, sous peine de sanctions pénales. En outre, l entreprise doit prévoir la possibilité de rectification des données archivées par la personne concernée. Cependant, ainsi qu il résulte de l article 39 II de la Loi Informatique et Libertés, dès lors que le traitement des archives se limite à assurer la conservation à long terme des documents, sans aucun risque d atteinte à la vie privée des personnes concernées, le responsable du traitement n est pas tenu de donner suite aux demandes d accès aux données archivées. Ainsi, le laboratoire doit être en mesure d assurer que les moyens d archivage employés sont de nature à exclure manifestement tout risque d atteinte à la vie privée des personnes concernées. En matière d archivage probatoire, c est la durée de prescription applicable au document qui va déterminer la durée de conservation. La loi du 17 juin 2008 a modifié les délais de prescription en matière civile. Le délai de droit commun de la prescription est désormais de 5 ans à compter du jour où le titulaire du droit a connu ou aurait dû connaître les faits lui permettant de l exercer. Au-delà de la durée de conservation légale, il convient de mettre en œuvre des procédures d anonymisation en particulier lorsque la finalité de l archivage est patrimoniale. L entreprise doit enfin prendre toutes précautions utiles pour préserver la sécurité et la confidentialité des données (voir focus ci-après), conformément à l article 34 de la loi de 1978, sous peine d engager sa responsabilité pénale. La Commission nationale de l informatique et des libertés (Cnil) précise que les principes visés ci-dessus s appliquent aux trois catégories d archives précitées : courantes, intermédiaires et définitives (Délibération n du 11 octobre 2005). La Cnil recommande à ce titre que : s agissant des archives intermédiaires, l accès à cellesci soit limité à un service spécifique et qu il soit procédé a minima à un isolement des données archivées au moyen d une séparation logique (gestion des droits d accès et des habilitations) ; s agissant des archives définitives, celles-ci soient conservées sur un support indépendant, non accessible par les systèmes de production, n autorisant qu un accès distinct, ponctuel et précisément motivé auprès d un service spécifique seul habilité à consulter ce type d archives ; afin de garantir l intégrité des données archivées, soient mis en œuvre des dispositifs sécurisés lors de tout changement de support de stockage des données archivées ; soient mis en œuvre des dispositifs de traçabilité des consultations des données archivées ; soient utilisées des procédures d anonymisation. Par ailleurs, l entreprise doit conserver les données à caractère personnel archivées sous une forme permettant l identification des personnes concernées pour une durée n excédant pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées (article 6-5 de la loi de 1978) sous peine de sanctions pénales. 16

18 Le Cadre Fiche 3 Aspects juridiques A propos de la confidentialité En matière de sécurité la confidentialité est une caractéristique très importante abordée également au niveau du contrôle d accès. En fait la confidentialité revêt à la fois la notion de secret et de diffusion restreinte à un petit nombre de personnes. La confidentialité représente une propriété qui assure que dans les conditions normalement prévues, seuls les utilisateurs autorisés (ou habilités) ont accès aux informations concernées. La principale limite de la confidentialité tient au fait qu une personne ne peut être tenue pour responsable d'aucune divulgation si les éléments révélés étaient déjà dans le domaine public ou si elle en avait déjà connaissance ou pouvait les obtenir de tiers par des moyens légitimes. Les informations confidentielles sont évidemment importantes : confidentialité médicale (personne atteinte du VIH etc.), confidentialité du code de carte bancaire, mot de passe personnel pour le contrôle d accès physique et (ou) logique dans l entreprise, etc. Comme évoqué précédemment la confidentialité intervient également au niveau du contrôle d accès. Il peut être ainsi judicieux d anticiper la situation où des personnes non autorisées parviendraient néanmoins à accéder au système d information. Dans ce dernier cas la confidentialité des données peut cependant être préservée grâce à la mise en œuvre d un système de chiffrement. La caractéristique principale d un tel système est de rendre les données illisibles par toute personne ne possédant pas la clé pour les déchiffrer. Cependant la connaissance et l accès à cette clé peuvent poser beaucoup de difficultés, surtout au bout de nombreuses années. En synthèse, il existe trois principaux moyens pour assurer la confidentialité : La mise en place d un système de contrôle d accès ; Le chiffrement des données ; L externalisation des données. De part les engagements et les responsabilités prises par l hébergeur, une solution externe doit permettre d éviter tout problème de confidentialité en interne dans l entreprise. Rappelons à ce sujet que près des 2/3 des délits informatiques ont des origines internes. Pour un maximum de sécurité on pourra avoir recours à une externalisation de données chiffrées. 17

19 Le Cadre Fiche 4 Contraintes techniques Contexte Les objectifs auxquels doit répondre l archivage sont multiples. Ces objectifs ne pourront être atteints qu avec le respect d un ensemble de mesures dont une grande partie repose sur des aspects purement techniques. Il en est ainsi de l intégrité, de la sécurité et de la pérennité des données pour lesquelles il faudra savoir gérer et anticiper le principe de l obsolescence technologique récurrente tout en facilitant leur accès. En parallèle, il est indispensable de pouvoir prouver les garanties apportées à un inspecteur d une agence réglementaire ou à une instance juridique. Une des difficultés réside dans le fait que les textes réglementaires n abordent pas les moyens à mettre en œuvre pour rester valable dans un contexte d obsolescence rapide des technologies et ne pas favoriser de solution technique. De ce fait les solutions sont plus ouvertes mais leur conception et leur intégration technique est également plus difficile à évaluer et à qualifier par l acquéreur du système d archivage. Les différentes contraintes peuvent se résumer ainsi : retenir un format logique de document par rapport à différents types (traitement de texte, bureautique, données brutes, image, ) en fonction de divers critères de choix (pérennité, conversion, coût) ; choisir un format physique ou type de support (magnétique ou optique) selon différents critères (pérennité, conversion, coût) ; analyser les possibilités de migrations tant du point de vue des formats logiques que des supports physiques ; prendre en compte certaines spécificités comme celles liées à la signature électronique et s assurer de pouvoir la vérifier ou apporter la preuve de cette vérification au besoin ; avoir en permanence à l esprit les aspects de performance. Les contraintes technologiques sont d autant plus importantes qu une fois en place, un système d archivage inefficace aura beaucoup de mal à être corrigé compte tenu du volume d information à traiter. Enjeux Le fait de savoir répondre aux contraintes techniques posées par l archivage électronique est déterminant afin d obtenir un système efficace permettant de disposer de la bonne information au moment opportun. Les enjeux à prendre en considération se retrouvent à différents niveaux : technique, si par exemple le système d accès n a pas été suffisamment bien étudié tant en termes de définition des index que des outils mis en place, l information archivée se retrouvera ainsi pratiquement inexploitable car difficilement accessible. Cette difficulté d accès pourra se situer au niveau de la recherche proprement dite ainsi qu au niveau des temps de réponse beaucoup trop longs ; juridique, que faire si le format logique ou physique utilisé pour conserver l information a été mal choisi et qu il ne permet pas l intelligibilité de l information lorsqu on en a besoin ou ne peut garantir son intégrité? réglementaire, un bon ciblage des exigences réglementaires et du périmètre à considérer peut minimiser l effort nécessaire pour valider le système et le maintenir dans un état conforme. Les exigences pharmaceutiques traitent particulièrement de la conservation et de l intégrité des données des dossiers à présenter, ce qui rejoint certaines des raisons d être de l archivage. En outre face aux exigences de la CNIL et compte tenu des moyens d accès mis en place il faudra bien mesurer le respect de la confidentialité des données concernées ; sécuritaire, au-delà de la simple réglementation il est évident que les informations archivées ne devront être accessibles que sous certaines conditions pour tout ou partie en fonction des personnes qui interrogent et surtout elles devront être bien protégées grâce à un système de sauvegarde adapté ou tout autre système de redondance de l information ; financier, du fait de l obsolescence d un système d archivage comment effectuer la migration rapide de volumes importants de données à moindre coût et surtout dans des délais raisonnables et sans perturber le fonctionnement au quotidien? Face à ces enjeux, la prise en compte des différentes contraintes techniques doit ainsi contribuer à la mise en place d un système d archivage efficace répondant aux attentes et, entre autres, à celle de pouvoir augmenter sans pour autant remettre en cause l existant, grâce à une bonne anticipation des besoins et le choix d un système aussi évolutif que possible. A propos de l identification authentification Authentifier une personne procède d une démarche élaborée consistant à certifier le lien entre la personne et son identification. Il est important de pouvoir protéger l information en identifiant aussi parfaitement que possible les personnes y ayant accès afin entre autres de respecter la confidentialité des données. Identifier quelqu un consiste à établir l identité de la personne c est-à-dire son caractère permanent et fondamental tandis qu authentifier revient à certifier l exactitude de son identité. L article 4.e du Règlement CE n 460/2004 du Parlement européen et du conseil du 10 mars 2004 définit l authentification comme «la confirmation de l'identité prétendue d'entités ou d'utilisateurs». La dualité de ces deux notions d identification et d authentification est chose importante en matière de contrôle d accès afin d authentifier la personne après l avoir identifié. 18

20 Le Cadre Fiche 4 Contraintes techniques Cela touche le système d information mais aussi le contrôle d accès physique à tel ou tel bâtiment. Au sujet du terme authentification En réalité, le terme authentification ne s applique qu aux objets et l on parle régulièrement, par exemple, d authentifier une œuvre d art. Ainsi, l usage de ce terme en informatique est souvent employé à tort pour signifier «identification». L origine de cette erreur provient d un anglicisme lié au terme anglais authentication, faux ami qui veut dire à la fois «identification» et «authentification». Mais en français, seul le terme «identification» convient pour déterminer si un objet ou une entité est bien untel ; il s agit d une certaine façon d un véritable contrôle d identité. À l inverse, l «authentification» sert à déterminer si un objet, et non plus une personne, a les caractéristiques prétendues. Le principe est en général d identifier la personne grâce à un système d identifiant (login) assorti d un mot de passe. Malheureusement rien n indique de façon certaine qu il s agit bien de la bonne personne. En effet même si l identifiant et le mot de passe sont corrects, il se peut très bien que l utilisateur qui se connecte les ait dérobés à leur propriétaire. Afin de pallier cet inconvénient majeur en terme de sécurité, on aura en général recours à ce que l on a coutume d appeler un système d «authentification forte» consistant à vérifier avec quasi certitude que la personne qui s identifie est bien celle qu elle prétend être. Nous reprenons ci-après les sept systèmes d identification/authentification les plus utilisés, à savoir : 1. Identifiant (login) et mot de passe (password) : dispositif le plus courant mais très peu sûr. 2. Identifiant et OTP (One-Time Password) : L utilisateur dispose d un token ou «calculateur» qui lui fournit un mot de passe (à usage unique et à durée limitée) au moment où il se connecte. Pour pouvoir utiliser son calculateur, il doit tout d abord y introduire un mot de passe. 3. Le certificat électronique sur carte à puce ou clé USB : L utilisateur dispose d un certificat électronique stocké sur son support et activé grâce à un code PIN. Cette solution nécessite l existence d une infrastructure PKI afin de pouvoir délivrer et suivre la vie des certificats. 4. La clé «Confidentiel Défense» : Il s agit en fait d une déclinaison particulière du cas précédent. En général le support est multifonctions et permet ainsi le stockage de certificat X509, de données, de ressource cryptographique (pour le chiffrement à la volée du disque dur et des flux applicatifs). Afin de contrer les risques des «key loggers» (enregistrement des touches frappées à l insu de l utilisateur), le code PIN doit être composé directement sur la clé sans passer par le clavier (exemple du dispositif utilisé par la Gendarmerie Nationale où la souris fait office de lecteur de carte et dispose d un clavier numérique pour frapper le code PIN). 5. La carte à puce avec identifiant et mot de passe : Ce système correspond à une version allégée de la troisième solution dans la mesure où elle ne nécessite pas d infrastructure PKI. L authentification de l utilisateur est faite directement à partir de l annuaire d entreprise (par exemple en s appuyant sur le protocole LDAP (Lightweight Directory Access Protocol). 6. Les solutions biométriques qui utilisent des lecteurs biométriques (iris de l œil, index, configuration de la face, contour de la main, etc.) pour contrôler les accès. Cependant le critère choisi est plus ou moins facile à mettre en œuvre et présente une force variable. De fait la configuration de l index avec ses points de contrôle reste encore aujourd hui le mécanisme biométrique le plus abouti. La police scientifique de la fin du XIXème siècle avait fait le bon choix avant que des lecteurs électroniques du doigt ne soient mis au point, cent ans plus tard! Trois possibilités sont offertes afin de conserver les données à comparer au moment de la lecture biométrique, à savoir : au niveau du poste de travail, au niveau d une carte cryptographique ou au niveau d un serveur (se pose alors le problème légal du stockage de données biométriques centralisées en un seul endroit). 7. Le RFID (Radio Frequency Identification) actif : Cette technologie permet d identifier l utilisateur sans contact physique, à quelques mètres de distance. Le badge de l utilisateur possède une alimentation propre qui lui permet de dialoguer avec une antenne connectée au poste de travail. Ce dernier détecte alors l arrivé ou le départ d un utilisateur sans aucune autre action particulière de sa part si ce n est d indiquer son mot de passe, au moins une fois. En résumé, l authentification d une personne est basée sur l un au moins des trois critères suivants : Ce que sait la personne, par exemple un mot de passe ; Ce que possède la personne, un token ou un certificat électronique ; Ce qu est la personne, aspect biométrique. Recommandations Devant l ensemble de ces contraintes nous donnons cidessous un certain nombre de recommandations qu il nous parait primordial de respecter. Choix du format logique Sans entrer dans le détail des différents formats disponibles, nous recommandons d utiliser un format aussi ouvert que possible qui permette l intelligibilité, soit en lecture directe (exemple du TXT, CSV), soit par utilisation d un interpréteur relativement standard (cas du PDF). Concernant ce dernier il fait aujourd hui l objet d une norme (ISO 19005) dans sa version PDF/A (A pour archive) que l on aura tendance à privilégier sachant toutefois qu elle est extrêmement gourmande en espace de stockage. On aura par contre soin d éliminer tous types de formats propriétaires issus de traitements ou de logiciels dont la pérennité ne peut être assurée. 19

21 On doit également garder à l esprit que dans son format archivé, l information doit rester exploitable. En général, les documents issus de la bureautique ne posent pas de problème car ils restent compréhensibles en format PDF (par exemple). Ce n est pas aussi facile pour des gros volumes de données issues d une base de données de production ou d un instrument de laboratoire. Une solution consiste quelquefois à faire un double archivage de la donnée pour répondre à la double contrainte de pérennité et d exploitabilité. Les aspects volumétrie et intégrité conjointe sont alors à considérer avec soin. Choix des supports Même si dans l absolu le support idéal existait, ce qui est loin d être le cas, encore ne faudrait-il pas oublier de prendre en considération les aspects économiques de façon globale. En effet sur ce dernier point il est nécessaire de raisonner non pas sur l achat ponctuel de tel ou tel support ou technologie mais sur une exploitation simulée de plusieurs années afin d être bien sûr de prendre en compte l ensemble des paramètres : administration, maintenance, remplacement, Quoi qu il en soit, le type de support sera avant tout choisi en fonction de critères précis comme la durée de conservation, la criticité des données à conserver, l accessibilité, la volumétrie et le coût. Migration Entre autres en matière de support, les migrations sont indispensables. Il peut en être de même pour les formats logiques. Quoi qu il en soit il faudra particulièrement veiller au type de migration concernée afin d en évaluer aussi précisément que possible les tenants et les aboutissants tant en matière de coûts qu en matière du temps nécessaire et de l indisponibilité éventuelle de l information. A partir du moment où une migration est correctement évaluée et anticipée elle ne doit pas poser de problème particulier au contraire d une migration effectuée en catastrophe. En cas de données critiques réglementairement, il faudra penser à documenter proprement la source faisant foi pendant et après la migration. Recherche - Système d accès Il faudra être particulièrement vigilant sur ce point dans la mesure où il s agit de la mise en place du système permettant de retrouver une information de façon efficace. Si certains critères de recherche ont été oubliés il est toujours délicat voire très difficile de les ajouter ensuite. De même un moteur de recherche peut se révéler totalement inefficace à cause du phénomène de bruits parasites renvoyant systématiquement une multitude de réponses inexploitables à chaque recherche. Dans les deux cas qui précèdent, l information archivée deviendrait quasi inaccessible et serait pour ainsi dire perdue. Sécurité-sauvegarde (redondance de l information) Sans oublier que le système d accès doit également être vu comme un contrôle au niveau des droits à l information archivée, encore faudra-t-il mettre en place les systèmes et procédures ad hoc destinés à garantir tant la confidentialité que l intégrité des données. Si l intégrité peut être gérée par le système lui-même, la confidentialité doit quant à elle être traitée comme un projet propre à l acquéreur qui devra définir une politique d accès capable de survivre aux multiples évolutions et réorganisations de l organigramme de la société. Il faudra donc s assurer que le système offre la souplesse requise pour mettre en œuvre cette politique. Afin de renforcer la notion de preuve il est également nécessaire de prévoir un système de traçabilité permettant de garder la trace de l ensemble des interrogations effectuées. Il est en effet très difficile techniquement de déterminer ce qu un accédant a effectué avec le document récupéré (visualisation, impression, copie). C est pourquoi, si ce besoin est établi, l accent doit être mis sur la traçabilité d accès comme point de départ de tout autre usage. Enfin, au-delà des éléments de sécurité évoqués précédemment, il ne faut surtout pas oublier un élément fondamental de sécurité qui est celui relatif à la sauvegarde de l information ou tout autre système de redondance des données qui doit fiabiliser l accès aux données et permettre en cas de sinistre de ne pas perdre l information. Evolutivité Dans la mise en place de tout système d archivage il est important de prévoir l évolution de la volumétrie des données à conserver afin d anticiper les augmentations de capacité des différents matériels et plates-formes, voire d envisager certaines migrations. La prise en compte de cette évolutivité est en effet fondamentale quant au choix des technologies à utiliser ou des exigences à imposer à un tiers archiveur en cas de besoin. Notamment, faire appel à un sous-traitant fera certainement basculer le système dans le cadre des «systèmes ouverts» traités par le 21 CFR part 11 et soumis à de nouvelles contraintes. Signature Electronique Les contraintes réglementaires pharmaceutiques s étendent largement sur l utilisation de la signature électronique. La signature n est pas qu une étape dans la vie d un enregistrement électronique mais une véritable transformation de celui-ci pour le considérer dans son nouvel état d enregistrement signé. Les problématiques d archivage sont donc à étendre aux contraintes propres à la signature électronique. Ceci est heureusement facilité par le fait que les 2 approches (signature et archivage) tendent à démontrer la conservation de l intégrité et l authenticité du document. La solution de signature électronique basée sur une infrastructure à clef privée permet de répondre positivement avec un niveau de confiance très élevé à toutes les contraintes réglementaires propres à l industrie pharmaceutique ou à la législation des états. Cette solution 20

22 Le Cadre Fiche 4 Contraintes techniques est également intrinsèquement parmi les plus fiables car elle repose sur des principes mathématiques largement diffusés et démontrés. En pratique, elle n est toutefois pas toujours facile à interfacer avec des systèmes et des formats propriétaires. C est pourquoi de nombreux systèmes présents dans l industrie et les laboratoires pharmaceutiques proposent des solutions alternatives permettant de dématérialiser les étapes de signature propres à leur processus dans le respect des exigences réglementaires. Ces solutions permettent donc une signature électronique d enregistrements et font en sorte qu ils puissent être au besoin retenus comme élément de preuve dans un cadre précis de procédures. A propos de la signature électronique Les données de base Sans entrer dans le détail de la cryptographie, le principe de signature électronique nécessite la délivrance d un bi-clé constitué d une clé publique et d une clé privée. Cette dernière doit absolument rester secrète à la connaissance de son seul détenteur. A l inverse la clé publique peut être divulguée, en général assortie d autres renseignements, le tout étant contenu dans ce que l on a coutume d appeler un certificat électronique. Certificat électronique Il s'agit d'un document sous forme électronique attestant du lien entre les données de vérification de la signature électronique telles que les clés publiques et un signataire. Equivalent d'un passeport dans le monde physique, le certificat électronique joue véritablement le rôle de pièce d'identité électronique. Un certificat personnel contient notamment les informations suivantes : le nom de son propriétaire ; l'adresse ; la clé publique ; la date d'expiration du certificat ; le numéro de série (unique) du certificat ; le nom de l'autorité de Certification qui a délivré le certificat électronique ; la signature de l'autorité de Certification qui a délivré le certificat électronique (dans la mesure où l on possède la clé publique de l organisme émetteur il est dès lors possible de vérifier directement que le certificat est authentique) L'Autorité de Certification atteste de la véracité de l'ensemble des informations contenues dans le certificat. Il existe trois grandes classes de certificats électroniques. La distinction entre ces différentes classes se situe au niveau du contrôle des informations contenues dans le certificat. Le certificat de classe I : ne garantit pas l identité du titulaire du certificat mais seulement l existence de l adresse mail de celui-ci. Le certificat de classe II : les informations concernant le titulaire et son entreprise sont contrôlées par l autorité de certification sur la base de pièces justificatives qui sont transmises en général par voie postale. On parle de contrôle sur pièces. Le certificat de classe III : par rapport à la classe II, un contrôle supplémentaire de l identité du titulaire est effectué physiquement par un agent de l autorité de certification. On parle de contrôle en face à face. Principe de fonctionnement Signature d un document Pour signer un document, on commence par en prendre une empreinte numérique. On chiffre ensuite cette empreinte au moyen de la clé privée. Le résultat de ce chiffrement correspond véritablement à la signature numérique du document. Ce dernier est ensuite transmis au(x) destinataire(s) accompagné de sa signature et du certificat électronique correspondant. Vérification de signature La clé publique transmise dans le certificat permet de déchiffrer la signature numérique et donc de retrouver l empreinte originale du document. On compare cette dernière avec une empreinte que l on prend du document reçu. Si les deux empreintes sont identiques le document transmis est authentique et émane bien du possesseur de la clé publique, tel que défini dans le certificat électronique. En effet, seule la clé publique contenue dans le certificat est capable de déchiffrer la signature obtenue avec la clé privée correspondante du bi-clé, attestant du même coup de son origine. Reste cependant à vérifier la validité dudit certificat auprès de l autorité compétente. Quand on se place à l échelle de l archivage, les durées s allongent et de nouvelles questions peuvent se poser comme : si le certificat n est plus valide à la date de la vérification, est-ce qu il était digne de confiance à la date de la signature du document? Quel crédit apporter à la date et l heure associée à la signature? En ce qui concerne la signature électronique, il existe une multitude d informations, souvent malheureusement contradictoires. De même les terminologies différentes ne sont pas là pour aider à la compréhension. C est ainsi que l on parle de scellement, de signature, de signature sécurisée, de certificat qualifié, de signature avancée, Afin de clarifier quelque peu cette situation, seule une approche s appuyant sur l aspect juridique de la signature le permet. En effet, il ne faut pas oublier que la finalité de la signature électronique est avant tout de faire en sorte qu un document puisse être au besoin retenu comme élément de preuve. Dès lors deux stratégies sont possibles. La première consiste à utiliser un procédé de signature lambda et à avoir la charge d apporter la preuve de la fiabilité de ce procédé le moment venu. La deuxième façon de procéder revient à employer un procédé possédant une présomption de fiabilité et dans ce cas ce sera à la partie adverse d apporter la preuve que ce procédé n est pas fiable. 21

23 Le Cadre Fiche 5 Stratégie d'archivage Contexte Au niveau des laboratoires, la gestion des données numériques dont le volume ne cesse de croître, constitue une problématique complexe dont l'archivage fait bien évidemment partie, traitant à la fois des aspects techniques, juridiques et organisationnels. A cela s'ajoute le fait que les informations archivées proviennent de flux très divers et doivent pouvoir être restituées dans un contexte juridique ou plus simplement être utilisées par les équipes métiers pendant des durées assez longues alors que l obsolescence technologique est extrêmement rapide. Même si l archivage, au sens classique du terme, vise plutôt la fin du cycle de vie des données, l'archivage électronique nécessite une prise en compte très en amont, dès l'instant où la donnée est dite "figée" ("frozen" pour les anglos saxons). Dans tous les cas, la qualité d'un système d'archivage dépend essentiellement de la qualité et de l'organisation (classification) des données qu'il capture et gère ensuite. Ainsi un bon archivage va nécessiter des choix à plusieurs niveaux correspondant à l'ensemble des étapes du cycle de vie des données, à savoir : critères de sélection des données, choix des formats logiques, type de supports et migrations envisagées, niveau de sécurité, définition des habilitations, outils de recherche, gestion interne ou externalisée, règles et procédures de destruction. On peut donc véritablement parler de «stratégie d archivage» dans la mesure où la direction de l'entreprise doit arbitrer plusieurs options de gestion, selon les coûts identifiés et surtout les risques associés à chaque option envisagée. Afin de simplifier la mise en œuvre, il pourra être pertinent de séquencer le projet de mise en place du SAE (système d'archivage électronique) selon la nature des données : Lot 1 : Données scientifiques et pharmaceutiques (cahiers de laboratoire, dossiers d'enregistrement, évènements de pharmaco-vigilance, dossiers de lot, ) dont la finalité d'archivage est de nature réglementaire et patrimoniale, Lot 2 : Données non scientifiques réglementées (données comptables et RH), dont la finalité d'archivage est de nature réglementaire, Lot 3 : Autres données (bureautique, courriels, etc ), dont la finalité d'archivage est de nature patrimoniale. Enjeux La stratégie d archivage de l entreprise doit anticiper les conséquences de la non disponibilité de l information, aussi bien dans un environnement réglementaire ou juridique, que dans le cadre d une gestion saine du patrimoine informationnel de l entreprise. La stratégie d archivage doit ainsi être globale et : adaptée aux besoins du laboratoire : si le SAE est sous dimensionné, les besoins fondamentaux de restitution de l information risquent de ne pas être satisfaits, si au contraire il est surdimensionné, il risque d'être trop contraignant pour les utilisateurs et surtout trop coûteux ; cohérente avec la politique générale du laboratoire : une politique de sécurité très rigoureuse ou une démarche qualité très poussée ne peuvent donner tous leurs fruits sans une politique d archivage de même niveau. De même si le laboratoire dispose d'un système de gestion des connaissances très développé, il est logique d avoir un système d archivage en conséquence pour pérenniser et enrichir ces connaissances. Recommandations Pour définir et promouvoir une stratégie globale d archivage dans l entreprise, on peut énoncer les recommandations ci-après. Elaboration et diffusion d un document stratégique Il est important que les grands principes d organisation de l archivage soient mis par écrit et surtout validés par la direction générale. Il est même souhaitable que ce document soit opposable aux collaborateurs de l entreprise. Ce document sera préparé par un groupe de travail qui étudiera et proposera à la direction générale des choix sur les aspects présentés dans la suite de nos recommandations. Ce document constituera ainsi la politique d archivage de l entreprise (voir focus fiche 6). Groupe de travail pluridisciplinaire L archivage concerne plusieurs acteurs dans l entreprise. En conséquence la définition d une stratégie cohérente d archivage suggère de solliciter les différents acteurs en présence : direction des systèmes d information ; juriste ; équipes métiers ; archiviste, responsable documentaire ou records manager ; direction informatique ; risk manager ; compliance manager. Ce groupe de travail tiendra compte des documents de référence déjà existant sur la sécurité, la qualité, les contraintes juridiques, l accès à l information, les règles de conservation, etc. pour élaborer la politique d'archivage à soumettre ensuite à la direction générale. Risques Le système d archivage devra être analysé pour déterminer l impact d un dysfonctionnement en terme de risques. La perte d informations constitue en effet un risque vraisemblable et souvent peu pris en compte dans le cadre de systèmes d information. Les risques peuvent également 22

24 Le Cadre Fiche 5 Stratégie d'archivage être constitués par les dommages immatériels, relatifs aux valeurs incorporelles, tels que la destruction volontaire ou involontaire des données, la divulgation d informations, la mauvaise qualité des programmes, du fait d une altération volontaire ou par simple négligence, l exploitation ou l utilisation anormale des données archivées. Il est donc indispensable d avoir une évaluation précise des risques, effectuée en général à partir d un «audit des risques informatiques» pour lequel existent plusieurs méthodes dont MEHARI ou encore EBIOS. Plan de classement Les données et documents à archiver doivent être créés de manière à ce qu ils soient archivables : informations complètes, référencées, validées et datées. Cette notion de validation est particulièrement importante car elle correspond au moment où l'information devient figée. Il faut par ailleurs veiller à ne pas avoir des informations confuses ou inexactes. Les méta données sont là pour permettre de gérer au mieux l'ensemble des données complémentaires indispensables à un bon archivage. Afin d'assurer la qualité du système d'archivage, on réalisera par ailleurs un plan de classement correspondant à une structuration logique et intellectuelle des documents à gérer. Responsabilités Plusieurs niveaux de responsabilité existent dans la gestion du cycle de vie de l information archivée et ils doivent être identifiés et décrits à l'intérieur même de la politique d'archivage : producteur de l information ; propriétaire (qui a la maîtrise du contenu et valide la durée de conservation) ; gestionnaire de l information ; utilisateur ; administrateur du système d archivage. A ces responsabilités il sera également important d'associer les obligations de chacun dans la mesure où un bon archivage constitue une chaîne qui ne vaut que par son maillon le plus faible. Externalisation La question de l externalisation de l archivage se pose pour l archivage électronique comme pour l archivage papier. Les principaux critères de l externalisation sont la qualité du service (compétences et systèmes spécifiques disponibles ou non en interne), le coût global de l archivage, le rôle joué par un tiers dans le dispositif (voir fiche 9 sur les tiers archiveurs) et la protection des données archivées. Pérennité du SAE L évolution des différents paramètres intervenant dans le processus d archivage est à prendre en compte. Ainsi, la pérennité du format qui exprime «la manière dont l information est structurée au sein du fichier de façon à pouvoir être conservée, transmise et échangée» est déterminante. Or, ce format s intègre dans un ensemble (logiciel permettant de lire ce format, système d exploitation dont fait partie ce logiciel) dont l évolution est à prévoir, en prenant notamment en compte le caractère ouvert ou fermé de ses spécifications techniques. Les différentes étapes de l'archivage Les quatre étapes de l'archivage devront être clairement identifiées et gérées, il s'agit du : Versement, qui recouvre «l ensemble des opérations qui permettent de transférer un document de son environnement de création à son environnement de conservation», au cours duquel il convient de s assurer de l identification et de l habilitation de la partie qui verse le document ainsi que de l absence d altération de ce document lors de sa transmission vers le système d archivage. Il est fréquent que ces opérations soient déléguées à un tiers ou à un service technique interne, sans que la question de l habilitation ne soit évoquée ; Enregistrement des documents sur le système de gestion assurant leur référencement et leur écriture sur des supports de stockage appropriés ; Gestion des documents archivés, comprenant d éventuelles régénérations, migrations (de support, de format) destinées à préserver l intégrité des documents sur la durée, ou suppressions des documents ayant atteint le terme de la durée de conservation prescrite, ou même changement du système informatique de gestion ; Restitution des documents archivés, sur support amovible, sur papier ou par affichage du document sur écran, dans l objectif notamment de production de la preuve que constitue le document conservé. 23

25 Les Solutions Fiche 6 Les outils méthodologiques Contexte Du simple fait de son caractère pluridisciplinaire, les seules solutions techniques ne peuvent suffire à gérer l archivage électronique. Ainsi une part non négligeable du processus d archivage s appuie sur des outils méthodologiques qui aident à clarifier les besoins, à organiser le périmètre documentaire et à accompagner le cycle de vie des informations avant et pendant leur archivage. En effet en fonction de leur cycle de vie, les données s enrichissent et certains documents sans portée juridique immédiate peuvent, lors d un contentieux, concourir à l établissement de la preuve constituant pour le juge un élément de traçabilité supplémentaire de la procédure. La gestion dynamique des données est donc un paramètre essentiel dans la définition de la politique d archivage qui permettra d adapter le système d archivage aux évolutions multiples des environnements. Cette démarche ILM pour «Information lifecycle management», doit ainsi permettre de suivre l évolution des données de leur création jusqu à leur destruction ou leur archivage définitif en passant par une étape importante qui est celle du moment où la donnée devient fixe, figée. L ILM est également destiné à appliquer des règles de conservation différentes selon la nature des données, les exigences de sécurité (intégrité, confidentialité), les obligations légales et réglementaires, les exigences «métier», de disponibilité et d accès aux données. L ensemble de ces éléments se retrouvent d ailleurs dans la politique d archivage dont l un des objectifs est justement de définir les différents niveaux de services à attendre du système d archivage électronique pour répondre à l ensemble des contraintes identifiées. Il est dès lors nécessaire que le système puisse formaliser et identifier les différentes étapes du cycle de vie des données. De ce point de vue les Anglo-Saxons ont introduit la notion de «record» qui correspond en fait à l enregistrement de la pièce et lui donne un véritable point de départ, assez bien illustré par le coup de tampon qui consacrait autrefois l acquittement de prise en compte du document par le service concerné. Ce coup de tampon (assorti d une date) représente l étape de validation du document (support d un processus) et son passage au statut de document «figé» constitutif du fait générateur à partir duquel l entreprise doit s engager quant au maintien de son intégrité et de son intelligibilité pendant toute la durée de conservation. Outre son aspect pluridisciplinaire l archivage électronique doit également relever d autres défis comme celui du volume des données à traiter et de leur hétérogénéité, de leurs formats, l obsolescence rapide des technologies sous leur aspect purement matériel mais également logiciel sous l angle cryptographique. Il serait extrêmement dangereux de vouloir appliquer à l archivage électronique des méthodologies jusque-là réservées à de l archivage papier traditionnel. D ores et déjà diverses initiatives ont été prises au niveau national et international pour répondre à ces nouveaux défis. On dispose ainsi d un certain nombre de normes dont il faut absolument s inspirer pour gagner du temps, fiabiliser l archivage et optimiser la gestion de l information (voir à ce sujet le guide pratique FedISA "Comprendre et utiliser les normes dans le domaine de l'archivage numérique"). Appliqué aux laboratoires, les défis sont particulièrement complexes par exemple dans le maintien à long terme des bases de données et l historisation des éléments de traçabilité portant dans la fabrication de produits pharmaceutiques, biotechnologiques ou génériques. Ces exigences notamment en matière de tests nécessitent des solutions informatiques sophistiquées mais surtout bien adaptées. Enjeux Les principaux enjeux en matière de méthodologie consistent à répondre à la double problématique d un archivage efficient tant sur la forme que sur le fond, le contenu conservé. Rappelons à cet effet que la fonction de base de tout système d archivage est avant tout de pouvoir retrouver une information exploitable. L exemple de l constitue la parfaite illustration de cette problématique. En effet à quoi servirait de conserver une base d s que l on ne saurait absolument pas exploiter par la suite d un point de vue purement informationnel. Les principales questions à se poser sont donc de savoir quoi archiver, à partir de quand et enfin comment et pour combien de temps. La première question du «quoi» archiver doit également mettre en avant le fait que cette information devra pouvoir être considérée comme un élément de preuve recevable le moment venu. Dans le cas des laboratoires, la mise en perspective des problématiques liées aux contraintes réglementaires de cette industrie est cruciale pour un système qui doit répondre à tout moment de sa conformité par rapport aux obligations et aux exigences de santé publique. Les systèmes LIMS (Laboratory Information Management System) donnent un aperçu de cette complexité. Mis en œuvre à l origine pour produire puis conserver des données approuvées, les systèmes LIMS doivent aujourd hui conserver l ensemble des données intermédiaires conduisant à ces résultats afin de satisfaire aux demandes de vérifications aussi bien internes qu externes. Recommandations Pour disposer d un bon système d archivage électronique, nous avons identifié trois outils méthodologiques majeurs, à savoir : le référentiel de conservation qui se présente le plus souvent sous forme d un tableau à l intérieur duquel l on 24

26 Les Solutions Fiche 6 Les outils méthodologiques retrouve pour chaque type de données, les règles de classement et d archivage comme leur durée de conservation ou encore les droits d accès voire le niveau de sécurité requis ; l acte fondateur ou l énoncé par la direction générale des principes directeurs que l on retrouve dans la politique d archivage ; les procédures adaptées à la mise en œuvre opérationnelle du SAE (système d archivage électronique). A ces trois outils nous pouvons également ajouter la notion de tableau de bord qui s applique à l ensemble des données archivées afin de disposer des informations nécessaires à une bonne connaissance globale de son archivage. Un tel tableau de bord doit ainsi permettre à tout moment de vérifier que tel type de données ou de documents existe, que tout ce qui devait être archivé l a été, où se trouvent les données, si elles ont été détruites, quand et comment, Disposer d un référentiel de conservation Dans un premier temps il s agira de collecter les informations déjà existantes en matière de référentiel de conservation et à les compléter par une analyse détaillée du système d information du laboratoire. Cette première étape doit permettre de : Comprendre les besoins d organisation, de conservation et de sécurité des données ; Inventorier les systèmes existants permettant de gérer ces données (production, RH, finances etc.) ; Identifier les besoins fonctionnels, techniques, légaux et réglementaires. On s attachera ensuite à élaborer et finaliser le référentiel de conservation sous la forme d un tableau, d une matrice de gestion des données précisant pour chaque type de données, leur volumétrie, leur durée de conservation et le niveau de service/sécurité attendu. On ajoutera si possible une notion de risque encouru en cas de perte des données afin d aider à mieux les classifier pour leur associer le bon SAE sur le plan du rapport qualité / prix / performance. En effet toutes les données n ont pas la même importance et ne nécessitent donc pas forcément le même niveau de qualité de service. Acte fondateur Comme vu précédemment, l aspect transverse de l archivage électronique doit mobiliser beaucoup d énergies et il est important que cela passe par un acte fondateur destiné à afficher clairement un ensemble de besoins, d objectifs, de résolutions et de bonnes pratiques. Cet acte pourra revêtir la forme d une politique au sens de «policy» qui fixe ainsi les objectifs de l entreprise en la matière (voir focus Politique d Archivage ci-après) La réalisation d une politique d archivage constitue un véritable travail de groupe à l intérieur duquel doivent être représentées toutes les parties prenantes de l organisation. Politique d archivage Comme déjà évoqué à plusieurs reprises, les objectifs d un archivage électronique efficace sont multiples. De façon synthétique il s agit de conserver des données sur le long terme, de les retrouver et de les restituer facilement tout en sécurisant leurs accès. Bien évidemment la durée de conservation, la disponibilité et la sécurité varient en fonction du type de donnée traité. Ainsi plusieurs niveaux de services d archivage pourront être définis au sein d une même entité. L archivage électronique doit donc être vu comme un projet à part entière qui nécessite une étude précise des besoins à court, moyen et long terme ainsi que la prise en compte des besoins métiers. Le projet d'archivage doit être un projet d'entreprise avec une approche et une réflexion globales, validé par la direction générale. En fonction de ce qui précède, la politique d archivage apparaît véritablement au cœur du raisonnement et de la méthodologie indispensables afin de mener à bien un projet d archivage électronique, surtout lorsqu il s agit de donner une véritable valeur probante aux informations gérées. Remarque : Le terme d «archivage sécurisé» est plutôt réservé au domaine public tandis que «archivage légal» ou encore «archivage à valeur probante» correspond plus au domaine privé. La première politique d archivage sécurisé pour le domaine public a été établie dès 2005 à l occasion d une étude lancée par la DCSSI à laquelle ont également participé la Direction des Archives de France et la DGME (Direction Générale pour la Modernisation de l Etat). L ensemble des documents correspondants est disponible sur le site : Ainsi pour mettre en place un archivage électronique à valeur probante dont la fiabilité puisse être étayée, il apparaît nécessaire de disposer d une telle politique d archivage destinée à décrire l ensemble des préoccupations liées directement à la problématique de l archivage électronique tout en tenant compte de l environnement à la fois légal, réglementaire et sécuritaire. Une politique d archivage doit ainsi conduire à : Définir les objectifs du système d archivage électronique en tenant compte de l environnement sous ses aspects légaux, réglementaires mais également propres à l entreprise. Il s agit là des services rendus au client au sens large du terme et qui pourront faire l objet de différents niveaux largement détaillés ; Préciser l ensemble des intervenants (services producteurs, services versants, usagers, ) et en définir clairement les obligations et les responsabilités correspondantes ; Définir les fonctionnalités mises en œuvre au sein du service d archivage (versement, stockage, communicationinterrogation, administration) et l'organisation fonc- 25

27 tionnelle correspondante (liens entre fonctions, flux d'informations, ) ; Présenter l environnement sécuritaire associé (principes organisationnels, principes de mise en œuvre, principes techniques) en lien avec la politique de sécurité de l entreprise comme présenté ci-après. De la sorte, les personnes en charge des archives disposent d un document posant les règles de base en matière de sécurité pour un archivage électronique à valeur probante. Cette politique d archivage définit également les contraintes juridiques, fonctionnelles, opérationnelles et techniques à respecter par les différents acteurs afin que l archivage électronique mis en place puisse être regardé comme fiable. Ce document, en l absence de textes précisant les critères de fiabilité de l archivage électronique, permettra le cas échéant, de rapporter devant le juge la preuve de la fiabilité des procédures mises en œuvre et par la même de l archivage électronique réalisé. Dans le cadre de la mise en place effective d un archivage électronique à valeur probante il faut tenir compte de l environnement dans lequel il va être opéré. A cet égard il s agira de prendre en considération et de vérifier la cohérence avec : le schéma directeur des systèmes d informations défini ; la politique de sécurité adoptée ; les technologies utilisées ; la structure concernée ; les besoins et moyens identifiés. Le schéma ci-après présente une vision synthétique de ces différents environnements qu il conviendra de prendre en compte. Standard d échange de données pour l archivage électronique (SEDA), référentiel général de sécurité (RGS) SECURITE : Politique de Sécurité des Systèmes d Information Le cas échéant : Guide de maturité SSI ; EBIOS. Politique d archivage. Evolutions législatives et réglementaires Une fois la politique d archivage établie, en découle naturellement un certain nombre d autres éléments indispensables à la mise en place effective d un système d archivage efficient. En effet, à partir du moment où les besoins sont clairement définis on pourra alors facilement en déduire un cahier des charges destiné à pouvoir effectuer des demandes auprès de différents fournisseurs tant de technologies matériel que logiciel, voire de services. La politique d archivage doit également permettre de bâtir une grille d audit destinée à vérifier l adéquation du système mis en place avec les objectifs poursuivis. La politique d archivage ne décrivant que les fonctions d archivage, il faudra également veiller à disposer de documents précisant les moyens mis en œuvre pour réaliser ces fonctions. Ces documents sont constitués à la fois par les «déclarations des pratiques d archivage» et par la «mise en œuvre opérationnelle» et pourront être élaborés dès l instant où le système et l architecture correspondante seront retenus. Enfin il est important, voire essentiel de pouvoir vérifier régulièrement l adéquation du système mis en place avec les objectifs de la politique d archivage, ainsi que la conformité de cette politique par rapport aux nouvelles réglementations ou lois. Le schéma ci-après illustre cette double vérification. Vérification Evolutions législatives et réglementaires Politique d archivage. Système d archivage électronique Audit La politique d archivage apparaît ainsi bien au centre de la méthodologie à mettre en œuvre afin de proposer un service d archivage électronique véritablement performant, évolutif et parfaitement conforme dans le temps aux exigences légales et réglementaires. La politique d archivage doit en effet garantir cette adéquation entre l évolution du domaine réglementaire et le dispositif d archivage ; et permettre de s assurer de la conformité du système d archivage électronique en cas d audit. Procédures En complément à la politique d'archivage il est également important de disposer des procédures adaptées pour réaliser de façon efficace le service d'archivage tel que prévu. L'ensemble de ces procédures peut être repris dans un document spécifique de mise en œuvre opérationnelle. Ainsi créateurs, gestionnaires et utilisateurs outre le fait de bien connaître leurs engagements et leurs responsabilités, sauront également quelles tâches concrètes leur incombent. 26

28 Les Solutions Fiche 6 Les outils méthodologiques Les processus d archivage sont en fait au nombre de trois : Identification et capture ; Conservation et destruction ; Accès. Le fait de pouvoir identifier les données à archiver au sein du système d'information est bien évidemment essentiel et représente la première des procédures à définir afin de tenir compte de l'ensemble des contraintes pesant sur l'organisation, telles que définies dans la politique d'archivage. Le terme capture est assez courant quand on parle de gestion électronique de documents ; notamment lorsqu il s agit de l archivage de documents numériques natifs, par opposition à la numérisation de documents papier ou l on parlera plutôt de système d «acquisition». La procédure de capture est assez complexe qui doit tenir compte : du niveau de granularité souhaité (archivage d une pièce, d un sous-dossier, d un dossier) ; du caractère composite de certains documents afin de faire en sorte d'archiver une information complète et cohérente) ; des règles associées (conservation, droits d accès) à inclure dans les métadonnées en plus des notions de provenance, de format,... des possibilités d automatisation. Les procédures de conservation/destruction s'appuient sur les règles correspondantes qui permettent de gérer les documents archivés. Ces règles indiquent entre autres la durée pendant laquelle les documents doivent être conservés dans le SAE ainsi que les modalités d'accès et de sortie du système Outre l'application de ces règles, le processus de conservation doit bien évidemment assurer la pérennisation des données pendant tout leur cycle de vie ; détecter la dégradation des formats et des supports et le cas échéant, programmer et effectuer les migrations indispensables. Un tel processus doit également garder la trace de tous les événements qui affectent la vie de l archive : consultation, modifications de métadonnées, nouvelle signature, migration,... A l'issue de la durée prévue il faut organiser le sort final de l'archive et opérer sa destruction ou son archivage définitif. Enfin les procédures d'accès doivent permettre à un utilisateur habilité de savoir rapidement et avec certitude si l information recherchée existe, où elle se trouve et l'obtenir dans les délais demandés. La conduite du changement Dans la mesure où un projet d'archivage électronique est avant tout transverse et touche une grande partie de l'organisation, il est essentiel d aller au devant des utilisateurs en formalisant leurs attentes. Il s'agit là d'une des missions du groupe projet qui sera constitué en conséquence et réunira pour cela des compétencespluridisciplinaires suffisamment représentatives des grandes fonctions de l organisation et qui sera également capable de fédérer les énergies en tant que porteur du projet. L organisation d une campagne de communication est un facteur de succès, pour autant que le management de l entreprise y soit étroitement associé, marquant ainsi son implication dans le projet. Cette communication visera à transformer les enjeux en bénéfices. Rappelons à ce sujet qu'un projet d archivage électronique renvoie à la notion plus large de gestion de la connaissance, composante essentielle de la mémoire de l entreprise mais surtout de son patrimoine. Cette communication s attachera ensuite à démontrer le bien fondé de la démarche, en montrant que les enjeux pour l organisation sont transposables en bénéfices individuels immédiatement mesurables : accès facilité à l information, meilleure compréhension des mécanismes et des processus qui sous-tendent le fonctionnement des activités de l entreprise, décloisonnement des services. 27

29 Les Solutions Fiche 7 Technologies actuelles Contexte N'est ce pas là le véritable paradoxe de l'archivage électronique que de devoir assurer le long terme en s'appuyant sur des technologies à l'obsolescence extrêmement rapide. Ce phénomène d'obsolescence se retrouve d'ailleurs à plusieurs niveaux tant matériel que logiciel mais aussi en matière de cryptographie (calcul d'empreinte et chiffrement/signature), pourtant la base de tout l'environnement de confiance nécessaire. En effet un composant privilégié de la confiance numérique repose sur l usage du certificat numérique qui grâce à une authentification forte (voir focus A propos de l identification - authentification) permet de définir deux champs d application, l'un relatif à la traçabilité d un processus (origine d une action) et l'autre à l'imputabilité d'un acte (signature, non répudiation, responsabilité- engagement). Associé à un dispositif d horodatage, le certificat peut être vu comme un cachet numérique, véritable tampon électronique évoqué au chapitre précédent. On comprend alors facilement l importance du lien entre ce dispositif et la notion de «records». Le record constituant par définition un document validé, et non modifiable. A l inverse le fait que les technologies évoluent laisse à penser que l on devrait être capable de trouver la réponse aux besoins des organisations, ces besoins étant euxmêmes variés et évolutifs, en fonction des différents types de données à traiter en regard de leur criticité, leur durée de conservation, leur volumétrie mais aussi leur disponibilité et leur niveau de confidentialité. D un point de vue purement technique, il existe à ce jour deux grands types de supports largement répandus : magnétiques et optiques. Pour ce qui est de l utilisation des hologrammes ou des nano technologies il faudra encore attendre un peu avant de pouvoir disposer de supports véritablement exploitables et présentant une nette amélioration tant en capacité qu en temps d accès et surtout pour des coûts comparables voire moindre aux supports actuels. Les supports magnétiques : Sans entrer dans trop de détails techniques, rappelons que l environnement numérique est binaire, il suffit donc d être capable de repérer deux états représentant respectivement le 0 ou le 1. Ceci est obtenu sous l effet d un champ magnétique, par polarisation dans un sens ou dans l autre des particules d oxyde de fer présentes à la surface du support. L on distingue essentiellement deux grandes familles de supports magnétiques, les bandes magnétiques et les disques. Les bandes se présentent sous plusieurs formats DAT (Digital Audio Tape), DLT (Digital Linear Tape), LTO (Linear Tape-Open), AIT (Advanced Intelligent Tape) pour ne citer que les plus connus. Les différences sont directement fonction des capacités, des débits ainsi que de la longévité annoncée par les fabricants. Une bande au format ultrium LTO3 permet par exemple d atteindre des capacités de quelque 400 Go. Quoi qu il en soit l usage de juke box est néanmoins indispensable lorsqu il s agit d archiver des capacités de l ordre du To. En ce qui concerne les disques plusieurs technologies existent qui sont plus particulièrement dédiées à l archivage du fait de la conjonction de deux phénomènes. Le premier est incontestablement une réduction significative des coûts grâce à l utilisation de la norme SATA (Serial Advanced Technology Attachment) disposant d une connectique simplifiée. Le second phénomène résulte de l évolution de la notion même de WORM (Write Once Read Many) initialement purement physique, vers un aspect plus logique (voir focus ci-après). Sans vouloir être exhaustif nous pouvons citer différents constructeurs et technologies associées : EMC (Centera), HP (AIP), HITACHI (HCAP, Hitachi Content Archive Platform), IBM (TotalStorage DataRetention DRxxx), Network Appliance (Snap Lock). Ces technologies à base de disques permettent d atteindre des capacités de l ordre du Po mais fonctionnellement présentent des différences assez significatives. Ainsi une technologie de type Centera prend en compte une certain nombre d éléments sécuritaires et non des moindres comme le contrôle d intégrité tout au long de la conservation des données, HCAP a été bâti en tenant compte du modèle OAIS normalisé en ISO 14721, tandis que la fonction snap lock consiste uniquement à «verrouiller» un espace de stockage selon une logique WORM, permettant d empêcher toute modification ou suppression intempestive de données. Les supports optiques : Par rapport à la technologie magnétique la différence entre le 1 et le 0 se fait en réalité sur la présence ou l'absence d'un «trou» dans le support. Au moment de la lecture, un rayon laser traverse plus ou moins de matière et génère du même coup un courant plus ou moins fort. Tout comme pour les supports magnétiques l on distingue deux grandes familles de supports optiques, celle des CD et DVD et la famille des disques magnéto optiques (MO) et UDO (Ultra Density Optical) désormais tombés en désuétude. La différence entre ces supports se situe au niveau du fait qu ils sont ou non réinscriptibles et au niveau de leur capacité de 700 Mo pour un simple CD à plus de 30 Go pour un disque UDO. Cette dernière technologie offre la performance du disque magnéto optique de 5,25", la longévité des disques non réinscriptibles de 12" et la rentabilité du DVD. Tout comme pour les bandes il existe des 28

30 Les Solutions Fiche 7 Technologies actuelles juke-box destinés essentiellement aux MO et UDO pouvant atteindre plusieurs To lorsqu ils sont utilisés avec des disques UDO. Malheureusement la technologie des jukebox repose sur des éléments mécaniques dont la fiabilité n est pas toujours au rendez-vous et surtout exige une forte maintenance. Depuis plusieurs années on observe une évolution du marché très nette vers le disque dur magnétique, au détriment des deux autres solutions, pour plusieurs raisons : Le coût au Go des disques durs de type SATA est de plus en plus bas et se rapproche de celui des bandes ; La fiabilité des disques durs s améliore régulièrement. Les données sont protégées par des systèmes de grappes de disques (RAID) ou de grappes de serveurs (RAIN) et leur intégrité est vérifiable en continu. Il y a moins de composants mécaniques et ainsi pas de problème de robotique tombant en panne ; La rapidité d accès à l information est nettement supérieure à une bande. Ce facteur peut être important à différents niveaux. D une part en ce qui concerne l alimentation des systèmes, leur indexation ou ré-indexation. D autre part dans le cas d un audit où en général l information doit être fournie dans un délai donné ; La granularité : les durées de conservation peuvent être gérées objet par objet afin de satisfaire au droit à l oubli et à l obligation de destruction. Cette granularité d'accès n est évidemment pas possible avec des bandes ou des media de type CD-R ou DVD-R, à l'exception des WORM compliant, uniquement disponible en technologie UDO ; Les capacités gérées : les systèmes de disques haut de gamme du marché sont capables de gérer des milliards d objets et des Peta-octets en ligne ; Les solutions supérieures de protection de données (comme la réplication dans le cadre d un PRA ou de sauvegarde sur disque) permettant de disposer de RPO (Recovery Point Objective, la fraîcheur des données restaurées) ou de RTO (Recovery Time Objective, le temps nécessaire pour remettre en ligne les données) plus courts qu avec les bandes ou d autres disques optiques. L évolution «du WORM physique vers le WORM logique» Rappelons que les exigences en matière d archivage consistent d une part à pérenniser l information avec une garantie d intelligibilité à terme mais aussi et surtout une garantie d intégrité. Nous attirons ici l attention quant au fait qu il s agit là de l intégrité au sens «juridique» du terme agissant sur le contenu informationnel et non au sens «technique» opérant sur le format, support de l information. Concernant ce dernier point, dès l instant où à l intérieur d un fichier un seul bit (binary digit) est touché, l intégrité technique est perdue alors que pour autant l intégrité au sens de l information et de son contenu peut ne pas avoir été touchée. Ainsi le simple fait d ajouter un seul espace entre deux mots d un texte, certes fait perdre au fichier son intégrité technique alors qu il est bien évident que le sens du texte n en sera pas perturbé pour autant. A ce jour, un grand nombre de types de supports est disponible pour la conservation des données avec deux grandes familles de supports : magnétiques et optiques. Néanmoins il est nécessaire de bien préciser une notion importante qui est celle du WORM ou «write once, read many». Une définition élargie du WORM consiste à «faire référence à une méthode d enregistrement dont la propriété intrinsèque est d être non effaçable, non réinscriptible et non modifiable». Par rapport à ce qui précède, le raccourci était alors facile en matière d archivage électronique d instaurer que les seuls supports pouvant garantir les exigences requises évoquées précédemment, devait être de type WORM. Si initialement, un seul type de WORM était reconnu, cette situation a largement évolué depuis. Au départ on n imaginait pas d autre procédé que l optique pour répondre aux trois exigences citées précédemment de non suppression, non modification et non réécriture. N étaient ainsi éligibles en tant que WORM que les procédés optiques non réversibles de type CD. Au moment de l écriture, le substrat est en effet modifié (fondu) sans possibilité de retour en arrière. Ainsi un CD gravé ne pouvait pas être utilisé à nouveau pour d autres enregistrements et garantissait par ailleurs la non modification de ce qui était gravé et par voie de conséquence sa non suppression. Comment dès lors situer les CD réinscriptibles de type RW? De là est née toute l ambiguïté qui consistait à assimiler un peu trop rapidement cette notion de WORM à la seule technologie optique non réversible. Sachant que par ailleurs les technologies purement magnétiques, bandes et disques apportaient de plus en plus d arguments tendant à démontrer qu elles pouvaient également satisfaire aux exigences précédentes, il a bien fallu proposer quelque chose. D où la récente évolution de cette notion qui reconnaît en fait trois types particuliers de WORM : Type 1 : transformation permanente du support, principe des disques optiques classiques avec modification du substrat ; Type 2 : utilisation d un micro code WORM inclus dans le support au moment de sa fabrication, reconnu par le lecteur ou le contrôleur et protégé de l effacement et de la ré-écriture dans des conditions normales d utilisation, principe des disques magnéto-optiques ou des bandes équivalentes ; Type 3 : génération d un micro code enregistré avec l information et destiné à traiter cet enregistrement comme un enregistrement de type WORM par le logiciel de gestion du support, le protégeant du même coup de l effacement et de la ré-écriture dans des conditions normales d utilisation, principe des disques magnétiques. Dans certain cas la protection de type WORM peut être limitée à une durée de conservation associée aux données à protéger. 29

31 Par rapport au troisième type, cette «reconnaissance» en tant que WORM permet ainsi aux nouvelles technologies à base essentiellement de disques magnétiques de pouvoir se positionner naturellement pour résoudre des problématiques d archivage. Plusieurs constructeurs se sont orientés depuis vers ce type de support afin de proposer des solutions innovantes pouvant répondre aux besoins spécifiques d archivage. On voit ainsi aujourd hui apparaître sur le marché de nouvelles technologies combinant un ensemble d éléments permettant d assurer une conservation fiable et pérenne de l information sur du disque magnétique. Pour simplifier nous pouvons retenir qu il existe en fait trois approches foncièrement différentes destinées à assurer cette conservation sécurisée propre aux exigences liées à l archivage. 1. La première de ces approches, sans doute la plus «simple» consiste à utiliser des baies de stockage traditionnelles sur disques et à y ajouter une couche de logiciels en amont destinée à gérer cette notion de WORM logique et ainsi à bloquer toute tentative de ré-écriture, de modification ou de suppression. 2. Une autre approche, totalement novatrice contrairement à la première, fait même l objet d une classification à part, le CAS (Content Access System). A la place de stocker, d'extraire et de gérer les informations au travers d un système traditionnel de fichiers ou de volumes logiques, on accède à l information par une empreinte numérique unique créée pour chaque nouvel objet entrant. Il s agit en fait d une logique apparentée à celle des consignes. En effet, vous déposez un objet et obtenez en retour un ticket (adresse de contenu). Ultérieurement seul ce ticket vous permettra de retrouver l objet déposé. La façon dont est conservé ce dernier est totalement prise en charge par le système. Les avantages d une telle solution sont multiples. Toute modification du contenu déclenche automatiquement la création d une nouvelle adresse de contenu. A l inverse si un même objet se présente, l adresse de contenu étant déjà existante il n y aura pas de doublement en matière de stockage. Les accès aux ressources sont rapides. La gestion et l administration d une telle solution sont considérablement simplifiées, même pour de gros volumes. Par ailleurs le système est en mesure de garantir l intégrité du contenu à long terme. De même la confidentialité des informations peut être obtenue par un chiffrement systématique des données ainsi conservées. Une telle logique nécessite le développement des couches applicatives en amont ou mieux, à les intégrer au sein même du micro code de la baie, ces couches étant destinées à permettre aux utilisateurs de retrouver les informations conservées autrement que par un simple ticket. Ces couches doivent en effet permettre de faire le lien entre les critères de recherche habituellement utilisés et le fameux ticket. Le fait d être en amont et pas au sein de la baie constitue un risque car la fonctionnalité peut alors être contournée et la protection ne plus être disponible lors d un accès direct à la baie. 3. Enfin la troisième approche est également innovante et répond à une logique d organisation en cellules, faisant appel au nouveau concept de stockage en grilles ou «grid storage». De telles solutions intégrées d archivage sont plutôt indépendantes des applications mais utilisent néanmoins une méthode d accès aux enregistrements normalisée. Comme indiqué précédemment ce type de solution utilise une nouvelle approche du stockage, le stockage dit en grille, constitué de plusieurs cellules interconnectées via un réseau Ethernet. Chaque cellule participe à la solution et une demande d archivage est ainsi répartie sur l ensemble des cellules. Une cellule possède un processeur, un espace de stockage pour l indexation des «contenus» et les «méta données» ainsi qu un espace de stockage pour les contenus proprement dits. L un des principaux avantages de cette approche est de permettre la réalisation facile de systèmes de stockage complexes à partir d éléments standards. Une telle technologie permet en effet la réalisation de solutions très performantes, indépendantes du nombre d enregistrements gérés, évitant du même coup tous les phénomènes liés aux baisses de performances que l on peut observer au cours des montées en charge. Un autre avantage et non le moindre réside dans sa capacité à effectuer des migrations très progressives, cellule par cellule. Enfin l exploitation de tels systèmes est simplifiée et surtout allégée à l extrême. Ainsi même si en apparence le coût d acquisition peut sembler plus onéreux qu un système traditionnel, une comparaison plus complète prenant en compte les coûts d exploitation sur au moins trois ans ne laisse plus aucun doute. L intérêt est encore plus évident si l on prend en considération la notion de migration, évoquée précédemment. Toutes les solutions proposées embarquent par ailleurs une horloge interne, censée être infalsifiable, servant à l horodatage des éléments archivés et à la gestion des durées de conservation. Selon la solution, la granularité est sur l objet, le fichier ou le LUN (Logical Unit Number). Des droits d accès ou fonctionnalités de chiffrement permettent de gérer la confidentialité. Ainsi l administrateur de la solution n a pas accès aux données archivées quant à leur contenu. Enjeux Le choix d une solution technique d archivage comporte essentiellement les enjeux suivants : Adapter la technologie à ses besoins : du fait même de la multiplicité des données au sein d une seule entreprise que ce soit en matière de volumétrie, d accessibilité et de durée de conservation des données archivées, il existe bien évidemment différentes solutions qu il est nécessaire de bien maîtriser pour effectuer le 30

32 Les Solutions Fiche 7 Technologies actuelles bon choix, parfois même qu il sera possible de combiner afin d avoir différents niveaux de services capables de répondre à ceux identifiés au travers de la politique d archivage ; Analyser pleinement les aspects économiques des différentes solutions envisagées : bien faire attention au fait qu un système d archivage est destiné à du moyen long terme. Il est donc important de prendre en compte l ensemble des facteurs ayant une répercussion sur le coût du service d archivage comme les aspects liés à son exploitation et surtout ne pas se limiter à une comparaison de coûts d acquisition ; Prise en compte du risque résiduel : afin d aider au choix de telle ou telle solution, il est fortement recommandé d effectuer une analyse du risque qui portera sur les risques résiduels inhérents à chaque solution envisagée. Cette analyse permettra ainsi de faire une évaluation à la fois des probabilités d occurrence des risques identifiés mais aussi de leurs conséquences essentiellement financières. Un dernier élément pourra également être pris en compte concernant les aspects environnementaux de la solution envisagée afin d influencer et de donner la préférence aux systèmes les plus «propres». Recommandations Ainsi pour choisir une technologie d archivage, plusieurs points devront être abordés avec soin que nous allons maintenant décrire. Système de traçabilité Le système retenu doit intégrer des dispositifs capables de rendre compte des éléments de traçabilité. On peut à ce sujet se référer au pourvoi de la Cour de Cassation du 4 décembre 2008 sur ce point, Civ. 2, pourvoi n qui nous rappelle au sujet de la preuve électronique que «La partie qui produit une copie électronique dans un litige doit rapporter la preuve de l ensemble du cycle de vie du fichier électronique depuis sa création» et les obligations en matière d intégrité sont garanties par les éléments de traçabilité des actions qui eux-mêmes peuvent s appuyer sur des dispositifs de calcul d empreinte et des systèmes d horodatage certifiés. Remarque : Ce même pourvoi confirme par ailleurs que l écrit numérique doit respecter les dispositions de l article du Code Civil, et être horodaté. Interopérabilité et partage de ressources La question de l interopérabilité est fondamentale afin de ne pas s enfermer dans un système «propriétaire», si performant soit-il d autant que le plus souvent, l outil devra pouvoir communiquer avec les autres composantes du système d information ou partager des ressources. Cette notion d interopérabilité se retrouve également à l intérieur du système lui-même afin de permettre de changer l un de ses composants sans être obligé de changer l ensemble. Mutualisation/évolutivité Il peut être intéressant dans le cadre d une première implémentation d un système d archivage électronique de le considérer comme un véritable back bone d archivage destiné à être mutualisé avec d autres besoins déjà identifiés ou à venir et de prévoir ainsi son évolutivité. Ce dernier point est particulièrement sensible dans la mesure où il est effectivement très difficile de prévoir de façon relativement précise les volumétries à gérer d où l attention toute particulière portée à la solution technique qui devra permettre un maximum d évolutivité. Migration En complément à l'évolutivité, la possibilité de pouvoir changer de support avec un minimum de contrainte est essentiel, d'où l'importance portée à cette notion de migration. Il est donc nécessaire d'analyser de façon précise les modalités prévues pour permettre ces changements. Coûts directs et coûts associés Comme vu précédemment, il est important de ne pas comparer différentes solutions d archivage uniquement par rapport à leur prix d acquisition. Il est ainsi recommandé de pratiquer une véritable simulation d exploitation du système d archivage envisagé sur au moins trois ans, sans oublier d y inclure les coûts associés comme celui de la maintenance ou encore celui d au moins une migration de support sans oublier l administration du système, les copies de sécurité, voire d autres facteurs propres à l installation. Pérennité du constructeur/éditeur La pérennité du constructeur est à prendre en considération même si effectivement rien ne peut la garantir à 100 %. Ainsi la reprise ou le transfert des données, doivent être précisément envisagés (modalités et coût). Même en ayant recours à un tiers archiveur, la pérennité du fournisseur doit être analysée et les conditions de réversibilité clairement définies. 31

33 Les Solutions Fiche 8 Les logiciels Contexte Le marché propose aujourd hui un panel assez large et diversifié de solutions d archivage qui se précise et se complète d année en année. La typologie des produits va du coffre-fort à la solution générale qui englobe l archivage dans la gestion du cycle de vie complet des données (ILM). Les produits du marché mettent tantôt l accent sur la gestion de contenu, tantôt sur l archivage légal (l expression est répandue mais il serait plus exact de dire «archivage à valeur probante»). Ils visent tantôt l ensemble des données de l entreprise (incluant parfois les données sur les archives papier), tantôt un type d information ou un format de document bien spécifique, tel que les messages électroniques ou s. La recherche d un logiciel correspond à la meilleure relation entre son besoin et l offre du marché. Enjeux On peut dire que le choix d une solution d archivage comporte deux enjeux principaux : Sélectionner l outil le mieux adapté à sa situation : en effet, les entreprises n ont pas toutes exactement les mêmes besoins du fait d un certain nombre de caractéristiques : taille et ancienneté de l organisation, types de données et de processus, volumes à traiter, avantages et inconvénients des systèmes existants, exigences particulières de sécurité, fréquence des consultations, part réciproque de la gestion de la traçabilité (intégrité, suivi des modifications, pérennité) et de la gestion des connaissances (exploitations des contenus), etc ; Ne pas minimiser les aspects organisationnels de l archivage, en complément aux aspects techniques. En général des processus bien rôdés trouvent relativement facilement un logiciel d archivage adapté. Dans d autres cas, la difficulté ne provient pas forcément du fait que les logiciels ne sont pas a priori adaptés aux processus mais plutôt du fait que les processus sont euxmêmes inadaptés! Ne pas négliger l accompagnement du changement pour les utilisateurs : il s'agit d'un point très important, gage de succès de la mise en place d'une solution. Cet accompagnement devra ici éviter de maintenir des systèmes parallèles, ou pire, empêcher qu'ils ne s'en créent, sous prétexte que le logiciel ne répondrait pas à certains besoins des utilisateurs, ou plus grave que ceuxci croiraient qu il n y répond pas. Remarque : En matière de processus il ne faut pas hésiter à les repenser pour que la solution technique procure toute son efficacité et surtout pour éviter de complexifier inutilement les fonctionnalités de l outil. Ainsi, le fait de conserver un raisonnement «papier» en choisissant un outil logiciel, ou le fait de faire des développements en dehors des besoins réels des utilisateurs, peuvent conduire à des lourdeurs dommageables qui ne sont bien évidemment pas le fait de l outil au départ. Recommandations Pour l acquisition d un logiciel d archivage, plusieurs points devront être étudiés que nous allons maintenant détailler. Chiffrer les besoins d archivage La première étape consiste naturellement à bien définir ses besoins : gestion du cycle de vie des données ; volumes et types de données ; fonctionnalités de gestion et consultation, exigences de traçabilité et de destruction ; Evaluation des systèmes existants Le besoin une fois défini, il est important d évaluer en quoi les systèmes existants y répondent ou n y répondent pas. Il est recommandé de prendre en considération le fait que très souvent, à côté des systèmes «officiels», il existe des pratiques d archivage sur des systèmes parallèles (disques partagés, disques personnels, gravage de CD, etc.). Solution du marché, logiciel libre ou développement spécifique Chacune de ces approches a ses partisans. L essentiel est de bien prendre la mesure de ses choix, étant entendu que les changements de politique auront un coût qu il vaut mieux connaître et si possible éviter. Le recours à un tiers archiveur peut permettre de s affranchir de ce type de choix. Interopérabilité et partage de ressources La question de l interopérabilité est fondamentale afin de permettre une bonne évolutivité du système mis en place. Le plus souvent, l outil devra pouvoir communiquer avec les autres composantes du système d information ou partager des ressources telles qu une base de données ou un thésaurus avec d autres applications. De plus l interopérabilité avec l extérieur, même pour un outil d archivage, peut être un besoin fort et doit être étudiée avec soin en vue de s'intégrer par exemple à d'autres systèmes d'information. Facilités d indexation/moteur de recherche Vérifier les facilités d indexation automatique et d indexation par mots-clés et surtout la complémentarité ou la co-existence des deux systèmes, en fonction des besoins exprimés par les utilisateurs. Garder à l esprit le fait que l offre technologique accroît les besoins des utilisateurs (en d autres termes, l outil crée l usage). Vérifier éventuellement que l outil permet de hiérarchiser les résultats de recherche et de faire des recherches en cascade. Analyser dans quelle mesure le système d'indexation de base peut être complété avantageusement par un moteur de recherche, beaucoup plus exhaustif quant aux critères mais avec le risque de produire du «bruit» inexploitable. 32

34 Les Solutions Fiche 8 Les logiciels Accès/disponibilité (temps) Le temps d accès à l information est un critère de choix mais qui dépend largement du besoin de chaque entreprise : soit l accès à l information archivée est toujours urgent (besoins de chercheurs ou de juristes par exemple), soit il peut attendre plusieurs minutes voire davantage. Là encore, il est préférable d avoir défini ses besoins avant d'entamer la recherche de solutions adaptées. Même dans le cas du recours à un tiers archiveur les temps d accès doivent être garantis. Accès/habilitation (sécurité) De la même façon, les données archivées peuvent être hautement confidentielles (données commerciales) ou en partie publiques (certaines données administratives ou documentaires). Cet aspect devra être évalué en fonction du besoin identifié. Evolutivité/montée en charge de la volumétrie et des accès C est un point qui ne peut être évalué lors d une simple démonstration. Si la question de la volumétrie est importante, il faut obtenir des garanties de l éditeur et une démonstration grandeur réelle sur site de l éditeur ou mieux chez un de ses clients. Coût du logiciel/coûts associés Analyser l ensemble des éléments de facturation : serveur, client, microprocesseur. Il est fortement recommandé de faire une simulation d exploitation en règle générale sur trois ans sans oublier d inclure les coûts associés de maintenance (évolutive ou corrective) voire d autres types de coûts (cf fiche 11) Pérennité du fournisseur/éditeur La pérennité du fournisseur est à prendre en considération même si rien ne peut la garantir à 100 %. Ainsi la reprise ou le transfert des données, la récupération des codes sources par exemple à partir d'un dépôt, doivent être précisément envisagés (modalités et coût). Réorganisations de l entreprise Les réorganisations (y compris les fusions et acquisitions) font partie des événements courants de la vie des entreprises. En tant que partie prenant au système d'information, il est préférable que les systèmes d archivage soient compatibles ou du moins qu on puisse mutualiser les outils de recherche. Ceci plaide aussi pour des solutions modérément sophistiquées et des procédures unifiées. Unicité du logiciel d archivage L unicité du logiciel d archivage et/ou des processus associés pour l ensemble de l'entreprise n est pas systématiquement l idéal. Plusieurs logiciels peuvent ainsi cohabiter si cela est justifié par un partage des périmètres et des fonctionnalités (dans l espace ou dans le temps) d où l importance de l interopérabilité et d'une description précise de cet ensemble à l'intérieur des documents adaptés : politique d'archivage, déclaration des pratiques d'archivage, voire mise en œuvre opérationnelle. En complément à un logiciel interne il est également parfaitement possible d avoir recours au tiers archivage. 33

35 Les Solutions Fiche 9 Tiers archiveur Contexte Le fait de réaliser son archivage en interne, au-delà des aspects purement financiers, n est pas sans risque, particulièrement en matière de preuve. L Agence Nationale de la Sécurité des Systèmes d Information (ANSSI) fournit ainsi au moins deux bonnes raisons pour lesquelles l archivage externe est préférable, à savoir : la mutualisation et donc le partage des coûts, argument sensible pour des organisations petites voire moyennes ; le professionnalisme de la solution, gage supplémentaire de la force probante des éléments archivés qui ne peut être obtenu que grâce à une veille permanente des évolutions technologiques tant matérielles que logicielles. Le recours à un tiers archiveur peut également permettre de pallier les effets du principe de l article 1315 du Code civil selon lequel nul ne peut se préconstituer de preuve par soi-même. En France, la notion de tiers archiveur n est définie par aucun texte. L ANSSI le définit comme étant la personne physique ou morale en charge, pour le compte de tiers, de la réception, de la conservation et de la restitution de documents électroniques dont il doit garantir l intégrité. Par contre la loi Belge du 15 mai 2007 fixe un cadre juridique pour certains prestataires de confiance et définit ainsi le prestataire de service d archivage électronique comme toute personne physique ou morale qui offre un service de conservation de données électroniques, normalement contre rémunération et à la demande d un destinataire du service, la conservation de ces données électroniques étant un élément essentiel du service offert. Par «destinataire du service» cette loi entend toute personne physique ou morale qui, à des fins professionnelles ou non, utilise le service d'un des prestataires. Au-delà de cette simple définition la loi belge précise les obligations communes des prestataires de ces services de confiance, qu il nous paraît intéressant de reproduire ici, à savoir : faire preuve d'impartialité vis-à-vis des destinataires de leurs services et des tiers ; s interdire de détourner, à quelle que fin que ce soit, les données qui leur sont transmises ; mettre en œuvre, compte tenu de l'état de la technique, des moyens raisonnables en vue de préserver la sécurité des données qui leur sont transmises, et notamment d'empêcher qu'elles soient déformées, endommagées ou accessibles à des tiers non autorisés ; fournir aux destinataires de leurs services, avant la conclusion du contrat, un accès facile et direct aux informations suivantes formulées de manière claire et compréhensible : 1. les modalités et conditions précises d'utilisation de leurs services ; 2. le fonctionnement et l'accessibilité de leurs services ; 3. les mesures qu'ils adoptent en matière de sécurité ; 4. les procédures de notification d'incidents, de réclamation et de règlement des litiges ; 5. les garanties qu'ils apportent ; 6. l'étendue de leur responsabilité ; 7. l'étendue de la couverture d'assurance ; 8. les modalités et conditions précises du recours au service de confiance, y compris les limites imposées à ce recours, principalement en ce qui concerne les effets juridiques attachés au service de confiance ; 9. si le service de confiance s'est déclaré, le numéro d'accréditation attribué au prestataire par l'administration ; employer du personnel ayant les compétences spécifiques nécessaires à la fourniture de leurs services ; soumettre leur personnel à une obligation de confidentialité ; disposer des ressources financières suffisantes pour fonctionner conformément aux exigences prévues par la loi, en particulier pour endosser la responsabilité de dommages, en contractant en tout cas une assurance appropriée. L intérêt se fait de plus en plus grand pour l externalisation de l archivage et en particulier auprès de sociétés privées. La loi du 15 juillet 2008 réglemente cette activité pour les archives publiques et autorise désormais, sous certaines conditions, la possibilité d avoir recours à des tiers privés pour ce qui est des archives intermédiaires. Cependant il est important de préciser que quoi qu il en soit, la responsabilité du tiers archiveur s exerce dans les limites de la maîtrise de son dispositif technique ; le laboratoire restant responsable des données archivées. Faire appel à un tiers archiveur présente un certain nombre d'avantages, à savoir : Disposer d'une garantie d'intégrité de ses données et ne pas pouvoir être suspecté de les avoir modifié ; Mettre l information à disposition d un tiers sans utiliser les ressources internes ; Pouvoir évoluer sans limitation (capacité de stockage, technologies) et sans avoir à mettre en place un système de veille tant technique que juridique ; Accéder à l information sans dépendre d un applicatif ; Avoir une garantie de disponibilité de service 24h/24 ; Ne pas avoir à développer de compétence en interne ; Limiter les investissements et maîtriser les coûts de fonctionnement ; Mise en service rapide à coût modéré ; Intégration à l infrastructure existante de façon non intrusive ; Facturation à la consommation ; etc... Enjeux Dans le secteur privé et en l absence de cadre légal, des exigences contractuelles ont été développées tenant compte des principes applicables en matière d archivage, à savoir : fidélité, durabilité, intégrité, identification. 34

36 Les Solutions Fiche 9 Tiers archiveur Pour l obligation qui pèse sur le tiers archiveur on se tournera plus naturellement vers une obligation de résultat plutôt que de moyens. Ainsi en cas de défaillance du service, la faute est présumée et la charge de la preuve repose sur le tiers archiveur qui doit alors démontrer la force majeure, le fait du tiers ou le fait du client pour s exonérer de sa responsabilité. Dans le même ordre d idée nous rappelons ici la première décision rendue le 22 octobre 1996 par la Chambre commerciale de la Cour de cassation, concernant la société Chronopost, la Cour avait alors affirmé, sous le visa de l article 1131 du Code civil qu en tant que, «spécialiste du transport rapide garantissant la fiabilité et la célérité de son service, la société Chronopost s était engagée à livrer les plis de la société X dans un délai déterminé, et qu en raison du manquement à cette obligation essentielle (de livraison dans les temps) la clause limitative de responsabilité, qui contredisait la portée de l engagement pris, devait être réputée non écrite». Ainsi un tiers archiveur qui tenterait de limiter sa responsabilité du point de vue contractuel pourrait se voir opposer cet arrêté en cas de défaillance de son service et son incapacité à restituer tout ou partie de l information qui lui aurait été confiée par un client. De plus, en raison du risque pénal lié à la loi du 6 janvier 1978 relative à l Informatique et aux libertés, le contrat d archivage devra comporter les dispositions suivantes : identifier le responsable du traitement, défini comme la personne qui détermine les finalités et les moyens du traitement (en principe, l entreprise, cliente du tiers archiveur) ; convenir que le responsable du traitement garantit avoir accompli les formalités préalables requises par la loi Informatique et libertés ; préciser que le tiers archiveur ne peut agir que sur instruction expresse du responsable du traitement ; s assurer que le tiers archiveur présente des garanties suffisantes pour assurer la sécurité et la confidentialité des données ; préciser quelles sont les mesures techniques et organisationnelles mises en œuvre pour assurer la sécurité et la confidentialité des données. S appuyer sur un tiers est sans doute utile, mais ce n est pas pour autant une «assurance tout risque». Un mode de traitement du risque peut consister à le transférer à un tiers qui saura mieux le gérer. Par exemple on pourra recourir à un tiers archiveur afin de ne pas être suspecté d avoir falsifié ou manipulé des données. Quoi qu il en soit le client reste entièrement responsable des informations qu il confie à un tiers et ne pourra s abriter derrière ce prétexte pour échapper à la fourniture desdites informations. On décèle ici les limites de la responsabilité du tiers de confiance qui ne peut se substituer à l entreprise que pour un nombre limité de fonctions techniques et procédurales, par exemple, la délivrance d un jeton d horodatage certifié, la fourniture de certificats, d accusés de réception, la restitution de données intègres ou encore l activité de veille. Recommandations Les principales exigences que devra comporter le contrat avec le tiers archiveur sont présentées ci-après : Politique d archivage Obligation de conseil Cryptologie Traçabilité Le prestataire reconnaît avoir pris connaissance de la politique d archivage du Client ; en particulier, il déclare avoir pris connaissance de la finalité probatoire de celle-ci. Il déclare et garantit que la solution d archivage objet du contrat est conforme à cette politique d archivage. Si le client ne dispose pas de sa propre politique d archivage, s appliqueront les conditions de la politique d archivage du tiers archiveur. Le prestataire est débiteur d'une obligation d'information, de conseil et de mise en garde renforcée Le prestataire garantit ne recourir qu à des moyens de cryptologie conformes à la législation en vigueur Le prestataire garantit que le système qu il met en place est capable d'assurer la traçabilité et l'horodatage de toutes les opérations effectuées, que ce soit dans le cadre d'un usage normal (maintenance) ou anormal (fraude, malveillance, accident) du système et ce, de manière irréversible. 35

37 Evolutions Propriété intellectuelle Engagements de qualité de service/pénalités Normes/certification Accès distant Informatique et libertés, confidentialité des données, accès et suppression Réversibilité Responsabilité / Assurance Audit Restitution Le prestataire s engage à adapter le système d archivage aux évolutions juridiques, normatives et à l état de l art Le prestataire décrit de manière détaillée les modalités de modification du service et s engage à solliciter l accord préalable écrit du client en cas de changement significatif La mise à disposition des documents au prestataire ne confère aucun droit d usage ou une quelconque licence au prestataire sur les droits de propriété intellectuelle y afférents Engagement général de forte réactivité. Garantie de disponibilité du système (maintenance comprise) Garantie de temps de rétablissement Garantie de temps d intervention Pénalités à caractère non compensatoire et non libératoires Le prestataire garantit la conformité aux normes applicables ainsi qu à l état de l art et si possible son service pourra faire l objet d une certification Le prestataire garantit l accès permanent et sécurisé aux documents par le seul client par un mécanisme d authentification forte Engagement du prestataire de n agir que sur instruction expresse du responsable du traitement. Le prestataire garantit le respect de la sécurité et de la confidentialité des données et décrits les mesures techniques et organisationnelles mises en œuvre. Le prestataire s engage à ne communiquer les documents archivés qu aux destinataires définis par le client, y compris à l expiration du contrat. La destruction éventuelle des documents ne peut être réalisée que sous le contrôle exclusif du client, selon une procédure d authentification forte avec une traçabilité assurée. Engagement du prestataire quant à la réversibilité de la prestation et détail des conditions de cette réversibilité, modalités techniques et financières. Obligation de résultat pour l'ensemble des engagements. Indemnisation des dommages directs sans pré-qualification des dommages indirects tels que perte de bénéfices, perte de clientèle, perte de marché. Absence de pré-qualification des cas de force majeure. Garantie par le prestataire de la souscription d'une assurance responsabilité civile professionnelle Droit de pouvoir auditer ou faire auditer par un tiers les conditions d'exécution des contrats, et notamment la sécurité physique et logique de la solution d archivage, ainsi que la procédure de réversibilité En toutes circonstances, le prestataire garantit la restitution des données à la première demande du client 36

38 Compléments Fiche 10 Archivage des s Contexte Le phénomène du mail est à la fois très particulier et très représentatif de l évolution technologique et de ses conséquences, bonnes ou mauvaises. Arrivé il y a un peu plus de dix ans, il est aujourd hui largement répandu tant en usage professionnel que privé alors que rien ne le règlemente réellement, surtout au niveau de ce que l on pourrait qualifier de «bon usage». En effet chacun réagit en fonction de ses propres ressentis quant à la façon de rédiger un , de l utilisation ou non de pièces jointes et des personnes à mettre en copie, simple ou cachée. Le résultat en est une totale anarchie de fonctionnement et une augmentation gigantesque de la volumétrie à archiver que l on nous prédit à plus de 7000 Po dès 2010 (source Gartner). Rappelons tout de même que : 100 mégaoctets (Mo) représentent le contenu d une pile de livres de 1 mètre de haut, 2 téraoctets (To 1012 octets) correspondent à tous les ouvrages d une bibliothèque universitaire et 2 pétaoctets (Po) aux fonds de toutes les bibliothèques universitaires des Etats-Unis! Face à cette augmentation de la volumétrie le réflexe a souvent été de l équilibrer avec la baisse rapide des prix du stockage, même si au final le budget stockage augmentait. Or nous atteignons actuellement de tels niveaux que cette baisse n est plus suffisante pour garantir une sorte de stabilité du budget alors même que la grande majorité des entreprises impose sa diminution. Par ailleurs la solution au problème de stockage ne répond pas pour autant à la capacité à retrouver de l information parmi de tels volumes. Enfin pour les s, il est triste de constater que malheureusement, la majorité des services informatiques, brident leurs utilisateurs en leur imposant une taille limitée de boîte aux lettres alors même que des solutions beaucoup plus efficaces et surtout rationnelles existent pourtant (voir le livre blanc de FedISA sur le sujet : Conserver les courriers électroniques ou comment résoudre la problématique de l archivage des s). Outre son rôle de vecteur de communication, l' constitue également un support de plus en plus essentiel des relations avec ses fournisseurs et ses clients sans oublier l outil de marketing. On est ainsi amené à lui faire jouer un rôle de plus en plus central et à devoir le considérer comme une application critique. Le Gartner estime que, en dehors des applications métier, 50 à 75 % de l information utile dans l entreprise est échangée de personne à personne d où l accent sur la valeur juridique de l' et ses implications. En matière d'archivage des s, la mise en place d un tel système doit également simplifier la gestion des s au quotidien et bien évidemment leur conservation dans le temps, tant du point de vue de l utilisateur, que du directeur informatique, du chef d entreprise et ce tout en respectant les aspects légaux et réglementaires : Côté utilisateur, il y a l exigence d un confort maximum à pouvoir retrouver ses s facilement sans pour autant être systématiquement obligé de les organiser par dossier et autre sous dossier. Cette classification montre d ailleurs très vite ses limites lorsqu un peut être rattaché à deux dossiers différents ; Côté directeur informatique, les s représentent vite un véritable cauchemar compte tenu de l évolution à la fois de leur nombre et de leur volume moyen. La solution la plus souvent mise en place consiste à limiter radicalement la taille des boîtes de chaque utilisateur. La solution mise en place doit justement permettre de maîtriser la volumétrie sans contraintes pour l utilisateur. Il faudra si possible être capable d éliminer les s qui ne justifient pas d être conservés mais toutefois avec la certitude de ne pas éliminer des s potentiellement utiles ; Côté chef d entreprise, il s agit d avoir la garantie de ne pas perdre d information stratégique ou non, qu il s agisse d un aspect commercial, technique, comptable ou financier voire patrimonial. Cette garantie de conservation est aujourd hui essentiellement dictée par des obligations légales et réglementaires sachant que de plus en plus de contraintes naissent en la matière, généralement dictée par un souci d historisation et de traçabilité de l ensemble des opérations au sein de l entreprise. Cette conservation devra se faire dans le respect des règles pesant également sur les données à caractère personnel. L' est en fait à lui tout seul représentatif de l ensemble des problématiques rencontrées pour tout système d archivage électronique. L archivage des s pose ainsi des problèmes techniques dus au fait que l on a à gérer un grand nombre d items pour un volume donné (à l extrême, les index d un vont occuper plus de place que l' lui-même). On doit également largement prendre en compte les aspects juridiques et réglementaires comme la conservation de la trace des échanges, sans parler des pièces jointes ou encore le respect des données à caractère personnel selon les exigences de la CNIL. Remarque : L peut être considéré comme un simple vecteur de transmission, un système de communication parmi d autres qui permet d envoyer des documents en pièces jointes. Dans pareil cas il est clair qu il n y a aucune spécificité a priori en matière d archivage de contenu mais attention au fait qu il peut avoir une véritable «valeur» dans la mesure où il va permettre de garder la trace d un échange. Dans la majorité des cas, l , en plus de cette notion de trace, véhicule de l information en son sein même et doit donc être considéré comme un type particulier de document dont l archivage doit être analysé avec soin compte tenu de cette dualité et des enjeux décrits ci-après. Enjeux La mise en œuvre d une solution d archivage d s doit permettre d offrir à l utilisateur une importante capacité de stockage de ses messages, tout en garantissant leur conservation dans le temps et en optimisant leur gestion. L archivage des s répond ainsi à de multiples enjeux : 37

39 Organisationnel : la messagerie est devenue indispensable et incontournable dans la vie quotidienne de toute organisation. Les serveurs se multiplient ce qui entraîne forcément une complexité de l exploitation. L archivage des s doit permettre une exploitation efficace des échanges et du système informatique de l entreprise ; Sécuritaire : la volumétrie des s est importante, croît fortement et continuellement tant en nombre qu en volume. Si les procédures de sauvegarde sont rendues difficiles, c est donc la sécurité des données qui est remise en cause et l archivage des s doit entre autre permettre une rationalisation de leur sauvegarde ; Juridique : en complément au point précédent, le principal risque est de ne pas pouvoir produire en cas de besoin les données requises dans une forme recevable. Rappelons à ce sujet que les données doivent être archivées en respectant a minima les caractéristiques d identifica- tion, d intégrité et d intelligibilité leur permettant ainsi d être retenues comme élément de preuve le cas échéant ; Financier : au niveau financier l enjeu est multiple avec en premier lieu la conséquence sous forme d amende ou de condamnation, liée à la non production de données en cas de litige. En second lieu nous attirons également l attention sur un autre phénomène à ne pas négliger qui relève du temps passé à la recherche d information ou encore d investissements perdus dans des outils non maintenus dans le temps. Enfin de façon plus classique la mise en place d un archivage d s permet un gain direct au niveau des espaces de stockage et des procédures de sauvegarde ; Technique : l enjeu technique est également double avec les problèmes d interopérabilité entre systèmes, et le défi de pérennité des données sur le long terme, face à l obsolescence rapide des supports et des formats. Recommandations Outre les besoins globaux et génériques exprimés précédemment au sujet des s et pour lesquels l archivage apporte une véritable solution, il n en reste pas moins vrai que la première tâche consiste à évaluer ses besoins en détail, c est-à-dire archiver quoi, pourquoi et pour combien de temps? Afin d aider à cette définition de besoins, il est recommandé de répondre de manière appropriée aux questions suivantes : Quels sont les s à archiver parmi l ensemble géré? Quelle est la criticité des données véhiculées par les s? Quelles sont les exigences de conservation? Quelles exigences d intégrité et de sécurité doit-on assurer? Quelle est la volumétrie à traiter? Quels accès? Les s à archiver représentent en général une minorité de l ensemble de ceux qui sont produits et reçus dans le cadre des activités de toute organisation. Il faut donc si possible parvenir à classifier les s afin de pouvoir décider de ceux qui entreront dans le processus de conservation et si possible élaborer des priorités par rapport à des notions comme, la valeur de l information, le caractère légal et réglementaire, les données à caractère personnel ou encore la mémoire historique. Il s agit si possible d évaluer et de préciser : la sensibilité de l information (confidentielle, difficile à reconstituer), ou au contraire information courante ; la disponibilité, c'est-à-dire les conditions de la consultation (fréquence et rapidité) selon les types de données. Le système d archivage doit assurer la maintenance des données jusqu à la fin du cycle de vie de l information. Cette durée peut aller de quelques mois à plusieurs décennies, voire ad vitam aeternam. La durée de conservation est déterminée soit en application des textes légaux et réglementaires, soit par analogie avec ces textes en fonction du risque de contentieux, soit par métiers en fonction de la réutilisation prévisible de l information ainsi archivée. Si les données doivent être restituées dans un environnement juridique ou dans le cadre d un audit, il est impératif qu elles respectent certaines conditions. En fait la loi de mars 2000 fait ressortir quatre éléments fondamentaux : Intelligibilité de la donnée ; Intégrité du contenu depuis son origine ; Identification de l auteur ou des auteurs de l information ; Pérennité de l information. Au niveau des s il est important de faire la distinction entre le nombre d s et la volumétrie en termes d espace de stockage. La maîtrise de ces éléments est indispensable afin de pouvoir estimer correctement les besoins. La question de l accès comporte plusieurs aspects : les droits d accès, définis en fonction du profil des utilisateurs (notion d habilitation) : accès à tout ou partie des informations, restrictions d accès, évolution dans le temps ; la possibilité de recherche d information via des mots-clés (indexation automatique ou manuelle) ou à l aide d un moteur de recherche, assorti ou non d un thésaurus. 38

40 Le Cadre Fiche 11 Coûts de l'archivage Contexte Comme pour tout projet, il est indispensable voire naturel d évaluer les coûts liés à l archivage électronique. Nous donnons ci-après les éléments clés à prendre en compte afin d optimiser le retour sur investissement et minimiser l'ensemble des coûts d'une solution d archivage, à savoir : Le prix d acquisition qui comprend les coûts du matériel, du logiciel, des services d installation et de mise en œuvre, de la formation et les coûts de maintenance. Remarque : Afin de pouvoir comparer différentes solutions il est intéressant de pouvoir ramener si possible ces coûts au Giga-octet utile. Ceci afin de mettre en avant certaines solutions qui permettent d atteindre des taux d utilisation (rapport entre espace utilisé et espace alloué) très élevés, grâce à des mécanismes avancés de gestion de l espace (allocation au plus fin, sur-allocation, instantanés, déduplication, ). Le coût d un service de tiers archivage, à opposer au prix d acquisition traditionnel ; Les coûts d exploitation (internes) ; La charge d exploitation que génère la solution pour sa gestion au quotidien correspondant aux ressources humaines nécessaires pour préparer l archivage, gérer les données archivées et restituer l information aux utilisateurs. Le constat a été fait que le coût humain est toujours plus important que le coût matériel ; Les coûts liés à l espace en salle machine, la consommation électrique, les besoins en ventilation. Les coûts liés aux arrêts de service ; Coût des arrêts planifiés ; Coût des arrêts non planifiés causés par des incidents matériels, logiciels, ou dus à une erreur humaine ; Coût du risque légal lié au processus de recherche (audit, ). Remarque : Les solutions qui nécessitent peu de plages de maintenances (nombre et durée) et qui présentent une disponibilité maximale mais aussi des temps de restauration rapides seront à privilégier dans la mesure où la disponibilité de l archive est très importante pour permettre aux utilisateurs d accéder à leurs données facilement mais également pour permettre à un auditeur de trouver la pièce recherchée dans le délai imparti. L éventuelle mutualisation des coûts avec d autres solutions de stockage ou d archivage. En vue d analyser la rentabilité de telle ou telle solution, les coûts précédents seront à comparer à d autres types de coûts indirects qui résultent d un non archivage, comme : Le temps perdu à rechercher des informations pas ou mal archivées ; Le coût des solutions techniques mal adaptées qui provoquent des systèmes parallèles ou imposent un renouvellement prématuré des matériels ; Les amendes, sanctions et éventuels redressements, conséquences de l impossibilité pour l entreprise de produire le document exigé par les autorités ou de prouver son authenticité, ou encore par suite de la conservation de données personnelles dont la destruction est pourtant réglementaire mais n'aurait pas été suivie d'effet. Enjeux Deux objectifs sont prioritaires dans l approche du coût de l archivage électronique : Trouver le bon rapport coût/efficacité : des solutions techniques et des outils méthodologiques trop sophistiqués feront de l archivage une contrainte trop lourde pour les utilisateurs qui seront alors tentés de contourner le système. De même, des outils sous dimensionnés en termes de volumes, de fonctionnalités ou de points de contrôle produiront un archivage qui ne sera pas fiable et qui présentera donc des risques plus ou moins élevés pour l entreprise. A ce niveau on pourra raisonnablement se poser également la question de choisir entre faire ou faire faire ; Identifier et hiérarchiser les risques (essentiellement financiers) du non archivage afin de définir les données ou services prioritaires et programmer les dépenses en fonction de ces risques. 39

41 Recommandations Le type de recommandations que nous pouvons donner ici est avant tout guidé par une attitude de bon sens. Chaque organisation doit analyser ses coûts en fonction de ses propres besoins et par rapport à ses risques potentiels. Par contre il est essentiel qu une étude des coûts prenne en compte tous les aspects qui entrent en jeu lors de la mise en place d un système d archivage électronique. Exhaustivité des coûts Migration Autres coûts Suivi de projet Valeur de l information Mesurer son archivage Faire ou faire faire Afin d être aussi exhaustif que possible nous recommandons une simulation d exploitation complète du système d archivage, sur au moins trois ans. Une telle simulation aura également pour mérite de pouvoir prendre en compte l amortissement du matériel et surtout permettra véritablement de comparer une solution d acquisition interne à une solution externalisée. Une durée de simulation d exploitation du service d archivage supérieure à trois ans permettra par ailleurs d anticiper et surtout de prendre en compte les coûts d'au moins une migration de support. Ne pas oublier de simuler des incidents afin d anticiper des coûts de restauration et de mettre en avant certains manques par exemple en matière d assurance. La mise en place d'un système d archivage électronique doit être géré comme un projet à part entière et en ce sens il est important de prévoir d autres coûts comme : Communiquer sur les conséquences du non archivage au niveau global de l organisation ; Faire en sorte que les exigences d archivage soient prises en compte par l ensemble des métiers et fonctions de l organisation ; Accompagner le changement par des actions de sensibilisation et de formation de l ensemble des utilisateurs concernés. En fonction par exemple de la disponibilité à assurer, les coûts peuvent être très différents. Par ailleurs il est clair que toutes les données n ont pas la même valeur ou criticité pour l organisation en regard entre autres, des conséquences financières qui en découleraient si ces données étaient perdues. On aura donc soin de définir différents niveaux de service d archivage de telle sorte que l archivage de données vitales coûte légitimement plus cher que d autres. Même s il n existe pas à ce jour d indicateurs spécifiques destinés à l évaluation de la performance d un système d archivage, il est néanmoins recommandé de la mesurer en calculant par exemple son coût annuel incluant l identification, la capture, la gestion, la maintenance, l accès et la destruction des données, ainsi que l évolution de ce coût au fil des ans. La logique de mutualisation peut dans certains cas conduire à choisir une solution externalisée. En fait chaque organisation est soumise à ses propres contraintes et l analyse du faire ou faire faire doit être abordée avec soin en prenant en compte un ensemble de critères pas seulement quantitatifs. Par ailleurs il est également parfaitement possible de recourir à plusieurs solutions articulées en fonction de la nature des données. Certaines données stratégiques pourraient par exemple être externalisées pour des raisons de confidentialité alors que les autres seraient archivés en interne. Enfin l important est de garder une vision globale des solutions utilisées afin d en maîtriser les coûts. 40

42 Annexes Annexe 1 Tableau des durées de conservation suggérées pour laboratoires Catégorie Sous-catégorie Durée d archivage proposée Réglementation ou justification Cahiers de laboratoire Durée de vie du projet + 10 ans Aucune donnée réglementaire - des services R&D si pas d'étude clinique ou dépôt d'amm Expérience Rapports d'études Avec AMM Durée de commercialisation 15 ans après la fin de la recherche du produit + 15 ans biomédicale ou son arrêt anticipé voir cliniques Sans AMM 15 ans après la fin de l'étude clinique plus dans le cas où dossier AMM Dossiers d'enregistrement de médicaments Durée de commercialisation du produit + 10 ans SFSTP recommande date de péremption du dernier lot commercialisé + 5 ans. Dossiers de lot de un an après date de péremption fabrication (trace des Dossiers Production 10 ans avec minimum de 5 ans après évènements et la libération du lot (BPF). opérations relatives à SFSTP : Un an après date de péremption la fabrication d'un lot Matière Première 10 ans du lot / substance actives : 3 ans de produit) après distribution complète du lot. Contact clients/agences Gestion du Personnel Quality Agreement Durée de commercialisation du produit Aucune donnée réglementaire ans Expérience Audit client (planning, rapport) 30 ans Inspection agence, FDA (planning, rapport) 30 ans SFSTP recommande 30 ans Autorisations d'ouverture Vie de l'entreprise Aucune donnée réglementaire - Expérience SFSTP recommande de conserver Etat des lieux 10 ans le dernier à jour (mais AFSSAPS conserve 10 ans) 10 ans après le départ de la personne En général (ou après intervention pour Pas de recommandations BPF une entreprise extérieure) Cas particulier : Exposition aux produits CMR (cancérigènes, Vie de l'entreprise mutagènes, toxiques pour la reproduction) Matériel Qualification, Procédure, Durée de vie du matériel ou Non précisé mais recherche cohérence (yc matériel Logbook, du système informatisé avec durée dossier de lot (puisque informatique) Maintenance, + 10 ans le matériel sert pour la fabrication du lot) Documents Qualité Formulaire de déviation, CAPA, Change, 10 ans Cohérence avec durée dossier de lot Validation, Procédure et audit interne 30 ans SFSTP recommande 30 ans 41

43 Annexes Annexe 2 Tableau récapitulatif des exigences réglementaires principales se rattachant à la signature électronique. Qualités requises pour une Signature Electronique Exigences 21 CFR part11 associées Solution générale basée sur PKI. Valeur probante reconnue en externe Autres usages assurant une valeur probante interne démontrable à une autorité réglementaire Garantir l'intégrité du document B.50 B.70 Intégrité assurée par la signature d'une emprunte propre au document Intégrité assurée et vérifiée par un contrôle strict des droits d'accès et un calcul d'empreinte, Stockage sur support WORM, Formats réputés non modifiables en dehors du logiciel propriétaire. Garantir l'identité du signataire C.100.b C.100.c Certificat & Chaîne de confiance Annuaire interne et procédure associée à la création et à la révocation de droits d accès. Garantir l'authenticité du signataire C.100.a C.200.b C.300 Certificat & Chaîne de confiance permettant d'associer à une clé publique électronique une personne physique. Saisie d un mot de passe associé à l identité de l utilisateur, Système de carte/token qui assure une authentification forte, Procédure de gestion des mots de passe (resp. carte/token). Assurer l'acte volontaire de signature C.200.a En général, saisie d'un mot de passe pour accéder à la clef privée du certificat et procédure de validation amont Souvent la saisie d un mot de passe ou code et d un motif. Garantir l'horodatage de la signature B.50.a Autorité d'horodatage Date/Heure du système associé à une procédure de maintenance et vérification régulière de la mise à l heure système des serveurs et postes. Possibilité de vérifier la signature A.3.b.5 + (A.1.e B.10.b B.50.b) Possible facilement si accès au document signé, aux certificats de la chaîne de confiance et aux listes de révocations. Impression de la date/heure/motif/nom du signataire dans un rapport issu du système et considéré comme élément probatoire, Affichage propre à l application qui permet une vérification à la demande. L'archivage des enregistrements signés doit prendre en compte l'archivage de leur signature. L objectif est de répondre sur la vérification de la signature à tout moment. B.50.b B.70 La signature peut généralement être intégrée à l enregistrement même pour faciliter son archivage conjoint ; certains formats comme le PDF peuvent par exemple embarquer la signature au sein même de leur structure. Remarque : La définition d une implémentation précise assurant la fiabilité de cette problématique est en cours (Groupe de travail Fedisa sur le sujet). Possibilité d'avoir recours à une AGP, Autorité de Gestion de Preuve qui vérifie la signature en amont et garde valide la trace de cette vérification. Le problème est à traiter avec chaque format de signature et d archivage proposé. La problématique de l archivage des enregistrements considérés comme signés avec une solution propre est donc une des contraintes techniques les plus délicates et les plus ouvertes qui demandent de traiter une à une les exigences citées plus haut. 42

44 Tour Franklin 100/101 Quartier Boieldieu Paris La Défense Cedex Tél. : Fax : Siren , avenue Victor Hugo Paris Tél./fax [email protected] Conception Réalisation - Tél. : /78 Produit imprimé sur papier certifié PEFC/