DÉMATÉRIALISATION ET ARCHIVAGE PROBANT DES DOCUMENTS ÉLECTRONIQUES DANS LE CONTEXTE JURIDIQUE FRANÇAIS

DÉMATÉRIALISATION ET ARCHIVAGE PROBANT DES DOCUMENTS ÉLECTRONIQUES DANS LE CONTEXTE JURIDIQUE FRANÇAIS

1 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Avant-propos Augmentation exponentielle des volumes de données, optimisation de la gouvernance d organisation, «risk management», judiciarisation croissante des affaires, contraintes réglementaires et législatives de plus en plus fortes la parfaite maîtrise de l information et des documents produits et reçus dans le cadre de vos activités est devenue un enjeu majeur. La solution au problème de conservation et de gestion des données n est pas de démultiplier chaque année les capacités de stockage comme cela est aujourd hui le cas dans la plupart des organisations. L essentiel est de ne conserver que l information utile et vitale, autant de temps que cela est nécessaire, et de la rendre facilement disponible aux utilisateurs habilités, dans un environnement sécurisé. Pour cela, il faut repenser les processus et les méthodes de gestion de l information. La mise en œuvre de votre système d archivage électronique doit s appuyer sur une démarche projet sans faille impliquant très en amont lles référents métiers, les records managers et les archivistes. Elle doit intégrer l ensemble des facteurs clés suivants : > Les nouvelles obligations légales et réglementaires, > Les évolutions de vos processus internes, liées à la dématérialisation et à la place occupée par le numérique dans les échanges, > L obligation d accéder de façon quasi instantanée à l information afin d optimiser la relation client, > L évolution technologique permanente et rapide qui oblige à tenir compte le plus tôt possible des modalités d archivage. Il est essentiel de garder à l esprit que les archives électroniques relèvent de la même autorité que les archives papier et que le support ou le format des documents ne change rien. En revanche, si les obligations et les objectifs sont identiques, les processus de gestion sont très différents. En particulier, les intervenants sont plus nombreux et doivent travailler en concertation : archivistes, records managers, responsables organisation, juristes.... Considéré comme une contrainte ou une mission annexe, l archivage a longtemps été sous-estimé. Aujourd hui, principalement grâce à la dématérialisation et à l'avènement du numérique, la maîtrise de l information est au centre de nombreuses interrogations. Sa valeur devient évidente. La mise en place d une politique d archivage pérenne est un élément essentiel d optimisation et de réduction des coûts. Elle est aussi l expression et l un des moteurs de la bonne gouvernance des organisations. C est dans ce contexte de mutation rapide et profonde, qu Everial a souhaité faire part de son expertise technique, juridique et opérationnelle. Spécialiste de l'archivage des documents physiques et électroniques, Everial est un prestataire de services en très fort développement. Ses plateformes techniques à haute performance, ses processus continuellement améliorés et son personnel qualifié permettent d élaborer des solutions mutualisables et d offrir à ses clients des prestations haut de gamme et à moindre coût. Everial répond ainsi aux besoins des organisations quelles que soient l importance de leur projet et la complexité des exigences qu elles accordent à l archivage électronique. Ce Livre blanc est destiné aux décideurs des entreprises, des organisations et des administrations. Il leur apporte une vision stratégique des aspects techniques, juridiques et normatifs de l archivage électronique des informations et des documents.

Table des matières n Avant-propos 2 n Introduction 6 n Document électronique et cycle de vie 9 Étape de gestion 10 Étude d archivage 11 Retour au cycle de vie 12 n Document électronique et cadre juridique 14 Conservation électronique des documents de l entreprise 14 Le document électronique comme moyens de preuve 17 Le cas spécifique des données à caractère personnel 19 Spécificités du secteur public 24 n Document éléctronique et cadre normatif 29 La norme ISO 30300 de système de management 30 La norme ISO 15489 «Records management» 31 La norme ISO/FDIS 14641-1 : 33 Les normes connexes 34 L intérêt des deux familles de normes 34 La validation des solutions d archivage électronique 35 n Que faut-il faire? Pour quels documents? 38 Le cas des e-mail 39 n Démarches et solutions 41 Les solutions techniques 41 Les solutions de services 45 n Retour d expériences 48 Cas pratique détaillé 1 48 Cas pratique détaillé 2 49 Cas pratique détaillé 3 50 Cas pratique divers 52 n Questions fréquentes 53 n Enjeux et bénéfices attendus 57 n Bibliographie 58 n Les contributeurs 60 n À propose d Everial - www.everial.com 62

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Introduction «Les documents papier vont inexorablement être remplacés par des documents électro niques» En se mondialisant, les mécanismes d échange et de communication des biens et des services se sont progressivement dématérialisés. Les organisations interagissent désormais au cœur d une économie numérique. Elles échangent des informations et des documents, avec d autres organisations et d autres individus (clients, fournisseurs, administrations, organismes publics...) : bons de commande, factures, relevés bancaires, documentations techniques, brevets, contrats, bulletins de paie, formulaires Encore majoritairement traités sous forme papier, ces documents seront inexorablement remplacés par des documents électroniques. L évolution des techniques informatiques et l adaptation des textes législatifs et réglementaires permettent et encadrent cette migration. Ces deux tendances conduisent à la mise en place de nouvelles pratiques et de nouveaux processus de gestion. Ils sont porteurs de gains de productivité et d avantages concurrentiels particulièrement significatifs. En revanche, l évolution des techniques et l adaptation du domaine réglementaire nécessitent de nouvelles organisations et l accompagnement à ce changement. C est dans ce contexte que ce Livre blanc trouve sa place, avec une double ambition : > être un document explicatif des aspects techniques et juridiques de la dématérialisation et de l archivage des documents sous forme électronique, en France, > être également un document d accompagnement, voire d incitation au changement, par la présentation de réalisations qui confirment les méthodes recommandées. Ainsi, pour atteindre ces objectifs, ce Livre blanc décline les chapitres suivants : > le chapitre 1 rappelle ce qu est un document électronique et présente le concept de «Cycle de vie». Il précise la distinction entre document numérique et document numérisé, > le chapitre 2 présente le contexte juridique français. Il souligne les incidences des systèmes de gestion et d archivage électroniques en matière de preuve et les obligations qui reviennent aux organisations, > le chapitre 3 introduit et commente les principales normes en matière de gestion des informations et des documents électroniques, > le chapitre 4 recommande une démarche d analyse de la situation existante afin de définir les objectifs d un système d archivage électronique, > le chapitre 5 fait état des solutions techniques et des solutions de services possibles qui s offrent aux organisations, > le chapitre 6 présente quelques réalisations de clients Everial, > le chapitre 7 répond aux questions fréquentes lors d'un avant-projet archivage électronique, > enfin, le chapitre 8 commente les enjeux et les bénéfices d un projet d archivage de documents sous forme électronique.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Document électronique et cycle de vie «La production d un document est l aboutissement d un processus de création, de production et de diffusion relativement complexe» Un document est à la fois un support d informations et un moyen d échange. Il se caractérise principalement par sa mise en page, ses dimensions physiques, son volume en nombre de pages et ses contenus (texte, graphique, image). La majorité des documents est aujourd'hui produite automatiquement par des systèmes informatiques comme ceux de gestion bancaire qui établissent des relevés de comptes ou encore ceux de comptabilité qui, présents dans toutes les organisations, génèrent des factures. Une fois créé, ce document peut être imprimé ou non. Il est stocké sur un serveur, dans un format pérenne et non modifiable, afin d être à la disposition des personnes habilitées à le consulter, voire à le télécharger. Un document électronique peut aussi être conçu et réalisé au cas par cas, dans un contexte bureautique, par un opérateur utilisant un logiciel de traitement de texte. Ce document pourra alors être expédié à son destinataire, sous forme papier ou sous forme électronique, par courrier électronique. Ce système, qui s est rapidement imposé comme moyen d échange rapide et efficace, constitue un nouveau mode de communication. Il produit des e-mails 1 qui constituent un nouveau type de documents. La production d'un document suit un processus de création, de diffusion et d'archivage relativement complexe. Il fait appel à un grand nombre d acteurs et met en œuvre différentes techniques informatiques. Néanmoins, ce processus peut être modélisé afin d être géré dans les meilleures conditions. 1 Le terme courriel a été adopté et publié par la commission générale de terminologie et de néologie près du Ministère de la Culture français au Journal Officiel de la République Française du 20 juin 2003, en remplacement du terme e-mail. Cependant, pour les besoins du présent ouvrage et dans l objectif d y donner accès à un lectorat au-delà de la seule sphère française, les rédacteurs ont pris le parti d adopter le terme e-mail ci-après.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Le modèle présenté ci-après et dénommé «Cycle de vie des documents» comporte quatre étapes principales : «Conception et création», «Production-diffusion», «Gestion» et «Archivage». Un document électronique peut avoir deux origines : > Soit il a été conçu et réalisé électroniquement avec des moyens informatiques, automatisés ou non. Dans ce cas, le document est nativement électronique et c est un original. > Soit il résulte d un processus de numérisation qui transforme un document papier en document électronique. Dans ce cas, le document papier reste toujours l original et le document électronique en est une représentation, donc une copie. Étape de création L étape de création est donc celle qui donne naissance au document. C est elle qui permet de préciser les premières métadonnées qui le caractérisent : nature (bulletin de paie, contrat, facture), origine (papier ou électronique), auteurs, niveau de confidentialité, durée de conservation, etc. Autant d informations qui vont intervenir dans les modalités juridiques et techniques de l archivage, étape ultime du cycle de vie. Étape de production-diffusion Cette étape concerne la communication du document dans sa forme finale et dans un format de représentation dit non révisable ou non modifiable. Cette communication est réalisée de façon «Push» ou de façon «Pull». Dans le premier cas, il s agit de la diffusion du document vers son destinataire. Dans ce processus, le document peut être diffusé sous forme papier et/ou sous forme électronique. L éditique est l ensemble des outils et des méthodes informatiques qui permettent la composition, l impression et la diffusion des documents. L'e-mail est le moyen qui permet sa diffusion sous forme électronique. Dans le cas de la diffusion «Pull», le document est mis à la disposition des destinataires sur un serveur. Ce sont eux qui, en fonction de leur niveau d habilitation, font la démarche pour le consulter et le télécharger. Étape de gestion L étape de gestion consiste à mettre en œuvre les processus et les outils informatiques d échange et de partage des documents entre les différents acteurs d une même organisation. Fonctionnellement, ces outils permettent notamment de compléter les métadonnées du document, d assurer son stockage dans un ou plusieurs formats de représentation - selon que ce document est révisable ou non - et bien évidemment d organiser sa consultation sous certaines conditions d accessibilité. Les outils informatiques de Gestion Électronique de Documents (GED) et de gestion de processus (Workflow) sont parfaitement adaptés à cette étape du cycle de vie. Grâce à des mécanismes d horodatage, ils permettent d enregistrer et de conserver la nature des événements liés à l usage et à l évolution de chaque document. Étape d archivage L étape d archivage a pour corollaire, dans la plupart des cas, l élimination comme sort final. C est l étape ultime du cycle de vie d un document. Les Systèmes d Archivage Électronique (SAE) sont les outils qui répondent à ce besoin. Sur le plan fonctionnel, ils permettent de gérer les versements, de finaliser les métadonnées associées, de faire des recherches, de consulter, de télécharger et finalement de proposer des destructions de documents. Cette étape met en œuvre des techniques informatiques dont la pérennité, comme par exemple la durée de vie des supports informatiques, n est pas toujours en concordance avec les contraintes légales de conservation des documents. Les chapitres qui suivent commentent cette étape du cycle de vie des documents, sur les plans juridique, normatif, méthodologique et de réalisation de SAE.

Retour au cycle de vie Le modèle fonctionnel «Cycle de vie des documents» présente l intérêt d intégrer, dès l étape de conception d un modèle de document, les obligations juridiques et de convenir des modalités techniques de son archivage. Lors du travail prospectif de mise en place d un SAE, il est désormais possible - et recommandé - de faire travailler ensemble les informaticiens, juristes, experts métier, records managers et archivistes. Chacun, dans son domaine de responsabilités, apporte ses exigences et contribue à une spécification exhaustive et détaillée du processus documentaire lui-même.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Document électronique et cadre juridique «Toutes les organisations devant être inscrites au registre du commerce sont soumises à l obligation de conservation» Contrairement à une idée fausse et pourtant répandue qui fait croire que tout n est que vide juridique dans le domaine des documents dématérialisés, le législateur français a déjà établi et précisé les conditions de la conservation électronique des documents, de l utilisation de tels documents électroniques comme moyens de preuve ainsi que les mesures à prendre pour garantir la protection des données qu ils contiennent. On dispose ainsi d un arsenal juridique déjà fourni qui permet à l entreprise de s assurer que les dispositifs techniques et organisationnels qu elle a choisis et mis en place sont conformes aux lois. La conservation électronique des documents de l entreprise La conservation électronique en tant que telle est expressément abordée dans la loi sous l angle de la tenue et de la conservation de la comptabilité commerciale, aux articles L.123-22 et suivants et aux articles R.123-173 et suivants du Code de commerce. Tout commerçant, toute personne physique ou morale devant être inscrite au registre du commerce et des sociétés, soit la quasi-totalité des acteurs économiques privés en France, est soumise à cette obligation légale de conservation ( L123-1). «Le législateur se montre résolument favorable à la mise en œuvre d outils électroniques propres à rationaliser et à faciliter la conservation des documents» correspondance commerciale qui engage l entreprise ou l organisation, lui confère des droits et a une influence sur son bilan (documents entrants et sortants ainsi que des documents internes). La durée de conservation est de dix ans à partir de la fin de l exercice annuel au cours duquel les dernières inscriptions comptables ont été faites, les pièces comptables ont été établies, la correspondance a été reçue ou expédiée (article L.123-22 alinéa 2 du Code de commerce). Le législateur se montre résolument favorable à la mise en œuvre d outils électroniques propres à rationaliser et à faciliter la conservation de tels documents. Ainsi, hormis le livre-journal et le livre d inventaire qui doivent être conservés sur leur support original et signés, l intégralité des livres auxiliaires, des pièces justificatives et de la correspondance peut être tenue et conservée sur tout support et notamment sur support électronique. Les conditions de légalité d une telle conservation électronique sont la fiabilité du système utilisé, l irréversibilité du support, la garantie de la chronologie des écritures et de lisibilité de ces documents en tout temps (article R.123-173 alinéa 3 du Code de commerce et articles 420-4 et suivants du Plan Comptable Général - PCG). Les moyens de preuve mis en œuvre pour authentifier la date d établissement des documents informatiques écrits sont laissés à l initiative du chef d entreprise. Les principes à respecter pour que ces exigences soient remplies en matière de conservation électronique sont détaillés dans le code de commerce et dans le Plan Comptable Général (PCG). Cette obligation concerne la comptabilité au sens strict du terme (livresjournal, livres d inventaire, grands livres, livres auxiliaires, pièces justificatives des écritures comptables, factures...). Elle concerne également toute la

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Les principes en question sont les suivants : > Principes généraux, applicables tant à la tenue qu à la conservation des documents : Principes de régularité, de sincérité, d image fidèle (article L.123-14 du Code de commerce) Principe de prudence (article L.123-20 du Code de commerce) Principe de permanence des méthodes (article L.123-17 du Code de commerce) Principes de disponibilité et de lisibilité : pendant tout le délai de conservation, la consultation doit être possible en tout temps et dans un délai raisonnable par les organismes de contrôle (article L.123-22 alinéa 3 du Code de commerce, article 410-4 du PCG). Respect du principe de chronologie > Principes spéciaux pour les «documents informatiques» Principe de fiabilité : les documents doivent être identifiés, numérotés et datés dès leur établissement par des moyens offrant toute garantie en matière de preuve (article R.123-173 du Code de commerce). Cela implique que «les documents comptables relatifs à l'enregistrement des opérations et à l'inventaire sont établis et tenus sans blanc ni altération d'aucune sorte, dans des conditions fixées par décret en Conseil d'etat» (article L.123-22 du Code de commerce). Principe de documentation : il s agit de documenter l organisation, les compétences, les modes de travail, les procédures et l infrastructure (matériel et logiciels) utilisés pour la tenue et la conservation des documents. Le document doit permettre de comprendre le «système de traitement». S agissant du principe primordial de la régularité, il est important de souligner que concernant la technologie à mettre en œuvre, le droit et la jurisprudence français reconnaissent la légalité du recours à l informatique. Dans le domaine de la conservation électronique de documents, on peut ainsi s inspirer de normes telles que la norme ISO 15 489 «Records management». Toutefois, ces normes ne s appliquent pas intégralement et de manière contraignante à toutes les organisations, sans distinction de leur taille ou de leur activité. Leur implémentation dans un cas concret doit être déterminée en fonction de la nature et de l étendue des affaires de l organisation, de son environnement réglementaire et de ses besoins spécifiques. En conclusion, la conservation sous format électronique des documents d entreprise et, au premier chef, des documents comptables pris au sens large est totalement admise par principe. Toutefois, la loi pose certaines conditions théoriques à respecter. Ces conditions relèvent du domaine technique et organisationnel et imposent à l entreprise le recours à des prestations et des prestataires informés de l existence des principes rappelés ci-avant Le document électronique comme moyen de preuve «Les documents Depuis une loi du 13 mars 2000, le droit électroniques sont français a adopté le principe dit de neutralité donc explicitement et de non-discrimination en matière de admis comme preuves, droit de la preuve. Cela signifie qu un juge au même titre ne peut rejeter une preuve qui lui est qu un document papier» rapportée au seul motif que cette preuve est électronique. S il entend la rejeter, il doit motiver son rejet et expliquer en quoi cette preuve ne le convainc pas. Ainsi, l'article 1316-1 du Code civil prévoit que «l'écrit sous forme électronique est admis en tant que preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité». Ce texte reconnaît ainsi, de manière explicite, que les documents électroniques sont admis comme preuves au même titre qu un document papier. Là encore, le législateur a clairement exprimé sa volonté de favoriser le recours à des outils de traitement et de conservation électronique de documents. Il ressort cependant de ce texte que la preuve littérale sous forme électronique

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 est admise à une double condition théorique. Premièrement, il faut que la personne, auteur du document, soit dûment identifiée. Cette caractéristique renvoie aux notions d'identification et d'imputabilité de l'acte, c'est-à-dire à l'identification de l'auteur de l'acte et de son lien avec lui. Deuxièmement, le texte impose que l'intégrité de l'acte soit garantie, dans tout son cycle de vie, depuis son établissement jusqu à sa conservation. L'identification de l'auteur, l'imputabilité et l'intégrité de l'acte électronique constituent les caractéristiques cumulatives exigées par la loi, en sus de celle d'intelligibilité posée d'une façon générale à l'article 1316 du Code civil. Il découle de ce qui précède qu une organisation a la faculté de se libérer de ses archives physiques sur papier en mettant en place un processus et un système d archivage électronique conformes à la loi. En cas de litige, elle pourra produire, en tant que preuves par titres, des fichiers électroniques extraits de son système d archivage électronique (documents et métadonnées telles que signature électronique et horodatage pour garantir l authenticité). Ces fichiers ont par principe la même force probante que le document original sur papier (par exemple un contrat signé). En cas de contestation de l authenticité du document électronique, l entreprise devra démontrer la conformité de son système d archivage électronique aux exigences légales, notamment en ce qui concerne la gestion de l intégrité dans le système et la sécurité des dispositifs de signature électronique. Cette condition implique en particulier la production de la documentation technique appropriée, conformément aux recommandations de la norme AFNOR NFZ 42-013. Si cette conformité est établie, le juge n a aucune raison de douter de la fiabilité de la preuve électronique qui lui est soumise. En conclusion, dans le domaine de la preuve, la loi reconnaît par principe la possibilité de recourir à la preuve électronique au même titre qu à la preuve papier. Cependant, l entreprise devra recourir, pour anticiper tout litige, à un système d information éprouvé et construit pour répondre aux conditions théoriques posées par la loi et dont le juge pourrait demander la démonstration en pratique. Le cas spécifique des données à caractère personnel La directive européenne du 24 octobre 1995 a repris la plupart des principes fondateurs de la loi française du 6 janvier 1978 (dite loi «Informatique et libertés») pour les étendre à l ensemble des Etats de l Union Européenne. La loi de 1978 a été modifiée par la loi n 2004-801 du 6 août 2004 et son décret d application n 2005-1309 du 20 octobre 2005. Elle prévoit un dispositif fort de protection des données à caractère personnel. Une donnée à caractère personnel ou donnée personnelle est définie comme toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Au regard de cette définition très large, autant dire que les informations traitées par les entreprises constituent très souvent des données à caractère personnel au sens de la loi «Informatique et libertés» (par exemple, factures, commandes, contrats, e-mail sur lesquels figure le nom ou la raison sociale d une personne identifiée ou identifiable). Dès lors qu un traitement de données est mis en place, il faut donc respecter les règles relatives à la protection des données à caractère personnel (article 2 de la loi du 6 janvier 1978). Les entreprises, organismes ou établissements privés ont l'obligation, au regard de la réglementation, d'archiver nombre d'informations très détaillées sur leur activité passée, en particulier au sujet des opérations effectuées avec leurs clients, fournisseurs ou salariés. Ces informations sont, dès lors, protégées par les dispositions de la loi précitée relative aux fichiers, à l'informatique et aux libertés. Face à la mémoire de l'informatique et en application du «droit» à l'oubli, la loi exige (article 6-5 de la loi du 6 janvier 1978) de garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessives. La Commission nationale de l'informatique et des libertés (CNIL) a pour mission de veiller au respect de ce principe s'agissant,

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 en particulier, des durées de conservation relatives aux informations collectées par les entreprises, organismes ou établissements privés mais aussi des modalités de conservation de ces informations. Ainsi un certain nombre d obligations sont prévues par la loi quant à la protection des données à caractère personnel. Nous présentons ci-après sommairement quelques-unes de ces obligations. > La sécurité des données à caractère personnel Tout responsable d un traitement informatique de données à caractère personnel doit mettre en place «toutes précautions utiles» pour assurer la sécurité des données collectées à l occasion d un traitement. Ces mesures doivent être physiques (sécurité des locaux), logiques (sécurité des systèmes d information) et adaptées à la nature des données et aux risques présentés par le traitement. Ainsi en application de l'article 34 de la loi du 6 janvier 1978 modifiée, le responsable du traitement doit mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés (notamment lorsque le traitement comporte des transmissions de données dans un réseau) ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. Le non-respect de l obligation de sécurité qui impose de prendre «les mesures prescrites à l article 34 de la loi n 78-17 du 6 janvier 1978» c est à dire de prendre «toutes précautions utiles» est sanctionné de 5 ans d'emprisonnement et de 300 000 d'amende (art. 226-17 du Code pénal). À ses pénalités s ajoute le pouvoir de sanction spécifique reconnu à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). L'article 35 de la loi du 6 janvier 1978, modifiée en 2004, précise que si le responsable de traitement choisit de sous-traiter l archivage des données, il doit retenir un prestataire apportant des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer. Il doit par ailleurs veiller au respect de ces mesures. La soustraitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable de traitement. Ce document prévoit notamment que le sous-traitant n'agit que sur la seule instruction du responsable de traitement et que les obligations en matière de sécurité incombent également à celui-ci. > La confidentialité des données Seules les personnes autorisées doivent avoir accès aux données personnelles contenues dans un traitement. Il s agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (comme la police ou le trésor public). La communication d informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 d'amende. La divulgation d informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 d amende (art. 226-22 du code pénal). À ces sanctions s ajoutent celles reconnues à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). > Formalités préalables obligatoires auprès de la Commission nationale de l informatique et des libertés (CNIL) Sauf un petit nombre de traitements dispensés de formalités par la CNIL, il convient de considérer que tout traitement de données à caractère personnel doit être déclaré ou autorisé par la CNIL avant d être mis en œuvre. L'autorisation de la CNIL est exigée pour les traitements qui sont listés à l article 25 de la loi du 6 janvier 1978. Les traitements informatiques de données personnelles qui présentent des risques particuliers d atteinte aux droits et aux libertés doivent préalablement être soumis à l'autorisation de la CNIL, dans le cadre d une procédure plus lourde que la simple déclaration.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Le non-accomplissement de ces formalités préalables est sanctionné de 5 ans d'emprisonnement et 300 000 d'amende (art. 226-16 du Code pénal). À ces sanctions s ajoutent celles reconnues à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). > La durée de conservation des informations «Droit à l oubli» Les données à caractère personnel ont une date limite de conservation. Le responsable d un fichier fixe une durée de conservation raisonnable en fonction de l objectif du fichier. La CNIL pourrait émettre des recommandations relatives à la durée de conservation pour certains types de traitements. «Un système d archivage électronique doit ainsi non seulement garantir l archivage conforme aux exigences légales pendant le délai de conservation, mais également la destruction des documents à l issue de ce délai» En matière comptable, il a été vu que les documents doivent être conservés 10 ans (articles L123-22 et R 123-172 du Code de Commerce). Dans le cadre d un système d archivage, la conservation de données n est autorisée que tant et aussi longtemps qu elle répond à une obligation légale de conservation (ou, pour le moins, qu elle repose sur un intérêt prépondérant comme, par exemple, celui de conserver des documents particulièrement importants dans le but de pouvoir retracer l histoire de l organisation). Il en découle l obligation d assurer la destruction de toutes les informations dont le traitement n est plus justifié, ce qui devrait être le cas pour la grande majorité des documents archivés à l issue de leur délai légal de conservation. Un système d archivage électronique doit ainsi non seulement garantir l archivage conforme aux exigences légales pendant le délai de conservation, mais également la destruction des documents à l issue de ce délai. Le Code pénal sanctionne de 5 ans d'emprisonnement et de 300 000 d'amende (art. 226-20 du code pénal) la conservation des données au-delà de la durée qui a été déclarée ou autorisée par la CNIL. A ces sanctions s ajoutent celles reconnues à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). > L information des personnes ou droit d accès Le responsable d un fichier doit permettre aux personnes concernées par des informations qu il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1 500 par infraction constatée et 3 000 en cas de récidive (art. 131-13 du code pénal et Décret n 2005-1309 du 20 octobre 2005). > La finalité des traitements Un fichier doit avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes avec son objectif. Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Tout détournement de finalité est passible de 5 ans d'emprisonnement et de 300 000 d'amende (art. 226.21 du Code pénal. A ces sanctions s ajoutent celles reconnues à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). Les caractéristiques principales du cadre légal français esquissé ci-dessus peuvent être résumées ainsi : > Le législateur français encourage la mise en œuvre d outils électroniques dans le domaine de l archivage. > L archivage électronique nécessite la mise en place de processus et d un système d archivage respectant avant tout les principes formulés (notamment le principe de régularité qui renvoie aux méthodes généralement admises et aux recommandations de la profession). En revanche, il n y a pas d exigence légale quant à la technologie à utiliser. > À condition de respecter les principes précités, les documents archivés par un moyen électronique ont la même force probante que des documents conservés sur papier. > La réglementation en matière de protection des données s applique également dans le domaine de l archivage. Elle impose notamment l obligation de détruire les informations qui ne sont plus requises.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 En conclusion, s agissant des données à caractère personnel, la loi est très exigeante sur les obligations de sécurité et de confidentialité qui s imposent à la personne qui les a collectées, stockées ou enregistrées. Elle impose également un formalisme fort, l ensemble du dispositif étant géré par un organisme indépendant dénommé la Commission Nationale de l Informatique et des Libertés. L ensemble de ce dispositif prévoit des sanctions pénales à l encontre de l organisation qui ne le respecterait pas (ou de son dirigeant), la CNIL disposant en outre d un pouvoir de contrôle et de sanctions qui lui est propre. Spécificités du secteur public Le secteur public est soumis à quelques contraintes spécifiques qui s additionnent à celles exposées plus haut. Il est tout d abord soumis à la réglementation sur la transparence administrative. Le principe de transparence veut que tout document administratif (au sens de l article 1er de la loi n 78-753 du 17 juillet 1978 tel que modifié par les articles 2, 3 et 4 de l ordonnance n 2005-560 du 6 juin 2005) soit accessible au public, à l exception des : > documents comportant des données personnelles (voir infra) ; > documents «confidentiels» dont la communication porterait atteinte au secret des délibérations du gouvernement, au secret de la Défense nationale, de la politique extérieure, à la monnaie et au crédit public, à la sureté de l Etat et à la sécurité publique ; > documents portant atteinte au secret de la vie privée ; > documents concernant les dossiers personnels et médicaux ; > documents portant atteinte au secret en matière commerciale et industrielle. Ces documents non communicables le deviennent toutefois après un délai de 30 ans (article 6, II de la loi n 78-753). Cette exigence implique une maîtrise accrue des processus documentaires. La dématérialisation peut représenter ici un avantage. Il est en effet nettement plus facile de communiquer un document électronique par courriel plutôt que de rechercher un document papier dans un dépôt d archives, de le reproduire et l envoyer par courrier postal. La contrepartie de cette facilité est néanmoins l obligation de mettre en place des systèmes efficaces de gestion des documents électroniques. On voit également apparaître une demande accrue pour la mise à disposition publique de jeux de données détenues par les administrations. Cette tendance, connue via l anglicisme «Open Data», traduit en français par «Donnée publique», est très vive. Ainsi a été lancé le lundi 5 décembre 2011 le site Internet www.data.gouv.fr. Établi par un décret du premier ministre en février 2011, ce «portail unique interministériel des données publiques» était le principal objectif de la mission Etalab. Il se place dans les pas du portail data.gov ouvert en 2009 aux Etats-Unis par l'administration Obama. Cette initiative s'inscrit dans le mouvement de l'«open Data» qui, pour une plus grande transparence et un meilleur fonctionnement de la vie publique, entend donner au citoyen un accès libre à de nombreuses bases de données. Les administrations publiques sont donc soumises à la législation sur la protection des données personnelles, au même titre que les entreprises privées. Elles ont cependant une responsabilité plus grande dans la mesure où les données qu elles collectent ou produisent le sont sous le couvert d exigences légales auxquelles le citoyen ne peut se dérober et qu elles couvrent une population numériquement importante. De plus, certains secteurs de l administration possèdent des données sensibles (santé, social, par exemple). Elles doivent donc être particulièrement prudentes dans la gestion de la communication et de l interconnexion possible de ces données. Les administrations doivent mettre en place des contrôles de droits d accès adéquats et la possibilité de correction des données erronées.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Ces exigences d anonymat relatif peuvent sembler entrer en conflit avec un troisième domaine législatif qui est celui des archives publiques. En effet, la plupart des lois sur la protection des données personnelles visent à les faire détruire une fois qu elles n ont plus d utilité courante. Mais certaines données présentant un intérêt historique, scientifique ou statistique justifient qu elles ne fassent l objet d aucune destruction. La conservation de ces données est garantie par l application des lois sur l archivage public (Délibération n 88-052 du 10 mai 1988). Une sélection doit alors être opérée entre les données destinées à être conservées et celles qui, dépourvues d utilité administrative ou d intérêt historique, scientifique ou statistique, sont destinées à être éliminées (article L212-3 du Code du Patrimoine). Un dernier domaine, qui doit tenir compte des contraintes réglementaires, est celui de la mise en place de ce qu il est convenu d appeler la cyberadministration. L administration a mis en place d ambitieux programmes visant à mettre ses services «en ligne» notamment au travers du site internet «mon.service-public.fr». Ce dernier a été proposé par le comité interministériel pour la réforme de l'etat (CIRE), dans le cadre du programme d'action gouvernemental pour la société de l'information (PAGSI) puis du programme gouvernemental RE/SO 2007. «mon.service-public.fr» est aujourd hui développé par la Direction générale de la modernisation de l Etat (DGME), direction du Ministère du Budget, des Comptes publics et de la Réforme de l Etat. Pour que cette cyberadministration fonctionne correctement, il faut mettre en place des flux de données ergonomiques et fiables (gestion des processus et Records management) mais également des infrastructures d archivage de haute qualité. Celles-ci, appelées communément Système d archivage électronique (SAE) selon la norme Moreq 2, sont actuellement progressivement mises en place dans différentes administrations. Ces infrastructures sont également construites selon la norme OAIS (Open Archival Information System) devenue la norme ISO 14721 : 2003. La norme OAIS encadre la définition des différentes entités logiques nécessaires pour permettre d assurer une conservation à long terme qui, dans le cadre des institutions publiques, doit dépasser le siècle. C est la gestion à (très) long terme qui représente la spécificité majeure de l archivage électronique pour les administrations publiques. Dans cette optique de cyberadministration, la plateforme technique de «mon.service-public.fr» a fait l objet d un travail préparatoire approfondi avec la CNIL en vue d offrir aux usagers toutes les garanties en matière de sécurité et de confidentialité des données. En effet, outre l aspect logistique, qui intéresse peu le citoyen, la mise en place de guichets virtuels implique un système d identification des personnes très fiable. 1 Model Requirements for the management of electronic records dont la dernière version Moreq2010 (Modular Requirements for Records Systems) a été mise en ligne le 6 juin 2011.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Document électronique et cadre normatif Loin d être une contrainte, la mise en œuvre effective de normes dans l entreprise produit un avantage concurrentiel. Elle fournit un cadre de connaissances éprouvées sur lequel les organisations peuvent s appuyer pour développer leurs activités. L application de ce cadre est un gage d interopérabilité entre les solutions ainsi que de réversibilité. Dans le domaine de la gestion de l information et des documents électroniques, les normes ISO ont pour objet de définir, d encadrer (voire de certifier) les systèmes de gestion de l information et des documents et, par conséquent, la réalisation de SAE comme moyens techniques. Ainsi, les normes ISO peuvent être classées en deux grandes familles : > les normes de système de management (NSM), comme celles de la série 9000 liée à la qualité ou celles de la série 14000 rattachée à l'environnement ou encore la série 31000 relative au management du risque, > les normes techniques, destinées à formaliser les modalités de mise en œuvre, comme par exemple celles d un SAE ou d un processus de dématérialisation. Dans le domaine de l archivage électronique, la norme ISO 15489 «Records management», publiée en 2001, fait référence. Elle pourrait être l objet, à partir de l année 2012, d une révision significative qui conduira à distinguer les aspects de management des modalités techniques de réalisation. Les aspects de système de management seront couverts par la nouvelle série de normes ISO 30300. Les aspects de réalisation seront encadrés par la norme ISO 15489 révisée et par des normes connexes. Le schéma figurant sur la page 37 présente l articulation de ce corpus de normes qui conjugue une finalité de bonne gouvernance et des modalités de réalisation.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Nous avons choisi de commenter ces deux séries de normes (ISO 30300 et ISO 15489). La première souligne la portée stratégique de la gestion des documents d activité, la seconde celle des modalités de mise en œuvre effective par les professionnels. D autres normes relatives à la mise en œuvre des SAE seront également citées. Par ailleurs, la traduction de l expression «Records management» par «Gestion des Documents d Activités», à l occasion de la création des normes 30300, est une avancée majeure qui devrait faciliter la compréhension de ce concept. > La norme ISO 30300 de système de management La série de normes ISO 30300 reprend et complète la norme ISO 15489 pour ce qui concerne le système de management des informations et des documents. C est donc une norme de système de management au même titre que l ISO 9001, pour le management de la qualité, ou encore que l ISO 31000, pour le management du risque. La norme ISO 30300 relève de la politique des organisations en matière de management de l information et des documents dans une démarche d amélioration continue. Elle met en évidence, par sa mise en œuvre, le fait que les ressources informationnelles (informations et documents) sont des actifs de l organisation et font partie de son capital intellectuel. Elle apporte un cadre pour la bonne gouvernance des documents d activité. ISO 30300 et les suivantes ont été conçues dans une optique de processus. Elles répondent aux besoins de toutes les parties prenantes : direction métier, direction système d information, direction juridique, direction ressources humaines. Pour définir et établir une politique de management des informations et des documents, ces normes recommandent, dans un objectif de preuves fiables et faisant autorité : > de définir les rôles et les responsabilités de chacun, > de spécifier les processus et les systèmes de management, > de convenir des modalités de mesure et d évaluation de ces systèmes, > de mettre en œuvre les améliorations nécessaires. Dans leurs grandes lignes, ces normes établissent un certain nombre de principes qui conduisent les organisations à formaliser les relations entre le système de management des informations et des documents et le système de management général. Elles impliquent fortement la direction des organisations. Ce sont ces mêmes directions qui devront fixer les orientations et les objectifs à atteindre, qui rendent obligatoire l adoption par les personnels des exigences du système de management et qui s assurent de la disponibilité des moyens et des ressources. Finalement, l'application de telles normes conduit à la mise en place d'une bonne gouvernance en matière de management des informations et des documents. > La norme ISO 15489 «Records management» La norme ISO 15489, dite de «Records management», est une référence pour la gestion de l archivage des documents produits par les organisations. Elle comporte deux parties. La première concerne les principes directeurs. La seconde est un guide pratique. La norme ISO 15489 de «Records management» a la volonté : > de répondre aux exigences légales et réglementaires de gestion des informations et des documents électroniques, en matière d archives, d audit et de contrôle, > de définir les informations et les documents qui relèvent du «Records management». En d autres termes, les documents que l organisation considère comme stratégiques pour assurer la continuité de son activité en cas de dysfonctionnements graves ou de sinistres, > de convenir des responsabilités et des compétences des différents acteurs : concepteurs, archivistes, informaticiens, qualiticiens, > d élaborer et de valider de nouveaux processus de travail, entre décideurs, administrateurs et collaborateurs, > d adapter et de maintenir l interopérabilité d un SAE avec les autres systèmes, > de mettre en œuvre un plan de gestion du changement comprenant, entre autres, un plan de formation, > de préserver les intérêts de l organisation et les droits de ses employés, de ses clients et des utilisateurs présents et futurs des «Records», > de préserver une mémoire de l organisation.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 ISO 15489 définit des exigences afin que les organisations produisent et conservent des documents authentiques, fiables et exploitables et qu elles préservent leur intégrité aussi longtemps que nécessaire. Qu elles soient de l ordre du principe ou techniques, ces exigences sont utiles à la conception d un SAE. Principes généraux d un programme de «Records management» : > quels documents à minima il convient de produire et d archiver, > quelles formes et quelles techniques doivent être retenues pour produire et archiver ces documents, > quelles métadonnées il convient de créer et de maintenir dans le temps pour décrire les contenus de ces documents, les usages et les droits associés, > quels modes d organisation (plan de classement) il faut retenir des documents, > quels sont les risques en cas de non-disponibilité de documents probants pour une activité, > quelles sont les exigences légales des pays concernés par l activité de l organisation. Exigences caractérisant un document d archives. ISO 15489 définit des exigences qui caractérisent un document d archive et en particulier : > son authenticité : le document est bien ce qu il prétend être, > sa fiabilité : le document représente exactement et complètement les opérations et les activités qu il atteste, > son intégrité : le document est complet et non altéré, > son exploitabilité : le document peut être replacé dans un contexte d activité. Exigences caractérisant un SAE ISO 15489 définit les exigences d un système d organisation et de gestion des documents d archives ou SAE. Celui-ci doit répondre à plusieurs exigences fondamentales : > pérennité des contenus numériques conservés, > intégrité : la modification des contenus conservés doit être impossible ou détectable, > sécurité : le système doit garantir la conservation et l accessibilité aux contenus pendant toute leur durée de conservation, > traçabilité : enregistrement systématique de toutes les opérations sur les contenus conservés, > réversibilité : quelle que soit la configuration retenue pour exploiter le SAE, la solution doit permettre la récupération ou la migration des contenus dans des conditions techniques et économiques convenues d avance. Enfin, le SAE doit être en conformité avec les exigences énoncées et revêtir un caractère systématique. > La norme ISO/FDIS 14641-1 : Spécifications pour la conception et le fonctionnement d'un système d'informations pour la conservation d informations électroniques Cette norme s appuie presque intégralement sur la norme française NF Z 42-013 révisée en 2009. Elle a été validée le 15 janvier 2012. Les objectifs de la norme sont de : > fournir, dans le prolongement des dispositions légales et/ou réglementaires, un cadre technique permettant de mettre en place des systèmes d archivage électronique (SAE) à vocation probatoire destinés à conserver des documents numériques d origine ou obtenus par numérisation, > proposer un texte décrivant les aspects techniques et organisationnels nécessaires et suffisants pour garantir l intégrité, la pérennité, la sécurité et la traçabilité des documents conservés dans un SAE, > fournir un référentiel d audit permettant de déterminer la conformité d un SAE au regard des spécifications de la norme, > fournir aux éditeurs de progiciels un ensemble de points techniques à mettre en œuvre, > fournir aux archivistes et aux tiers-archiveurs un ensemble d indications leur permettant de mettre en conformité leurs offres de services.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 > Les normes connexes En compléments de l ISO 15489 et selon les spécificités des activités de l organisation et des documents éligibles comme «Records», il pourra être intéressant de s appuyer sur des normes techniques comme : > la norme ISO 23081 relative aux principes de gestion courante des métadonnées et des versements des documents aux archives, > la norme ISO TR 13028 concernant les lignes directrices pour la numérisation des informations et des documents, > la norme ISO 13008 applicable aux processus de conversion et de migration des informations et des documents numériques, > la norme ISO 16175 en trois parties, dite ICAReq. Elle présente les principes et les exigences fonctionnelles pour la capture des informations et des documents directement à partir des environnements bureautiques et des systèmes d information des entreprises, > les différentes versions de la norme ISO 19005 (PDF/A) qui définissent des formats d archivage répondant à l exigence fondamentale de pérennité définie ci-dessus. Par ailleurs, et il est utile de le préciser ici, l Union Européenne a souhaité uniformiser les politiques d archivage des pays membres. Elle a établi un recueil d exigences pour l organisation de l archivage électronique dénommé MoReq (Model Requirements for the Management of Electronic Documents) et basé sur la norme ISO 15489 «Records Management». Édité en 2001 et considéré comme difficilement applicable, MoReq a été remplacé en 2008 par MoReq2 qui devait l être à son tour par MoReq 2010 avec des objectifs de simplification et de modularité. > L intérêt des deux familles de normes Complémentaires, les normes de la série ISO 30300 et les normes techniques interviennent sur des niveaux différents. Les premières s inscrivent dans les principes du management de la qualité et donc de la stratégie des organisations. Les secondes, de nature technique, concernent les spécifications des processus et des systèmes informatiques de type SAE, en vue de l archivage des documents. Mettre en œuvre conjointement ces familles de normes permet à chaque organisation de définir une politique de gestion des informations et des documents conforme aux exigences légales et réglementaires françaises (politique d archivage). Elles conduisent à mettre en place des moyens - processus et SAE - qui garantissent la pérennité, l intégrité, la sécurité et la traçabilité des documents archivés. Cette démarche peut paraître complexe. Néanmoins, elle peut être conduite progressivement en choisissant certaines familles de documents, en privilégiant l approche managériale ou celle des moyens techniques, ou encore en faisant appel à des professionnels. Enfin, lorsque la situation se présente, il convient de souligner que la numérisation des documents papier doit faire l objet d une attention particulière pour garantir les qualités des contenus transférées dans le SAE. > La validation des solutions d archivage électronique A juste titre, les entreprises publiques ou privées qui ont recours à l archivage électronique s interrogent sur la conformité de leur solution aux exigences légales et réglementaires. Plusieurs situations doivent être distinguées. Aux termes du décret 2009-1124 du 17 septembre 2009, la conservation des archives courantes et intermédiaires produites par les administrations et entreprises publiques peut être assurée par des tiers-archiveurs agréés. Pour obtenir l agrément pour la conservation des archivages électroniques, les solutions des tiers-archiveurs doivent être conformes aux normes NF Z 42013 et ISO 14721, dite OAIS. A cela s ajoute le respect du SEDA (Standard d Echange pour les Données d Archivage) qui définit, d une part, un protocole d échange entre les systèmes de production et les systèmes d archivage et, d autre part, un modèle de métadonnées. Un processus de certification des solutions d archivage électronique est en cours de finalisation. Il est placé sous l égide de AFNOR Certification qui sera chargée de délivrer le certificat de conformité à la marque NF 461.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 La démarche de certification s appliquera à 2 situations : les SAE exploités en interne par les entreprises et les solutions proposées sous forme de prestations de service par les tiers-archiveurs. Il est important de souligner que l audit de conformité d une solution d archivage électronique concerne nécessairement tous les composants du SAE : logiciels, matériels, procédures d exploitation. Pour être complet, signalons que les prestataires de d archivage papier ont également défini une marque de certification : NF 342 «Prestations d'archivage et de gestion externalisée de documents» Normes de systèmes de gestion des documents d activité Cadre pour la gouvernance des documents d activité Principes essentiels et terminologie Exigences Lignes directrices Éléments à l appui d une structure de haut niveau ISO 30300 Systèmes de gestion des documents d activité Principes essentiels et vocabulaire ISO 30301 Systèmes de gestion des documents d activité Exigences ISO 30303 Systèmes de gestion des documents d activité Exigences relatives aux organismes d audit et de certification ISO 30302 Systèmes de gestion des documents d activité Guide de mise en œuvre ISO 30304 Systèmes de gestion des documents d activité Guide d évaluation Normes et rapports techniques connexes Mise en œuvre des processus liés aux documents d activité ISO 15489 Records management Partie 1 Principes directeurs Partie 2 Guide pratique ISO/TR 13028 Mise en œuvre des lignes directrices pour la numérisation des enregistrements ISO 14641-1 Spécifications pour la conception et le fonctionnement d un système d informations pour la conservation d informations électroniques ISO 23081 Métadonnées pour les enregistrements Partie 1 Principes Partie 2 Concepts et mise en œuvre Partie 3 Méthode d auto-évaluation ISO 13008 Processus de conversion et migration des documents d activité numériques ISO/TR 26122 Analyse du processus des «records» ISO 16175 Principes et exigences fonctionnelles pour les enregistrements dans les environnements électroniques de bureau Partie 1 Aperçu et déclaration des principes Partie 2 Lignes directrices et exigences fonctionnelles pour les systèmes de management des enregistrements numériques Partie 3 Lignes directrices et exigences fonctionnelles pour les enregistrements dans les systèmes d entreprise D après la norme ISO 30300

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Que faut-il faire? Pour quels documents? Tous les documents n ont pas la même portée. Ils ne relèvent donc pas tous des mêmes exigences légales et, par conséquent, des mêmes obligations en matière de conservation. Les factures émises et reçues, les contrats, les bulletins de paie, la documentation technique d un produit et d un service, les notes de services ne sont pas exposés aux mêmes risques et ne répondent pas aux mêmes obligations légales d archivage et de communication. Il serait dommageable de leur appliquer, à tous et sans distinction, les mêmes modalités de gestion et d archivage. Parallèlement, les règlements encadrant les activités et les obligations en matière de gestion documentaire varient d un secteur économique à l autre. Il en est ainsi, par exemple, pour la santé, l environnement, le transport, l énergie ou encore la finance. En conséquence, un travail préalable d analyse documentaire est nécessaire. Il conduit à la réalisation d un «Référentiel de conservation». Celui-ci concerne les documents entrants et sortants autant que les documents internes de l organisation. Il distingue ceux qui sont nativement électroniques de ceux qui sont sous forme papier et qui peuvent être conservés sous leur forme physique ou être numérisés. L établissement de ce référentiel est un moment important pour tous les responsables de l organisation. Il nécessite un travail en équipe où se retrouvent les responsables «métier», les responsables système, les archivistes et les juristes. Pour chaque document, ce travail conduit à poser, pour le moins, les questions suivantes : > Quelle est la finalité de ce document? Exemple : facture, contrat, brevet, etc. > Quelles sont l origine et la destination de ce document : interne (quel service, quel auteur), externe (quelle société, quelle direction)? > Quel est son support : papier (faut-il le numériser?), électronique (quel format de représentation?) > Dans quel processus s inscrit-il : facturation, ressources humaine, commercial, approvisionnement, etc.? > Quelle est sa portée : stratégique, juridique (obligation légale ou non), technique, etc.? > Quels sont les menaces (vol, sinistre, malversation) et les risques associés à ce document? > Quelle est sa durée de conservation? Finalement, la formalisation de ces principales interrogations constituent les éléments d un «Référentiel de conservation» ou encore d un «Tableau de gestion». Le cas des e-mails Si à l origine les «e-mails» étaient assimilables à des enveloppes contenant des documents (pièces jointes), aujourd hui beaucoup cumulent les fonctions de transmission et de message. De fait, certains «e-mail» sont devenus des documents comme, par exemple, des bons de commande, des notes de services, des contrats, etc. Ils sont générateurs d engagements et d obligations entre leurs émetteurs et leurs destinataires. De plus, avec les mécanismes de suivi «Répondre» et «Transférer», ils reflètent une chronologie d échanges d une grande complexité et comportent des contenus souvent peu structurés. Néanmoins, ils doivent être traités comme des documents à part entière et peuvent relever du «Records management» dès lors qu ils traitent d un sujet vital pour l organisation. Ils peuvent constituer de la «correspondance commerciale» soumise à une obligation légale de conservation. La difficulté est bien évidemment de leur associer des métadonnées suffisamment précises pour les retrouver ultérieurement. En ce sens, les utilisateurs doivent être sensibilisés au fait que les «e-mails» sont des documents susceptibles d engager l organisation et que leur cycle de vie est difficilement identifiable et traçable.