DÉMATÉRIALISATION ET ARCHIVAGE PROBANT DES DOCUMENTS ÉLECTRONIQUES DANS LE CONTEXTE JURIDIQUE FRANÇAIS
1 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Avant-propos Augmentation exponentielle des volumes de données, optimisation de la gouvernance d organisation, «risk management», judiciarisation croissante des affaires, contraintes réglementaires et législatives de plus en plus fortes la parfaite maîtrise de l information et des documents produits et reçus dans le cadre de vos activités est devenue un enjeu majeur. La solution au problème de conservation et de gestion des données n est pas de démultiplier chaque année les capacités de stockage comme cela est aujourd hui le cas dans la plupart des organisations. L essentiel est de ne conserver que l information utile et vitale, autant de temps que cela est nécessaire, et de la rendre facilement disponible aux utilisateurs habilités, dans un environnement sécurisé. Pour cela, il faut repenser les processus et les méthodes de gestion de l information. La mise en œuvre de votre système d archivage électronique doit s appuyer sur une démarche projet sans faille impliquant très en amont lles référents métiers, les records managers et les archivistes. Elle doit intégrer l ensemble des facteurs clés suivants : > Les nouvelles obligations légales et réglementaires, > Les évolutions de vos processus internes, liées à la dématérialisation et à la place occupée par le numérique dans les échanges, > L obligation d accéder de façon quasi instantanée à l information afin d optimiser la relation client, > L évolution technologique permanente et rapide qui oblige à tenir compte le plus tôt possible des modalités d archivage. Il est essentiel de garder à l esprit que les archives électroniques relèvent de la même autorité que les archives papier et que le support ou le format des documents ne change rien. En revanche, si les obligations et les objectifs sont identiques, les processus de gestion sont très différents. En particulier, les intervenants sont plus nombreux et doivent travailler en concertation : archivistes, records managers, responsables organisation, juristes.... Considéré comme une contrainte ou une mission annexe, l archivage a longtemps été sous-estimé. Aujourd hui, principalement grâce à la dématérialisation et à l'avènement du numérique, la maîtrise de l information est au centre de nombreuses interrogations. Sa valeur devient évidente. La mise en place d une politique d archivage pérenne est un élément essentiel d optimisation et de réduction des coûts. Elle est aussi l expression et l un des moteurs de la bonne gouvernance des organisations. C est dans ce contexte de mutation rapide et profonde, qu Everial a souhaité faire part de son expertise technique, juridique et opérationnelle. Spécialiste de l'archivage des documents physiques et électroniques, Everial est un prestataire de services en très fort développement. Ses plateformes techniques à haute performance, ses processus continuellement améliorés et son personnel qualifié permettent d élaborer des solutions mutualisables et d offrir à ses clients des prestations haut de gamme et à moindre coût. Everial répond ainsi aux besoins des organisations quelles que soient l importance de leur projet et la complexité des exigences qu elles accordent à l archivage électronique. Ce Livre blanc est destiné aux décideurs des entreprises, des organisations et des administrations. Il leur apporte une vision stratégique des aspects techniques, juridiques et normatifs de l archivage électronique des informations et des documents.
Table des matières n Avant-propos 2 n Introduction 6 n Document électronique et cycle de vie 9 Étape de gestion 10 Étude d archivage 11 Retour au cycle de vie 12 n Document électronique et cadre juridique 14 Conservation électronique des documents de l entreprise 14 Le document électronique comme moyens de preuve 17 Le cas spécifique des données à caractère personnel 19 Spécificités du secteur public 24 n Document éléctronique et cadre normatif 29 La norme ISO 30300 de système de management 30 La norme ISO 15489 «Records management» 31 La norme ISO/FDIS 14641-1 : 33 Les normes connexes 34 L intérêt des deux familles de normes 34 La validation des solutions d archivage électronique 35 n Que faut-il faire? Pour quels documents? 38 Le cas des e-mail 39 n Démarches et solutions 41 Les solutions techniques 41 Les solutions de services 45 n Retour d expériences 48 Cas pratique détaillé 1 48 Cas pratique détaillé 2 49 Cas pratique détaillé 3 50 Cas pratique divers 52 n Questions fréquentes 53 n Enjeux et bénéfices attendus 57 n Bibliographie 58 n Les contributeurs 60 n À propose d Everial - www.everial.com 62
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Introduction «Les documents papier vont inexorablement être remplacés par des documents électro niques» En se mondialisant, les mécanismes d échange et de communication des biens et des services se sont progressivement dématérialisés. Les organisations interagissent désormais au cœur d une économie numérique. Elles échangent des informations et des documents, avec d autres organisations et d autres individus (clients, fournisseurs, administrations, organismes publics...) : bons de commande, factures, relevés bancaires, documentations techniques, brevets, contrats, bulletins de paie, formulaires Encore majoritairement traités sous forme papier, ces documents seront inexorablement remplacés par des documents électroniques. L évolution des techniques informatiques et l adaptation des textes législatifs et réglementaires permettent et encadrent cette migration. Ces deux tendances conduisent à la mise en place de nouvelles pratiques et de nouveaux processus de gestion. Ils sont porteurs de gains de productivité et d avantages concurrentiels particulièrement significatifs. En revanche, l évolution des techniques et l adaptation du domaine réglementaire nécessitent de nouvelles organisations et l accompagnement à ce changement. C est dans ce contexte que ce Livre blanc trouve sa place, avec une double ambition : > être un document explicatif des aspects techniques et juridiques de la dématérialisation et de l archivage des documents sous forme électronique, en France, > être également un document d accompagnement, voire d incitation au changement, par la présentation de réalisations qui confirment les méthodes recommandées. Ainsi, pour atteindre ces objectifs, ce Livre blanc décline les chapitres suivants : > le chapitre 1 rappelle ce qu est un document électronique et présente le concept de «Cycle de vie». Il précise la distinction entre document numérique et document numérisé, > le chapitre 2 présente le contexte juridique français. Il souligne les incidences des systèmes de gestion et d archivage électroniques en matière de preuve et les obligations qui reviennent aux organisations, > le chapitre 3 introduit et commente les principales normes en matière de gestion des informations et des documents électroniques, > le chapitre 4 recommande une démarche d analyse de la situation existante afin de définir les objectifs d un système d archivage électronique, > le chapitre 5 fait état des solutions techniques et des solutions de services possibles qui s offrent aux organisations, > le chapitre 6 présente quelques réalisations de clients Everial, > le chapitre 7 répond aux questions fréquentes lors d'un avant-projet archivage électronique, > enfin, le chapitre 8 commente les enjeux et les bénéfices d un projet d archivage de documents sous forme électronique.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Document électronique et cycle de vie «La production d un document est l aboutissement d un processus de création, de production et de diffusion relativement complexe» Un document est à la fois un support d informations et un moyen d échange. Il se caractérise principalement par sa mise en page, ses dimensions physiques, son volume en nombre de pages et ses contenus (texte, graphique, image). La majorité des documents est aujourd'hui produite automatiquement par des systèmes informatiques comme ceux de gestion bancaire qui établissent des relevés de comptes ou encore ceux de comptabilité qui, présents dans toutes les organisations, génèrent des factures. Une fois créé, ce document peut être imprimé ou non. Il est stocké sur un serveur, dans un format pérenne et non modifiable, afin d être à la disposition des personnes habilitées à le consulter, voire à le télécharger. Un document électronique peut aussi être conçu et réalisé au cas par cas, dans un contexte bureautique, par un opérateur utilisant un logiciel de traitement de texte. Ce document pourra alors être expédié à son destinataire, sous forme papier ou sous forme électronique, par courrier électronique. Ce système, qui s est rapidement imposé comme moyen d échange rapide et efficace, constitue un nouveau mode de communication. Il produit des e-mails 1 qui constituent un nouveau type de documents. La production d'un document suit un processus de création, de diffusion et d'archivage relativement complexe. Il fait appel à un grand nombre d acteurs et met en œuvre différentes techniques informatiques. Néanmoins, ce processus peut être modélisé afin d être géré dans les meilleures conditions. 1 Le terme courriel a été adopté et publié par la commission générale de terminologie et de néologie près du Ministère de la Culture français au Journal Officiel de la République Française du 20 juin 2003, en remplacement du terme e-mail. Cependant, pour les besoins du présent ouvrage et dans l objectif d y donner accès à un lectorat au-delà de la seule sphère française, les rédacteurs ont pris le parti d adopter le terme e-mail ci-après.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Le modèle présenté ci-après et dénommé «Cycle de vie des documents» comporte quatre étapes principales : «Conception et création», «Production-diffusion», «Gestion» et «Archivage». Un document électronique peut avoir deux origines : > Soit il a été conçu et réalisé électroniquement avec des moyens informatiques, automatisés ou non. Dans ce cas, le document est nativement électronique et c est un original. > Soit il résulte d un processus de numérisation qui transforme un document papier en document électronique. Dans ce cas, le document papier reste toujours l original et le document électronique en est une représentation, donc une copie. Étape de création L étape de création est donc celle qui donne naissance au document. C est elle qui permet de préciser les premières métadonnées qui le caractérisent : nature (bulletin de paie, contrat, facture), origine (papier ou électronique), auteurs, niveau de confidentialité, durée de conservation, etc. Autant d informations qui vont intervenir dans les modalités juridiques et techniques de l archivage, étape ultime du cycle de vie. Étape de production-diffusion Cette étape concerne la communication du document dans sa forme finale et dans un format de représentation dit non révisable ou non modifiable. Cette communication est réalisée de façon «Push» ou de façon «Pull». Dans le premier cas, il s agit de la diffusion du document vers son destinataire. Dans ce processus, le document peut être diffusé sous forme papier et/ou sous forme électronique. L éditique est l ensemble des outils et des méthodes informatiques qui permettent la composition, l impression et la diffusion des documents. L'e-mail est le moyen qui permet sa diffusion sous forme électronique. Dans le cas de la diffusion «Pull», le document est mis à la disposition des destinataires sur un serveur. Ce sont eux qui, en fonction de leur niveau d habilitation, font la démarche pour le consulter et le télécharger. Étape de gestion L étape de gestion consiste à mettre en œuvre les processus et les outils informatiques d échange et de partage des documents entre les différents acteurs d une même organisation. Fonctionnellement, ces outils permettent notamment de compléter les métadonnées du document, d assurer son stockage dans un ou plusieurs formats de représentation - selon que ce document est révisable ou non - et bien évidemment d organiser sa consultation sous certaines conditions d accessibilité. Les outils informatiques de Gestion Électronique de Documents (GED) et de gestion de processus (Workflow) sont parfaitement adaptés à cette étape du cycle de vie. Grâce à des mécanismes d horodatage, ils permettent d enregistrer et de conserver la nature des événements liés à l usage et à l évolution de chaque document. Étape d archivage L étape d archivage a pour corollaire, dans la plupart des cas, l élimination comme sort final. C est l étape ultime du cycle de vie d un document. Les Systèmes d Archivage Électronique (SAE) sont les outils qui répondent à ce besoin. Sur le plan fonctionnel, ils permettent de gérer les versements, de finaliser les métadonnées associées, de faire des recherches, de consulter, de télécharger et finalement de proposer des destructions de documents. Cette étape met en œuvre des techniques informatiques dont la pérennité, comme par exemple la durée de vie des supports informatiques, n est pas toujours en concordance avec les contraintes légales de conservation des documents. Les chapitres qui suivent commentent cette étape du cycle de vie des documents, sur les plans juridique, normatif, méthodologique et de réalisation de SAE.
Retour au cycle de vie Le modèle fonctionnel «Cycle de vie des documents» présente l intérêt d intégrer, dès l étape de conception d un modèle de document, les obligations juridiques et de convenir des modalités techniques de son archivage. Lors du travail prospectif de mise en place d un SAE, il est désormais possible - et recommandé - de faire travailler ensemble les informaticiens, juristes, experts métier, records managers et archivistes. Chacun, dans son domaine de responsabilités, apporte ses exigences et contribue à une spécification exhaustive et détaillée du processus documentaire lui-même.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Document électronique et cadre juridique «Toutes les organisations devant être inscrites au registre du commerce sont soumises à l obligation de conservation» Contrairement à une idée fausse et pourtant répandue qui fait croire que tout n est que vide juridique dans le domaine des documents dématérialisés, le législateur français a déjà établi et précisé les conditions de la conservation électronique des documents, de l utilisation de tels documents électroniques comme moyens de preuve ainsi que les mesures à prendre pour garantir la protection des données qu ils contiennent. On dispose ainsi d un arsenal juridique déjà fourni qui permet à l entreprise de s assurer que les dispositifs techniques et organisationnels qu elle a choisis et mis en place sont conformes aux lois. La conservation électronique des documents de l entreprise La conservation électronique en tant que telle est expressément abordée dans la loi sous l angle de la tenue et de la conservation de la comptabilité commerciale, aux articles L.123-22 et suivants et aux articles R.123-173 et suivants du Code de commerce. Tout commerçant, toute personne physique ou morale devant être inscrite au registre du commerce et des sociétés, soit la quasi-totalité des acteurs économiques privés en France, est soumise à cette obligation légale de conservation ( L123-1). «Le législateur se montre résolument favorable à la mise en œuvre d outils électroniques propres à rationaliser et à faciliter la conservation des documents» correspondance commerciale qui engage l entreprise ou l organisation, lui confère des droits et a une influence sur son bilan (documents entrants et sortants ainsi que des documents internes). La durée de conservation est de dix ans à partir de la fin de l exercice annuel au cours duquel les dernières inscriptions comptables ont été faites, les pièces comptables ont été établies, la correspondance a été reçue ou expédiée (article L.123-22 alinéa 2 du Code de commerce). Le législateur se montre résolument favorable à la mise en œuvre d outils électroniques propres à rationaliser et à faciliter la conservation de tels documents. Ainsi, hormis le livre-journal et le livre d inventaire qui doivent être conservés sur leur support original et signés, l intégralité des livres auxiliaires, des pièces justificatives et de la correspondance peut être tenue et conservée sur tout support et notamment sur support électronique. Les conditions de légalité d une telle conservation électronique sont la fiabilité du système utilisé, l irréversibilité du support, la garantie de la chronologie des écritures et de lisibilité de ces documents en tout temps (article R.123-173 alinéa 3 du Code de commerce et articles 420-4 et suivants du Plan Comptable Général - PCG). Les moyens de preuve mis en œuvre pour authentifier la date d établissement des documents informatiques écrits sont laissés à l initiative du chef d entreprise. Les principes à respecter pour que ces exigences soient remplies en matière de conservation électronique sont détaillés dans le code de commerce et dans le Plan Comptable Général (PCG). Cette obligation concerne la comptabilité au sens strict du terme (livresjournal, livres d inventaire, grands livres, livres auxiliaires, pièces justificatives des écritures comptables, factures...). Elle concerne également toute la
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Les principes en question sont les suivants : > Principes généraux, applicables tant à la tenue qu à la conservation des documents : Principes de régularité, de sincérité, d image fidèle (article L.123-14 du Code de commerce) Principe de prudence (article L.123-20 du Code de commerce) Principe de permanence des méthodes (article L.123-17 du Code de commerce) Principes de disponibilité et de lisibilité : pendant tout le délai de conservation, la consultation doit être possible en tout temps et dans un délai raisonnable par les organismes de contrôle (article L.123-22 alinéa 3 du Code de commerce, article 410-4 du PCG). Respect du principe de chronologie > Principes spéciaux pour les «documents informatiques» Principe de fiabilité : les documents doivent être identifiés, numérotés et datés dès leur établissement par des moyens offrant toute garantie en matière de preuve (article R.123-173 du Code de commerce). Cela implique que «les documents comptables relatifs à l'enregistrement des opérations et à l'inventaire sont établis et tenus sans blanc ni altération d'aucune sorte, dans des conditions fixées par décret en Conseil d'etat» (article L.123-22 du Code de commerce). Principe de documentation : il s agit de documenter l organisation, les compétences, les modes de travail, les procédures et l infrastructure (matériel et logiciels) utilisés pour la tenue et la conservation des documents. Le document doit permettre de comprendre le «système de traitement». S agissant du principe primordial de la régularité, il est important de souligner que concernant la technologie à mettre en œuvre, le droit et la jurisprudence français reconnaissent la légalité du recours à l informatique. Dans le domaine de la conservation électronique de documents, on peut ainsi s inspirer de normes telles que la norme ISO 15 489 «Records management». Toutefois, ces normes ne s appliquent pas intégralement et de manière contraignante à toutes les organisations, sans distinction de leur taille ou de leur activité. Leur implémentation dans un cas concret doit être déterminée en fonction de la nature et de l étendue des affaires de l organisation, de son environnement réglementaire et de ses besoins spécifiques. En conclusion, la conservation sous format électronique des documents d entreprise et, au premier chef, des documents comptables pris au sens large est totalement admise par principe. Toutefois, la loi pose certaines conditions théoriques à respecter. Ces conditions relèvent du domaine technique et organisationnel et imposent à l entreprise le recours à des prestations et des prestataires informés de l existence des principes rappelés ci-avant Le document électronique comme moyen de preuve «Les documents Depuis une loi du 13 mars 2000, le droit électroniques sont français a adopté le principe dit de neutralité donc explicitement et de non-discrimination en matière de admis comme preuves, droit de la preuve. Cela signifie qu un juge au même titre ne peut rejeter une preuve qui lui est qu un document papier» rapportée au seul motif que cette preuve est électronique. S il entend la rejeter, il doit motiver son rejet et expliquer en quoi cette preuve ne le convainc pas. Ainsi, l'article 1316-1 du Code civil prévoit que «l'écrit sous forme électronique est admis en tant que preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité». Ce texte reconnaît ainsi, de manière explicite, que les documents électroniques sont admis comme preuves au même titre qu un document papier. Là encore, le législateur a clairement exprimé sa volonté de favoriser le recours à des outils de traitement et de conservation électronique de documents. Il ressort cependant de ce texte que la preuve littérale sous forme électronique
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 est admise à une double condition théorique. Premièrement, il faut que la personne, auteur du document, soit dûment identifiée. Cette caractéristique renvoie aux notions d'identification et d'imputabilité de l'acte, c'est-à-dire à l'identification de l'auteur de l'acte et de son lien avec lui. Deuxièmement, le texte impose que l'intégrité de l'acte soit garantie, dans tout son cycle de vie, depuis son établissement jusqu à sa conservation. L'identification de l'auteur, l'imputabilité et l'intégrité de l'acte électronique constituent les caractéristiques cumulatives exigées par la loi, en sus de celle d'intelligibilité posée d'une façon générale à l'article 1316 du Code civil. Il découle de ce qui précède qu une organisation a la faculté de se libérer de ses archives physiques sur papier en mettant en place un processus et un système d archivage électronique conformes à la loi. En cas de litige, elle pourra produire, en tant que preuves par titres, des fichiers électroniques extraits de son système d archivage électronique (documents et métadonnées telles que signature électronique et horodatage pour garantir l authenticité). Ces fichiers ont par principe la même force probante que le document original sur papier (par exemple un contrat signé). En cas de contestation de l authenticité du document électronique, l entreprise devra démontrer la conformité de son système d archivage électronique aux exigences légales, notamment en ce qui concerne la gestion de l intégrité dans le système et la sécurité des dispositifs de signature électronique. Cette condition implique en particulier la production de la documentation technique appropriée, conformément aux recommandations de la norme AFNOR NFZ 42-013. Si cette conformité est établie, le juge n a aucune raison de douter de la fiabilité de la preuve électronique qui lui est soumise. En conclusion, dans le domaine de la preuve, la loi reconnaît par principe la possibilité de recourir à la preuve électronique au même titre qu à la preuve papier. Cependant, l entreprise devra recourir, pour anticiper tout litige, à un système d information éprouvé et construit pour répondre aux conditions théoriques posées par la loi et dont le juge pourrait demander la démonstration en pratique. Le cas spécifique des données à caractère personnel La directive européenne du 24 octobre 1995 a repris la plupart des principes fondateurs de la loi française du 6 janvier 1978 (dite loi «Informatique et libertés») pour les étendre à l ensemble des Etats de l Union Européenne. La loi de 1978 a été modifiée par la loi n 2004-801 du 6 août 2004 et son décret d application n 2005-1309 du 20 octobre 2005. Elle prévoit un dispositif fort de protection des données à caractère personnel. Une donnée à caractère personnel ou donnée personnelle est définie comme toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d identification ou à un ou plusieurs éléments qui lui sont propres. Au regard de cette définition très large, autant dire que les informations traitées par les entreprises constituent très souvent des données à caractère personnel au sens de la loi «Informatique et libertés» (par exemple, factures, commandes, contrats, e-mail sur lesquels figure le nom ou la raison sociale d une personne identifiée ou identifiable). Dès lors qu un traitement de données est mis en place, il faut donc respecter les règles relatives à la protection des données à caractère personnel (article 2 de la loi du 6 janvier 1978). Les entreprises, organismes ou établissements privés ont l'obligation, au regard de la réglementation, d'archiver nombre d'informations très détaillées sur leur activité passée, en particulier au sujet des opérations effectuées avec leurs clients, fournisseurs ou salariés. Ces informations sont, dès lors, protégées par les dispositions de la loi précitée relative aux fichiers, à l'informatique et aux libertés. Face à la mémoire de l'informatique et en application du «droit» à l'oubli, la loi exige (article 6-5 de la loi du 6 janvier 1978) de garantir que les données collectées sur les individus ne soient pas conservées, dans les entreprises, pour des durées qui pourraient apparaître comme manifestement excessives. La Commission nationale de l'informatique et des libertés (CNIL) a pour mission de veiller au respect de ce principe s'agissant,
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 en particulier, des durées de conservation relatives aux informations collectées par les entreprises, organismes ou établissements privés mais aussi des modalités de conservation de ces informations. Ainsi un certain nombre d obligations sont prévues par la loi quant à la protection des données à caractère personnel. Nous présentons ci-après sommairement quelques-unes de ces obligations. > La sécurité des données à caractère personnel Tout responsable d un traitement informatique de données à caractère personnel doit mettre en place «toutes précautions utiles» pour assurer la sécurité des données collectées à l occasion d un traitement. Ces mesures doivent être physiques (sécurité des locaux), logiques (sécurité des systèmes d information) et adaptées à la nature des données et aux risques présentés par le traitement. Ainsi en application de l'article 34 de la loi du 6 janvier 1978 modifiée, le responsable du traitement doit mettre en œuvre les mesures techniques et d'organisation appropriées pour protéger les données archivées contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés (notamment lorsque le traitement comporte des transmissions de données dans un réseau) ainsi que contre toute autre forme de traitement illicite. Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger. Le non-respect de l obligation de sécurité qui impose de prendre «les mesures prescrites à l article 34 de la loi n 78-17 du 6 janvier 1978» c est à dire de prendre «toutes précautions utiles» est sanctionné de 5 ans d'emprisonnement et de 300 000 d'amende (art. 226-17 du Code pénal). À ses pénalités s ajoute le pouvoir de sanction spécifique reconnu à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). L'article 35 de la loi du 6 janvier 1978, modifiée en 2004, précise que si le responsable de traitement choisit de sous-traiter l archivage des données, il doit retenir un prestataire apportant des garanties suffisantes au regard des mesures de sécurité technique et d'organisation relatives aux traitements à effectuer. Il doit par ailleurs veiller au respect de ces mesures. La soustraitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable de traitement. Ce document prévoit notamment que le sous-traitant n'agit que sur la seule instruction du responsable de traitement et que les obligations en matière de sécurité incombent également à celui-ci. > La confidentialité des données Seules les personnes autorisées doivent avoir accès aux données personnelles contenues dans un traitement. Il s agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (comme la police ou le trésor public). La communication d informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de 300 000 d'amende. La divulgation d informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de 100 000 d amende (art. 226-22 du code pénal). À ces sanctions s ajoutent celles reconnues à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). > Formalités préalables obligatoires auprès de la Commission nationale de l informatique et des libertés (CNIL) Sauf un petit nombre de traitements dispensés de formalités par la CNIL, il convient de considérer que tout traitement de données à caractère personnel doit être déclaré ou autorisé par la CNIL avant d être mis en œuvre. L'autorisation de la CNIL est exigée pour les traitements qui sont listés à l article 25 de la loi du 6 janvier 1978. Les traitements informatiques de données personnelles qui présentent des risques particuliers d atteinte aux droits et aux libertés doivent préalablement être soumis à l'autorisation de la CNIL, dans le cadre d une procédure plus lourde que la simple déclaration.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Le non-accomplissement de ces formalités préalables est sanctionné de 5 ans d'emprisonnement et 300 000 d'amende (art. 226-16 du Code pénal). À ces sanctions s ajoutent celles reconnues à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). > La durée de conservation des informations «Droit à l oubli» Les données à caractère personnel ont une date limite de conservation. Le responsable d un fichier fixe une durée de conservation raisonnable en fonction de l objectif du fichier. La CNIL pourrait émettre des recommandations relatives à la durée de conservation pour certains types de traitements. «Un système d archivage électronique doit ainsi non seulement garantir l archivage conforme aux exigences légales pendant le délai de conservation, mais également la destruction des documents à l issue de ce délai» En matière comptable, il a été vu que les documents doivent être conservés 10 ans (articles L123-22 et R 123-172 du Code de Commerce). Dans le cadre d un système d archivage, la conservation de données n est autorisée que tant et aussi longtemps qu elle répond à une obligation légale de conservation (ou, pour le moins, qu elle repose sur un intérêt prépondérant comme, par exemple, celui de conserver des documents particulièrement importants dans le but de pouvoir retracer l histoire de l organisation). Il en découle l obligation d assurer la destruction de toutes les informations dont le traitement n est plus justifié, ce qui devrait être le cas pour la grande majorité des documents archivés à l issue de leur délai légal de conservation. Un système d archivage électronique doit ainsi non seulement garantir l archivage conforme aux exigences légales pendant le délai de conservation, mais également la destruction des documents à l issue de ce délai. Le Code pénal sanctionne de 5 ans d'emprisonnement et de 300 000 d'amende (art. 226-20 du code pénal) la conservation des données au-delà de la durée qui a été déclarée ou autorisée par la CNIL. A ces sanctions s ajoutent celles reconnues à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). > L information des personnes ou droit d accès Le responsable d un fichier doit permettre aux personnes concernées par des informations qu il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1 500 par infraction constatée et 3 000 en cas de récidive (art. 131-13 du code pénal et Décret n 2005-1309 du 20 octobre 2005). > La finalité des traitements Un fichier doit avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes avec son objectif. Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Tout détournement de finalité est passible de 5 ans d'emprisonnement et de 300 000 d'amende (art. 226.21 du Code pénal. A ces sanctions s ajoutent celles reconnues à la CNIL (jusqu à 150 000 de sanctions pécuniaires, des mesures de publicité principalement). Les caractéristiques principales du cadre légal français esquissé ci-dessus peuvent être résumées ainsi : > Le législateur français encourage la mise en œuvre d outils électroniques dans le domaine de l archivage. > L archivage électronique nécessite la mise en place de processus et d un système d archivage respectant avant tout les principes formulés (notamment le principe de régularité qui renvoie aux méthodes généralement admises et aux recommandations de la profession). En revanche, il n y a pas d exigence légale quant à la technologie à utiliser. > À condition de respecter les principes précités, les documents archivés par un moyen électronique ont la même force probante que des documents conservés sur papier. > La réglementation en matière de protection des données s applique également dans le domaine de l archivage. Elle impose notamment l obligation de détruire les informations qui ne sont plus requises.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 En conclusion, s agissant des données à caractère personnel, la loi est très exigeante sur les obligations de sécurité et de confidentialité qui s imposent à la personne qui les a collectées, stockées ou enregistrées. Elle impose également un formalisme fort, l ensemble du dispositif étant géré par un organisme indépendant dénommé la Commission Nationale de l Informatique et des Libertés. L ensemble de ce dispositif prévoit des sanctions pénales à l encontre de l organisation qui ne le respecterait pas (ou de son dirigeant), la CNIL disposant en outre d un pouvoir de contrôle et de sanctions qui lui est propre. Spécificités du secteur public Le secteur public est soumis à quelques contraintes spécifiques qui s additionnent à celles exposées plus haut. Il est tout d abord soumis à la réglementation sur la transparence administrative. Le principe de transparence veut que tout document administratif (au sens de l article 1er de la loi n 78-753 du 17 juillet 1978 tel que modifié par les articles 2, 3 et 4 de l ordonnance n 2005-560 du 6 juin 2005) soit accessible au public, à l exception des : > documents comportant des données personnelles (voir infra) ; > documents «confidentiels» dont la communication porterait atteinte au secret des délibérations du gouvernement, au secret de la Défense nationale, de la politique extérieure, à la monnaie et au crédit public, à la sureté de l Etat et à la sécurité publique ; > documents portant atteinte au secret de la vie privée ; > documents concernant les dossiers personnels et médicaux ; > documents portant atteinte au secret en matière commerciale et industrielle. Ces documents non communicables le deviennent toutefois après un délai de 30 ans (article 6, II de la loi n 78-753). Cette exigence implique une maîtrise accrue des processus documentaires. La dématérialisation peut représenter ici un avantage. Il est en effet nettement plus facile de communiquer un document électronique par courriel plutôt que de rechercher un document papier dans un dépôt d archives, de le reproduire et l envoyer par courrier postal. La contrepartie de cette facilité est néanmoins l obligation de mettre en place des systèmes efficaces de gestion des documents électroniques. On voit également apparaître une demande accrue pour la mise à disposition publique de jeux de données détenues par les administrations. Cette tendance, connue via l anglicisme «Open Data», traduit en français par «Donnée publique», est très vive. Ainsi a été lancé le lundi 5 décembre 2011 le site Internet www.data.gouv.fr. Établi par un décret du premier ministre en février 2011, ce «portail unique interministériel des données publiques» était le principal objectif de la mission Etalab. Il se place dans les pas du portail data.gov ouvert en 2009 aux Etats-Unis par l'administration Obama. Cette initiative s'inscrit dans le mouvement de l'«open Data» qui, pour une plus grande transparence et un meilleur fonctionnement de la vie publique, entend donner au citoyen un accès libre à de nombreuses bases de données. Les administrations publiques sont donc soumises à la législation sur la protection des données personnelles, au même titre que les entreprises privées. Elles ont cependant une responsabilité plus grande dans la mesure où les données qu elles collectent ou produisent le sont sous le couvert d exigences légales auxquelles le citoyen ne peut se dérober et qu elles couvrent une population numériquement importante. De plus, certains secteurs de l administration possèdent des données sensibles (santé, social, par exemple). Elles doivent donc être particulièrement prudentes dans la gestion de la communication et de l interconnexion possible de ces données. Les administrations doivent mettre en place des contrôles de droits d accès adéquats et la possibilité de correction des données erronées.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Ces exigences d anonymat relatif peuvent sembler entrer en conflit avec un troisième domaine législatif qui est celui des archives publiques. En effet, la plupart des lois sur la protection des données personnelles visent à les faire détruire une fois qu elles n ont plus d utilité courante. Mais certaines données présentant un intérêt historique, scientifique ou statistique justifient qu elles ne fassent l objet d aucune destruction. La conservation de ces données est garantie par l application des lois sur l archivage public (Délibération n 88-052 du 10 mai 1988). Une sélection doit alors être opérée entre les données destinées à être conservées et celles qui, dépourvues d utilité administrative ou d intérêt historique, scientifique ou statistique, sont destinées à être éliminées (article L212-3 du Code du Patrimoine). Un dernier domaine, qui doit tenir compte des contraintes réglementaires, est celui de la mise en place de ce qu il est convenu d appeler la cyberadministration. L administration a mis en place d ambitieux programmes visant à mettre ses services «en ligne» notamment au travers du site internet «mon.service-public.fr». Ce dernier a été proposé par le comité interministériel pour la réforme de l'etat (CIRE), dans le cadre du programme d'action gouvernemental pour la société de l'information (PAGSI) puis du programme gouvernemental RE/SO 2007. «mon.service-public.fr» est aujourd hui développé par la Direction générale de la modernisation de l Etat (DGME), direction du Ministère du Budget, des Comptes publics et de la Réforme de l Etat. Pour que cette cyberadministration fonctionne correctement, il faut mettre en place des flux de données ergonomiques et fiables (gestion des processus et Records management) mais également des infrastructures d archivage de haute qualité. Celles-ci, appelées communément Système d archivage électronique (SAE) selon la norme Moreq 2, sont actuellement progressivement mises en place dans différentes administrations. Ces infrastructures sont également construites selon la norme OAIS (Open Archival Information System) devenue la norme ISO 14721 : 2003. La norme OAIS encadre la définition des différentes entités logiques nécessaires pour permettre d assurer une conservation à long terme qui, dans le cadre des institutions publiques, doit dépasser le siècle. C est la gestion à (très) long terme qui représente la spécificité majeure de l archivage électronique pour les administrations publiques. Dans cette optique de cyberadministration, la plateforme technique de «mon.service-public.fr» a fait l objet d un travail préparatoire approfondi avec la CNIL en vue d offrir aux usagers toutes les garanties en matière de sécurité et de confidentialité des données. En effet, outre l aspect logistique, qui intéresse peu le citoyen, la mise en place de guichets virtuels implique un système d identification des personnes très fiable. 1 Model Requirements for the management of electronic records dont la dernière version Moreq2010 (Modular Requirements for Records Systems) a été mise en ligne le 6 juin 2011.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Document électronique et cadre normatif Loin d être une contrainte, la mise en œuvre effective de normes dans l entreprise produit un avantage concurrentiel. Elle fournit un cadre de connaissances éprouvées sur lequel les organisations peuvent s appuyer pour développer leurs activités. L application de ce cadre est un gage d interopérabilité entre les solutions ainsi que de réversibilité. Dans le domaine de la gestion de l information et des documents électroniques, les normes ISO ont pour objet de définir, d encadrer (voire de certifier) les systèmes de gestion de l information et des documents et, par conséquent, la réalisation de SAE comme moyens techniques. Ainsi, les normes ISO peuvent être classées en deux grandes familles : > les normes de système de management (NSM), comme celles de la série 9000 liée à la qualité ou celles de la série 14000 rattachée à l'environnement ou encore la série 31000 relative au management du risque, > les normes techniques, destinées à formaliser les modalités de mise en œuvre, comme par exemple celles d un SAE ou d un processus de dématérialisation. Dans le domaine de l archivage électronique, la norme ISO 15489 «Records management», publiée en 2001, fait référence. Elle pourrait être l objet, à partir de l année 2012, d une révision significative qui conduira à distinguer les aspects de management des modalités techniques de réalisation. Les aspects de système de management seront couverts par la nouvelle série de normes ISO 30300. Les aspects de réalisation seront encadrés par la norme ISO 15489 révisée et par des normes connexes. Le schéma figurant sur la page 37 présente l articulation de ce corpus de normes qui conjugue une finalité de bonne gouvernance et des modalités de réalisation.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Nous avons choisi de commenter ces deux séries de normes (ISO 30300 et ISO 15489). La première souligne la portée stratégique de la gestion des documents d activité, la seconde celle des modalités de mise en œuvre effective par les professionnels. D autres normes relatives à la mise en œuvre des SAE seront également citées. Par ailleurs, la traduction de l expression «Records management» par «Gestion des Documents d Activités», à l occasion de la création des normes 30300, est une avancée majeure qui devrait faciliter la compréhension de ce concept. > La norme ISO 30300 de système de management La série de normes ISO 30300 reprend et complète la norme ISO 15489 pour ce qui concerne le système de management des informations et des documents. C est donc une norme de système de management au même titre que l ISO 9001, pour le management de la qualité, ou encore que l ISO 31000, pour le management du risque. La norme ISO 30300 relève de la politique des organisations en matière de management de l information et des documents dans une démarche d amélioration continue. Elle met en évidence, par sa mise en œuvre, le fait que les ressources informationnelles (informations et documents) sont des actifs de l organisation et font partie de son capital intellectuel. Elle apporte un cadre pour la bonne gouvernance des documents d activité. ISO 30300 et les suivantes ont été conçues dans une optique de processus. Elles répondent aux besoins de toutes les parties prenantes : direction métier, direction système d information, direction juridique, direction ressources humaines. Pour définir et établir une politique de management des informations et des documents, ces normes recommandent, dans un objectif de preuves fiables et faisant autorité : > de définir les rôles et les responsabilités de chacun, > de spécifier les processus et les systèmes de management, > de convenir des modalités de mesure et d évaluation de ces systèmes, > de mettre en œuvre les améliorations nécessaires. Dans leurs grandes lignes, ces normes établissent un certain nombre de principes qui conduisent les organisations à formaliser les relations entre le système de management des informations et des documents et le système de management général. Elles impliquent fortement la direction des organisations. Ce sont ces mêmes directions qui devront fixer les orientations et les objectifs à atteindre, qui rendent obligatoire l adoption par les personnels des exigences du système de management et qui s assurent de la disponibilité des moyens et des ressources. Finalement, l'application de telles normes conduit à la mise en place d'une bonne gouvernance en matière de management des informations et des documents. > La norme ISO 15489 «Records management» La norme ISO 15489, dite de «Records management», est une référence pour la gestion de l archivage des documents produits par les organisations. Elle comporte deux parties. La première concerne les principes directeurs. La seconde est un guide pratique. La norme ISO 15489 de «Records management» a la volonté : > de répondre aux exigences légales et réglementaires de gestion des informations et des documents électroniques, en matière d archives, d audit et de contrôle, > de définir les informations et les documents qui relèvent du «Records management». En d autres termes, les documents que l organisation considère comme stratégiques pour assurer la continuité de son activité en cas de dysfonctionnements graves ou de sinistres, > de convenir des responsabilités et des compétences des différents acteurs : concepteurs, archivistes, informaticiens, qualiticiens, > d élaborer et de valider de nouveaux processus de travail, entre décideurs, administrateurs et collaborateurs, > d adapter et de maintenir l interopérabilité d un SAE avec les autres systèmes, > de mettre en œuvre un plan de gestion du changement comprenant, entre autres, un plan de formation, > de préserver les intérêts de l organisation et les droits de ses employés, de ses clients et des utilisateurs présents et futurs des «Records», > de préserver une mémoire de l organisation.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 ISO 15489 définit des exigences afin que les organisations produisent et conservent des documents authentiques, fiables et exploitables et qu elles préservent leur intégrité aussi longtemps que nécessaire. Qu elles soient de l ordre du principe ou techniques, ces exigences sont utiles à la conception d un SAE. Principes généraux d un programme de «Records management» : > quels documents à minima il convient de produire et d archiver, > quelles formes et quelles techniques doivent être retenues pour produire et archiver ces documents, > quelles métadonnées il convient de créer et de maintenir dans le temps pour décrire les contenus de ces documents, les usages et les droits associés, > quels modes d organisation (plan de classement) il faut retenir des documents, > quels sont les risques en cas de non-disponibilité de documents probants pour une activité, > quelles sont les exigences légales des pays concernés par l activité de l organisation. Exigences caractérisant un document d archives. ISO 15489 définit des exigences qui caractérisent un document d archive et en particulier : > son authenticité : le document est bien ce qu il prétend être, > sa fiabilité : le document représente exactement et complètement les opérations et les activités qu il atteste, > son intégrité : le document est complet et non altéré, > son exploitabilité : le document peut être replacé dans un contexte d activité. Exigences caractérisant un SAE ISO 15489 définit les exigences d un système d organisation et de gestion des documents d archives ou SAE. Celui-ci doit répondre à plusieurs exigences fondamentales : > pérennité des contenus numériques conservés, > intégrité : la modification des contenus conservés doit être impossible ou détectable, > sécurité : le système doit garantir la conservation et l accessibilité aux contenus pendant toute leur durée de conservation, > traçabilité : enregistrement systématique de toutes les opérations sur les contenus conservés, > réversibilité : quelle que soit la configuration retenue pour exploiter le SAE, la solution doit permettre la récupération ou la migration des contenus dans des conditions techniques et économiques convenues d avance. Enfin, le SAE doit être en conformité avec les exigences énoncées et revêtir un caractère systématique. > La norme ISO/FDIS 14641-1 : Spécifications pour la conception et le fonctionnement d'un système d'informations pour la conservation d informations électroniques Cette norme s appuie presque intégralement sur la norme française NF Z 42-013 révisée en 2009. Elle a été validée le 15 janvier 2012. Les objectifs de la norme sont de : > fournir, dans le prolongement des dispositions légales et/ou réglementaires, un cadre technique permettant de mettre en place des systèmes d archivage électronique (SAE) à vocation probatoire destinés à conserver des documents numériques d origine ou obtenus par numérisation, > proposer un texte décrivant les aspects techniques et organisationnels nécessaires et suffisants pour garantir l intégrité, la pérennité, la sécurité et la traçabilité des documents conservés dans un SAE, > fournir un référentiel d audit permettant de déterminer la conformité d un SAE au regard des spécifications de la norme, > fournir aux éditeurs de progiciels un ensemble de points techniques à mettre en œuvre, > fournir aux archivistes et aux tiers-archiveurs un ensemble d indications leur permettant de mettre en conformité leurs offres de services.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 > Les normes connexes En compléments de l ISO 15489 et selon les spécificités des activités de l organisation et des documents éligibles comme «Records», il pourra être intéressant de s appuyer sur des normes techniques comme : > la norme ISO 23081 relative aux principes de gestion courante des métadonnées et des versements des documents aux archives, > la norme ISO TR 13028 concernant les lignes directrices pour la numérisation des informations et des documents, > la norme ISO 13008 applicable aux processus de conversion et de migration des informations et des documents numériques, > la norme ISO 16175 en trois parties, dite ICAReq. Elle présente les principes et les exigences fonctionnelles pour la capture des informations et des documents directement à partir des environnements bureautiques et des systèmes d information des entreprises, > les différentes versions de la norme ISO 19005 (PDF/A) qui définissent des formats d archivage répondant à l exigence fondamentale de pérennité définie ci-dessus. Par ailleurs, et il est utile de le préciser ici, l Union Européenne a souhaité uniformiser les politiques d archivage des pays membres. Elle a établi un recueil d exigences pour l organisation de l archivage électronique dénommé MoReq (Model Requirements for the Management of Electronic Documents) et basé sur la norme ISO 15489 «Records Management». Édité en 2001 et considéré comme difficilement applicable, MoReq a été remplacé en 2008 par MoReq2 qui devait l être à son tour par MoReq 2010 avec des objectifs de simplification et de modularité. > L intérêt des deux familles de normes Complémentaires, les normes de la série ISO 30300 et les normes techniques interviennent sur des niveaux différents. Les premières s inscrivent dans les principes du management de la qualité et donc de la stratégie des organisations. Les secondes, de nature technique, concernent les spécifications des processus et des systèmes informatiques de type SAE, en vue de l archivage des documents. Mettre en œuvre conjointement ces familles de normes permet à chaque organisation de définir une politique de gestion des informations et des documents conforme aux exigences légales et réglementaires françaises (politique d archivage). Elles conduisent à mettre en place des moyens - processus et SAE - qui garantissent la pérennité, l intégrité, la sécurité et la traçabilité des documents archivés. Cette démarche peut paraître complexe. Néanmoins, elle peut être conduite progressivement en choisissant certaines familles de documents, en privilégiant l approche managériale ou celle des moyens techniques, ou encore en faisant appel à des professionnels. Enfin, lorsque la situation se présente, il convient de souligner que la numérisation des documents papier doit faire l objet d une attention particulière pour garantir les qualités des contenus transférées dans le SAE. > La validation des solutions d archivage électronique A juste titre, les entreprises publiques ou privées qui ont recours à l archivage électronique s interrogent sur la conformité de leur solution aux exigences légales et réglementaires. Plusieurs situations doivent être distinguées. Aux termes du décret 2009-1124 du 17 septembre 2009, la conservation des archives courantes et intermédiaires produites par les administrations et entreprises publiques peut être assurée par des tiers-archiveurs agréés. Pour obtenir l agrément pour la conservation des archivages électroniques, les solutions des tiers-archiveurs doivent être conformes aux normes NF Z 42013 et ISO 14721, dite OAIS. A cela s ajoute le respect du SEDA (Standard d Echange pour les Données d Archivage) qui définit, d une part, un protocole d échange entre les systèmes de production et les systèmes d archivage et, d autre part, un modèle de métadonnées. Un processus de certification des solutions d archivage électronique est en cours de finalisation. Il est placé sous l égide de AFNOR Certification qui sera chargée de délivrer le certificat de conformité à la marque NF 461.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 La démarche de certification s appliquera à 2 situations : les SAE exploités en interne par les entreprises et les solutions proposées sous forme de prestations de service par les tiers-archiveurs. Il est important de souligner que l audit de conformité d une solution d archivage électronique concerne nécessairement tous les composants du SAE : logiciels, matériels, procédures d exploitation. Pour être complet, signalons que les prestataires de d archivage papier ont également défini une marque de certification : NF 342 «Prestations d'archivage et de gestion externalisée de documents» Normes de systèmes de gestion des documents d activité Cadre pour la gouvernance des documents d activité Principes essentiels et terminologie Exigences Lignes directrices Éléments à l appui d une structure de haut niveau ISO 30300 Systèmes de gestion des documents d activité Principes essentiels et vocabulaire ISO 30301 Systèmes de gestion des documents d activité Exigences ISO 30303 Systèmes de gestion des documents d activité Exigences relatives aux organismes d audit et de certification ISO 30302 Systèmes de gestion des documents d activité Guide de mise en œuvre ISO 30304 Systèmes de gestion des documents d activité Guide d évaluation Normes et rapports techniques connexes Mise en œuvre des processus liés aux documents d activité ISO 15489 Records management Partie 1 Principes directeurs Partie 2 Guide pratique ISO/TR 13028 Mise en œuvre des lignes directrices pour la numérisation des enregistrements ISO 14641-1 Spécifications pour la conception et le fonctionnement d un système d informations pour la conservation d informations électroniques ISO 23081 Métadonnées pour les enregistrements Partie 1 Principes Partie 2 Concepts et mise en œuvre Partie 3 Méthode d auto-évaluation ISO 13008 Processus de conversion et migration des documents d activité numériques ISO/TR 26122 Analyse du processus des «records» ISO 16175 Principes et exigences fonctionnelles pour les enregistrements dans les environnements électroniques de bureau Partie 1 Aperçu et déclaration des principes Partie 2 Lignes directrices et exigences fonctionnelles pour les systèmes de management des enregistrements numériques Partie 3 Lignes directrices et exigences fonctionnelles pour les enregistrements dans les systèmes d entreprise D après la norme ISO 30300
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Que faut-il faire? Pour quels documents? Tous les documents n ont pas la même portée. Ils ne relèvent donc pas tous des mêmes exigences légales et, par conséquent, des mêmes obligations en matière de conservation. Les factures émises et reçues, les contrats, les bulletins de paie, la documentation technique d un produit et d un service, les notes de services ne sont pas exposés aux mêmes risques et ne répondent pas aux mêmes obligations légales d archivage et de communication. Il serait dommageable de leur appliquer, à tous et sans distinction, les mêmes modalités de gestion et d archivage. Parallèlement, les règlements encadrant les activités et les obligations en matière de gestion documentaire varient d un secteur économique à l autre. Il en est ainsi, par exemple, pour la santé, l environnement, le transport, l énergie ou encore la finance. En conséquence, un travail préalable d analyse documentaire est nécessaire. Il conduit à la réalisation d un «Référentiel de conservation». Celui-ci concerne les documents entrants et sortants autant que les documents internes de l organisation. Il distingue ceux qui sont nativement électroniques de ceux qui sont sous forme papier et qui peuvent être conservés sous leur forme physique ou être numérisés. L établissement de ce référentiel est un moment important pour tous les responsables de l organisation. Il nécessite un travail en équipe où se retrouvent les responsables «métier», les responsables système, les archivistes et les juristes. Pour chaque document, ce travail conduit à poser, pour le moins, les questions suivantes : > Quelle est la finalité de ce document? Exemple : facture, contrat, brevet, etc. > Quelles sont l origine et la destination de ce document : interne (quel service, quel auteur), externe (quelle société, quelle direction)? > Quel est son support : papier (faut-il le numériser?), électronique (quel format de représentation?) > Dans quel processus s inscrit-il : facturation, ressources humaine, commercial, approvisionnement, etc.? > Quelle est sa portée : stratégique, juridique (obligation légale ou non), technique, etc.? > Quels sont les menaces (vol, sinistre, malversation) et les risques associés à ce document? > Quelle est sa durée de conservation? Finalement, la formalisation de ces principales interrogations constituent les éléments d un «Référentiel de conservation» ou encore d un «Tableau de gestion». Le cas des e-mails Si à l origine les «e-mails» étaient assimilables à des enveloppes contenant des documents (pièces jointes), aujourd hui beaucoup cumulent les fonctions de transmission et de message. De fait, certains «e-mail» sont devenus des documents comme, par exemple, des bons de commande, des notes de services, des contrats, etc. Ils sont générateurs d engagements et d obligations entre leurs émetteurs et leurs destinataires. De plus, avec les mécanismes de suivi «Répondre» et «Transférer», ils reflètent une chronologie d échanges d une grande complexité et comportent des contenus souvent peu structurés. Néanmoins, ils doivent être traités comme des documents à part entière et peuvent relever du «Records management» dès lors qu ils traitent d un sujet vital pour l organisation. Ils peuvent constituer de la «correspondance commerciale» soumise à une obligation légale de conservation. La difficulté est bien évidemment de leur associer des métadonnées suffisamment précises pour les retrouver ultérieurement. En ce sens, les utilisateurs doivent être sensibilisés au fait que les «e-mails» sont des documents susceptibles d engager l organisation et que leur cycle de vie est difficilement identifiable et traçable.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Démarches et solutions La mise en place d un Système d Archivage Electronique s appuie sur une démarche de conduite de projet construite en plusieurs étapes : 1 Définition des objectifs à atteindre sur le plan stratégique. Quels sont les documents qui, vitaux pour l organisation de l entreprise, doivent relever d une politique de «Records management»? 2 Analyse de la situation documentaire actuelle : processus en place, systèmes et ressources. 3 Établissements d un référentiel de conservation (tableau de gestion) en fonction des éléments précités. 4 Choix d une solution organisationnelle, technique et financière. 5 Réalisation et mise en œuvre en interne d une solution adaptée ou mise en place d un système sous-traité totalement ou partiellement. 6 Mise en place d un plan de gestion du changement comprenant notamment un plan de formation. 7 Bilan et ajustements nécessaires. La quatrième étape de cette démarche conduit à une décision de réalisation : en interne ou avec sous-traitance. Cette décision est prise selon un certain nombre de critères propres à chaque organisation. Ce Livre blanc explore les deux voies possibles. La première à travers les «Solutions techniques» présentées au paragraphe 7.1 et la seconde à travers les «Solutions de services» présentées au paragraphe 7.2. Les solutions techniques La migration des documents papier en documents électroniques a conduit à la conception et à la mise en œuvre d un certain nombre d outils informatiques permettant d assurer l intégrité, l authenticité, l identification et la conservation des documents. Ces outils sont principalement utilisés
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 pour leur transmission par e-mail et pour leur archivage. Dans le premier cas, ils permettent de s assurer que les e-mails n ont pas été modifiés entre les étapes d émission et de réception. Dans le second cas ils permettent de s assurer qu entre l instant du versement et celui de la consultation, ce qui peut couvrir une période de cinq, dix ou cinquante ans, le document est bien resté le même. > Signature électronique La signature électronique est un dispositif informatique qui répond à deux besoins : assurer l intégrité du document et l authentification de son auteur. Pour assurer l intégrité, la solution consiste à crypter le document par un algorithme. Celui-ci fournit et associe au document une empreinte numérique (ou valeur de hachage) qui est unique. Si, à l occasion d une transmission ou durant son archivage, le document est modifié, son empreinte est alors recalculée au moment de la réception ou de la consultation. Elle n est plus identique à celle initiale qui avait été calculée au moment de l émission ou du versement dans le SAE. Cette modification de l empreinte signifie que le document a été modifié. Le décret n 2001-272 du 30 mars 2001 modifié et complété par le décret 2002-535 du 18 avril 2002 précise qu outre les conditions prévues par l article 1316-4 du Code civil, la signature électronique devra «être propre au signataire, être créée par des moyens que le signataire puisse garder sous son contrôle exclusif et garantir avec l acte auquel elle s attache un lien tel que toute modification soit détectable» (D.2001-272, article 1er). La signature électronique sécurisée ne pourra produire pleinement ses effets qu après avoir été certifiée. Cette procédure de certification s appuie à la fois sur des Prestataires de Services de Certification Electronique (PECS) agréés et sur l Agence Nationale de la Sécurité des Systèmes d Information (ANSSI). Les PECS effectuent des contrôles et des tests puis rendent compte des résultats obtenus. L ANSSI délivre des labels aux produits de sécurité. Censée faciliter les transactions d'affaire par voie électronique, la signature électronique vise aussi à permettre la commande, par Internet, de documents officiels auprès des administrations (notamment le casier judiciaire ou un extrait de l office des poursuites). Développant le principe d une «cyberadministration», ces mesures devraient faciliter les relations entre les entreprises et leur administration. Une signature numérique pourrait se présenter sous la forme de clé USB, de badge ou encore de service sur un site Web. > Horodatage Tracer par horodatage les événements attachés au cycle de vie d un document est un excellent moyen pour reconstituer, en cas de besoins, les opérations dont il a été l objet : création, consultation, modification, versement dans un SAE. Pour assurer une représentation incontestable des dates et des heures, il est nécessaire d installer, avec un SAE, un logiciel qui fait référence à une base de temps dite universelle. > SAE, Système d archivage électronique Un SAE a pour fonctions essentielles d assurer l intégrité, la sécurité et la pérennité des documents qui y sont versés. Ces fonctions doivent être assurées pendant des périodes de conservation qui peuvent s avérer extrêmement longues. C est sur ce point qu un SAE se distingue d un système de GED (Gestion électronique de documents). Ce dernier est un outil informatique destiné au partage et à l échange des documents. N en assurant ni l intégrité, ni la sécurité, ni la pérennité, il ne garantit pas la valeur légale du document. Le SAE est une des composantes du système d information de l organisation. Il doit être interopérable avec les différents sous-systèmes du système informatique comme ceux d ERP 3 et de bureautique. Il est le garant de l archivage et doit pour cela présenter un certain nombre de fonctions, dont : > une fonction de prise en compte des versements des documents dans le SAE qui prend appui sur un référentiel d archivage. Cette fonction assure l éligibilité des documents à être versés dans le SAE (renseignement des métadonnées, autorisation du format, etc.), 3 ERP, Entreprise Resources Planning
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 > une fonction de génération et de contrôle des métadonnées. Un document électronique ne peut pas être versé dans un SAE sans que des métadonnées lui soient attachées, > Une fonction de contrôle du format de représentation du document. Un SAE ne peut prendre en compte que des formats dits finaux ou non révisables et forcément normalisés. En ce sens, une liste de ces formats acceptables par le SAE doit être établie préalablement. PDF/A, par exemple fait partie de ces formats. > une fonction de génération des journaux destinée à tracer tous les événements affectant chaque document, consulter, utiliser et maintenir le SAE, > un ensemble de fonctions permettant l audit du SAE, > une fonction d élimination des documents. Il ne s agit pas d une fonction automatique. Elle établit des listes de documents à éliminer qu un opérateur vérifie, au cas par cas, avant de procéder à l élimination réelle. Un journal qui ne peut pas être détruit trace ces événements. > Numérisation La numérisation est le résultat d un processus de transformation d un document papier en fichier électronique au moyen d un scanner. Ce processus met en œuvre des équipements informatiques et, éventuellement, des logiciels de RAD 4 et LAD 5 et des opérateurs. Susceptible de faire l objet d erreurs ou de malversations, ce processus doit être encadré. La numérisation réalise la copie électronique d un document papier sous la forme d une image. Elle doit être gérée en référence aux normes techniques ISO 15489 et connexes présentées précédemment. C est une fonction qui peut être interopérable avec le SAE pour assurer directement le versement de documents faisant partie du référentiel d archivage. Enfin, à l issue du processus de numérisation, l organisation devra décider de la destruction ou non du document papier qui est par nature le document original. > Métadonnées Littéralement, les métadonnées sont des données sur une donnée. Elles constituent un ensemble d informations qui permettent, à minima, de décrire un document, son contenu, son accessibilité (degré de confidentialité) et de le nommer. Elles permettent aussi de décrire, à priori comme à posteriori, les usages du document, les droits qui y sont attachés ainsi que les modalités de sa conservation et de sa destruction. Les métadonnées sont donc un ensemble d informations dont il faut convenir avant la réalisation d un SAE. La norme ISO 23081 fait référence en la matière. Les solutions de services Les techniques informatiques jouent un rôle important en matière d archivage électronique. Néanmoins, la mise en place d un SAE, son exploitation, sa maintenance et son évolutivité reposent largement sur des principes juridiques et des modalités organisationnelles. Dans ce contexte d expertises multiples, toute organisation a le choix entre une solution interne et une solution externalisée. La solution interne est celle de l intégration de système. Elle nécessite le choix de logiciels et le pilotage d une démarche de projet classique associant des informaticiens, des juristes, des archivistes et des décideurs «métier». Cette solution sous-entend également une démarche qualité afin d'intégrer le système d'archivage dans un cadre normatif certifiable pour s'assurer, en cas de nécessité, que les documents électroniques seront acceptés juridiquement. La solution externalisée est celle du choix d un prestataire de services en tiers-archivage. Dans ce cas, il s agit de retenir un partenaire dont l activité principale est l archivage, dans le cadre d un contrat de service. 4 RAD, Reconnaissance Automatique de Document. Un logiciel de RAD permet d identifier un document, par exemple de décider qu il s agit d une facture, d un bordereau, d une carte d identité, etc. 5 LAD, Lecture Automatique de Document. Un logiciel de LAD permet d extraire des informations d un document, par exemple pour générer automatiquement des métadonnées ou pour les injecter dans un ERP ou une base de données.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 > Les mesures à prendre Avant de confier l'archivage de ses documents à un tiers-archiveur, il convient de vérifier : > que, en qualité de prestataire stratégique des activités de l organisation, le tiers-archiveur est capable de respecter les engagements auxquels il est tenu et que les services qu il propose sont compatibles avec le niveau d exigence exprimé, > que les règles de sécurité et de confidentialité sont clairement décrites. Il faut notamment que les échanges entre l organisation et le tiersarchiveur comportent des moyens de sécurité suffisants (authentification forte, chiffrement, contrôle d'intégrité), > que le système proposé, outre le fait d'être conforme aux normes existantes, puisse : assurer l'identification unique et fiable de ses clients, garantir la confidentialité des données et métadonnées déposées, fournir des attestations de dépôt pour chaque opération, effectuer les destructions de documents sur notification des personnes habilitées et, après exécution, fournir les attestations correspondantes, fournir un journal de cycle de vie des archives pour chaque client, proposer un système ouvert et interopérable afin de permettre au client de changer de prestataire ou de réintégrer le système et les données en interne. Ce point est essentiel et les modalités de réversibilité doivent être clairement explicités dans le contrat de services. Quel que soit le choix effectué, le plus important est de s assurer de la conformité du SAE aux besoins fonctionnels exprimés. tout risque. Il ne peut en aucun cas être tenu responsable du contenu des éléments électroniques à archiver transmis par le donneur d ordre. L objectif essentiel de toutes ces mesures est d apporter devant le juge (ou tout autre organisme de contrôle) la preuve de la fiabilité du procédé mis en œuvre pour le service d archivage ainsi que les modalités de contractualisation. > Les avantages du tiers-archivage Le plus évident est purement financier et découle de la mutualisation des infrastructures du tiers-archiveur. Les autres avantages principaux de l externalisation de l archivage sont : > L indépendance du système de preuve : il évite d être juge et partie lorsqu il s agit de prouver sa bonne foi sur l intégrité des documents, > L accès facilité à l information sans mobiliser des ressources informatiques internes souvent surchargées, > Une mise en œuvre rapide du système d archivage sans investissement préalable majeur, > Un accompagnement basé sur le devoir de conseil du prestataire, notamment en matière de politique d archivage, > Une garantie de service 24h/24h, Enfin, le tiers-archivage est une solution souple qui évite des investissements initiaux élevés tout en permettant un développement progressif de l archivage sous forme électronique. L externalisation doit être contractualisée dans un cadre de confiance permettant de définir clairement les limites de responsabilité de chacun. En effet, la conformité du système d archivage ne repose pas seulement sur le système informatique utilisé. La solution englobe un ensemble de services et de processus qui seront explicités dans la politique d'archivage. Cette politique d archivage devra définir précisément les exigences en termes juridiques, fonctionnels, opérationnels, techniques et de sécurité, que le service d'archivage doit respecter afin que le SAE et les processus mis en place puissent être considérés comme fiables. Si le tiers-archivage apporte de nombreux avantages, il ne peut pas être considéré comme une assurance
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Retour d expériences Cas pratique détaillé 1 Contexte - Problématique Une PME de 160 salariés spécialisée dans la distribution de pièce pour l industrie souhaitait optimiser son processus de facturation clients, réduire ses coûts et s assurer de la conservation légale des documents électroniques Elle traite environ 1500 factures clients par mois (Saisie des données, contrôles, impression en double exemplaire, mise sous pli, expédition et classement interne). Les doubles des factures de l année en cours sont conservés en interne et une fois par an un versement des archives est réalisé dans les locaux sécurisés d Everial. Solution proposée Installation d une imprimante virtuelle et d'un connecteur d'archivage intégré à l outil de facturation. Ce système simple de mise en œuvre et totalement intégré au système de facturation en place permet : > La capture des factures au format standard PDF/A au moment de leur impression ainsi que l extraction des données essentielles : numéro de facture, code client facturé, date de la facture, montant TTC. > Le versement des lots d'archivage quotidien et leur transfert crypté dans le Système d Archivage Électronique (SAE) d Everial. > L intégration d une copie pour consultation directement dans le système de facturation et dans Oxiged faisant office de portail sécurisé de gestion électronique de documents permettant les accès externes (expert-comptable). Le traitement des factures reste inchangé pour les collaborateurs. Les tâches se déroulent en arrière-plan. Au lancement de l impression de l exemplaire original papier à envoyer au client, son double électronique se créé automatiquement et est ensuite versé dans le SAE. Ce dispositif respecte l instruction fiscale 3 E-1-07-N 4 du 11 janvier 2007 sur le double électronique lié à la facture client. Lors de la réception dans le SAE, chaque facture fait l objet d un calcul d empreinte ajoutée aux métadonnées pour assurer l intégrité du document. Les factures seront ensuite conservées pendant 10 ans après clôture de l exercice conformément aux règles en vigueur et restent facilement disponibles en cas de besoins. Bénéfices client > Simplifier la gestion de la facturation > Réduire les coûts liés au processus de facturation > Simplifier les recherches de documents et permettre l accès multi utilisateur interne et externe (Expert-Comptable) sur portail sécurisé > Disposer des éléments de preuve pour un document électronique et réduire le risque en cas de litige Cas pratique détaillé 2 Contexte - Problématique Une compagnie d assurance souhaitait dématérialiser son dossier client pour simplifier la gestion administrative, optimiser les tâches d archivage et de recherche et réduire ses coûts de traitement. Solution proposée Dans le respect des textes de loi sur la copie fidèle et durable, mise en place d une chaîne de traitement permettant : > La numérisation respectant les recommandations de la norme AFNOR NFZ 42-013 au format standard PDF/A ainsi que l extraction des données d indexation : N de client, de dossier, date, typologie du document. > La signature électronique des documents > Le versement des documents numérisés directement dans le système
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 de GED et en parallèle leur transfert crypté dans le Système d Archivage Electronique (SAE) d Everial. > La mise en place d un connecteur permettant d accéder aux documents directement depuis le logiciel métier. Chaque pièce du dossier est désormais dématérialisée et identifiée. Elle devient accessible de manière très souple à l ensemble des collaborateurs habilités. La numérisation a permis un gain de place important et de simplifier les recherche. En outre une réduction de plus de 50% du temps de traitement des dossiers a été enregistrée. Bénéfices client > Numériser à l entrée le courrier entrant > Réduire les coûts de traitement et d accès aux documents > Conserver un double certifié du dossier client au format électronique > S assurer de la valeur légale du dossier électronique > Simplifier les recherches de documents et permettre un accès multi utilisateur au dossier client dans un environnement sécurisé. Cas pratique détaillé 3 Contexte - Problématique Un grand groupe industriel de l agroalimentaire souhaitait dématérialiser le dossier de son personnel, et proposer à ses salariés la diffusion de leur bulletin de paie sous format électronique, conformément à la nouvelle règlementation française (Loi n 2009-526 du 12 mai 2009- de simplification et de clarification du droit et d allégement des procédures) pour simplifier la gestion administrative, réduire ses coûts de traitement et d archivage, permettre à son personnel de disposer des informations importantes de son dossier. Besoins > Numériser l ensemble des pièces importantes du dossier du personnel (contrat, avenants, documents liés à la formation, entretiens individuels) > Gérer en format nativement électronique les bulletins de salaire et les déposer en format PDF/A dans le système d archivage électronique > Déposer automatiquement à la fois dans le portail de gestion des documents et dans le système d archivage électronique l ensemble des pièces > Créer un coffre-fort électronique par salarié > Donner accès au salarié aux pièces importantes de son dossier RH > Respecter les obligations de réversibilité du dossier RH pour les salariés > S assurer de la valeur légale des bulletins de paie électroniques déposés > Simplifier les recherches de documents et permettre un accès multi Solution proposée Mise à disposition d un système d archivage électronique intégrant un CFE pour l entreprise, un CFE pour chaque salarié, ainsi qu un portail GED pour la consultation rapide et sécurisée de l ensemble des pièces du dossier RH. Le recours à un tiers archiveur a permis de proposer au salarié de conserver son propre CFE, même après son départ de l entreprise. Il pourra ainsi éventuellement gérer d autres documents personnels importants (factures de service nativement électronique, ) Mise en place d une chaîne de traitement permettant : > La numérisation respectant les recommandations de la norme AFNOR NFZ 42-013 au format standard PDF/A ainsi que l extraction des données d indexation : Nom, prénom, matricule, typologie du document. > Le versement des documents numérisés directement dans le système de GED et en parallèle leur transfert crypté dans le Système d Archivage Electronique (SAE) d Everial. > La mise en place d un connecteur permettant d accéder aux documents directement depuis le logiciel SIRH.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Questions fréquentes Bénéfices client Chaque pièce du dossier est désormais dématérialisée et identifiée et devient accessible de manière très souple à l ensemble des collaborateurs habilités. La dématérialisation du bulletin de paie avec l accord du salarié a permis un gain global (impression, diffusion, archivage) en supprimant la double édition du bulletin papier Cas pratiques divers > Archivage électronique à valeur probatoire des relevés bancaires, ordres d exécution, contrôles et signatures pour un établissement bancaire. > Dématérialisation et archivage des relevés de prestations pour une mutuelle. > Archivage électronique des preuves de livraison dématérialisées Quels sont les documents à archiver parmi tous ceux reçus et produits par l organisation? > les documents légaux et réglementaires, > les documents vitaux et indispensables à l organisation pour redémarrer son activité au lendemain d un sinistre, > les documents qui préservent les intérêts de l organisation en cas de contentieux, > les documents qui constituent la mémoire de l organisation. Qu elle est la durée de conservation des livres et pièces comptables? > les livres, les pièces comptables et la correspondance commerciale doivent être conservés pendant dix ans, > le délai court à compter de la fin de l exercice annuel au cours duquel les dernières inscriptions ont été faites, les pièces comptables établies et la correspondance reçue ou expédiée. Faut-il conserver les e-mails? > Il faut conserver tous les documents entrants et sortants ainsi que les documents internes dès lors qu ils engagent l organisation, lui confèrent des droits et ont une influence sur le bilan. Dans quel cas un e-mail est-il admis comme preuve? > La définition de la preuve par écrit telle que prévue par l article 1316 du Code civil valide toutes les formes d'écrit, y compris sous forme électronique : «La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission». Dès lors, l e-mail est en principe admis comme moyen de preuve. Cependant, le juge pourrait le rejeter, à condition que sa décision soit motivée.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Lorsqu il s agit d un e-mail validant un acte juridique (un contrat par exemple), l'article 1316-4 du code civil dispose que : «La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte... Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'etat.». Seule l'utilisation de la signature électronique permet de garantir l'identité de l'émetteur, l authenticité du contenu du message et de donner à l'e-mail une valeur juridique. C'est la loi du 13 mars 2000 qui a créé la notion de signature électronique et fixé des conditions pour que les e-mails puissent être valablement produits en justice. Une signature électronique n'est présumée fiable que si elle remplit un certain nombre de conditions fixées par le décret n 2001-272 du 30 mars 2001 relatif à la signature électronique et dont l'article 2 dispose que : «La fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié». Quels sont les accès possibles aux archives électroniques? > Il est possible d avoir accès à tout ou partie des documents versés dans un SAE. Les modalités d accès sont établies en fonction des profils des utilisateurs, par exemple des domaines métier et des niveaux de responsabilité. Un document numérisé a-t-il la même valeur probante que son original papier? > Oui par principe. En cas de contestation, le juge devra s assurer qu un certain nombre de principes posés par le Code civil ont été respectés. Qu'est ce qui garantit la confidentialité des données déposées? > L'accès aux données versées au coffre s'effectuant par authentification forte (Certificat électronique), seules les personnes habilitées peuvent réalisées des actions en fonction de leur profil (dépôt, consultation ). Par ailleurs le «file system», les sauvegardes, les données sont systématiquement chiffrés de façon à ne pouvoir être déchiffrés que par l'utilisateur disposant de la clé de déchiffrage., Comment est assurée la pérennité des documents? > Les documents et leurs preuves sont archivés dans un objet XML scellé par mécanisme cryptographique. Ne sont utilisés pour ce faire que des protocoles et normes standards internationaux. En parallèle, plusieurs formats pérennes (Normés ISO) sont aujourd hui disponible (ex PDF/A). Comment est gérée l'intégrité des documents lors d'une migration ou d'un changement de prestataire? > Quelle que soit la solution retenue, le client doit s assurer que son système d archivage électronique ou que son prestataire tiers-archiveur dispose d une fonction d'export conforme aux recommandations des normes en vigueur garantissant l'interopérabilité, la réversibilité et la chaîne de confiance. Peut-on détruire le papier après numérisation et archivage électronique dans le respect des lois et des normes? > Oui, mais à la double condition de procéder à la destruction dans le cadre d une méthode tendant à évaluer le risque juridique consécutif à cette destruction et de conserver une copie du document détruit fidèle à l original et durable. La norme AFNOR NF Z042-013 (version 2009), indique les conditions permettant de détenir des copies numériques fidèles et durables au sens de l article 1348 al-2 du code civil.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Ces copies numériques doivent donc prouver qu elles sont exhaustives, intelligibles, intègres et archivées durablement. Selon l article 1348 al-2 du code civil «Est réputée durable toute reproduction indélébile de l'original qui entraîne une modification irréversible du support». Les juges disposent d'un pouvoir souverain d'appréciation du caractère fidèle et durable de la copie par rapport au document original. Un juge peut-il refuser par principe de considérer une archive électronique comme élément constitutif d'une preuve? > Le juge ne peut pas refuser par principe, de considérer une archive électronique comme élément de preuve. En effet, selon l'article 1316 du Code civil : «La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission». La définition de la preuve par écrit est donc extensive, non liée à un support, ce qui valide toutes les formes d'écrit, y compris sous forme électronique. Cependant, en l'absence de dispositions légales expressément applicables à l'archivage électronique, il est prudent de recourir à des mécanismes contractuels complémentaires comme la convention de preuve. La convention de preuve est un contrat conclu entre entreprises, ou entre entreprises et particuliers. Elle a pour objet de définir les modes de preuve admissibles entre les parties, la charge de la preuve et les modalités de règlement des conflits de preuve. Enjeux et bénéfices attendus Les informations et les documents sont des actifs de l organisation et font partie de son capital intellectuel. Ils doivent donc être gérés et en particulier archivés de sorte qu ils soient le reflet précis de ce qui a été dit ou décidé, de l action qui a été effectuée. Pour atteindre cet objectif, l enjeu pour toute organisation est de mettre en place un programme de «Records management» conforme à l environnement réglementaire français et basé sur des modalités de management faisant référence aux normes internationales ISO. Dans ce contexte, répondant à des exigences légales, l organisation peut faire état de sa bonne gouvernance. Elle gagne en crédit auprès de ses clients et dispose ainsi d un avantage concurrentiel supplémentaire. Elle accroît aussi sa productivité à travers un processus basé sur une amélioration continue des performances. Parallèlement, elle engage son personnel dans un programme de gestion du changement où la formation joue un rôle de catalyseur pour la mise en œuvre des meilleures pratiques. En ce qui concerne la réalisation d un SAE, les organisations ont accès aujourd hui, sur le marché, à des solutions techniques fiables et éprouvées. Elles disposent également de prestataires de services compétents qui savent mutualiser des plates-formes techniques et accompagner leurs clients dans une démarche d analyse et d aide à la décision.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Bibliographie > ISO/diS 30300 information et documentation : Système de management des informations et des documents - Principes essentiels et vocabulaire. > ISO 15489 information et documentation : «records management» - Partie 1 : Principes directeurs. > AFNOR NFZ 42-013 : Spécifications relatives à la conception et à l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés dans ces systèmes (2009-03) > ISO 13008 information et documentation : «Processus de conversion et de migration des information et des documents numériques» > ISO 19005-2: 2011 - Gestion de documents -- Format de fichier des documents électroniques pour une conservation à long terme -- Partie 2: Utilisation de l'iso 32000-1 (PDF/A-2) (2011-6) > AFNOR GA 42-019 : Guide d'application de la NF Z 42-013 (2010-06) > ISO 14641-1 : 2012 - Archivage électronique -- Partie 1: Spécifications relatives à la conception et au fonctionnement d'un système d'informations pour la conservation d'informations électroniques (2012-01) > Livre blanc : «Le devoir de conseil des professionnels du numérique», Aproged 6 mars 2009, www.aproged.com > MoReq, modèle d'exigences pour l'organisation de l'archivage électronique, http://ec.europa.eu/transparency/archival_policy/moreq > ISO 23081 information et documentation : «métadonnées pour les enregistrements» > ISO Tr 13028 information et documentation : «mise en œuvre des lignes directrices pour la numérisation des informations et des documents»
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 Les contributeurs Éric Larderet : > Après avoir assuré les fonctions de Directeur du département des solutions numériques, puis de Directeur du département Conseil de la société Everial en France, Eric Larderet est depuis 2011 Directeur de la filiale d Everial en Suisse. > Administrateur de l APROGED, Association des professionnels pour l économie numérique jusqu en 2011, il a été membre du groupe de travail TC171 de l ISO (document management applications). > Il intervient depuis plus de 10 ans dans la définition et la mise en œuvre de solutions d optimisation de la fonction documentaire auprès d organisations publiques et privées. Philippe Champin : > Diplômé de CPE Lyon en tant qu Ingénieur en physique électronique, Philippe Champin possède une expérience de plus de 20 ans dans le domaine de la gestion de contenu. > Il a occupé successivement les postes de Directeur Technique chez Chemdata puis Cincom, puis a intégré la société Docubase en tant que Directeur de l Agence Sud-Est depuis sa création où il avait en charge le développement de l activité sur ce territoire. > Au sein du groupe Everial depuis 2009, il est en charge de l ensemble des développements GED et SAE, ainsi que de l activité de Numérisation Haute Volumétrie. Il intervient au sein de l APROGED et de la FNTC sur les questions de normalisation SAE. Philippe Martin : > Philippe Martin a obtenu un Doctorat en physique des solides - Option semi-conducteurs à Paris VI - Jussieu en 1972 et un MBA à l IAE Paris Dauphine la même année. > Il a fait une carrière au Bureau van Dijk, comme consultant puis comme associé et directeur du Département Documents numériques. > Il est plus particulièrement spécialisé dans les domaines de la gestion électronique de documents, de l archivage électronique et de la dématérialisation. > Il est administrateur et trésorier de l APROGED, responsable de la Commission Normalisation chargée, entre autres travaux, du suivi des projets de normes dans le domaine de la gestion des contenus numériques. Il est éditeur du projet de norme ISO 14641 transposition de la norme NF 42013 Olivier Itéanu : > Avocat à la Cour d'appel de Paris, Chargé d'enseignement à l'université Paris I Sorbonne > Spécialiste en droit des TIC > Auteur du 1 er ouvrage de droit français sur Internet «Internet et le droit» Ed. Eyrolles Avril 1996. Dernier ouvrage paru, «l'identité numérique en question» Ed. Eyrolles Mai 2009 Gérard Dupoirier : > Docteur en informatique. il s est investi depuis plus de vingt ans dans le domaine de l ingénierie documentaire. il est l auteur de «Technologie de la GED», un des premiers ouvrages publié en 1995 sur la gestion électronique des documents. > Il est rédacteur en chef de la rubrique «document numérique» de l Encyclopédie des Techniques de l ingénieur. Gérard dupoirier a dirigé de nombreux projets de gestion documentaire dans les secteurs de l automobile, de l énergie, de la banque et de l assurance. il a créé en 2007 son propre cabinet de conseil «document numérique & Processus» qui délivre des prestations de conseil, de formation et d expertise.
1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63 À propos d Everial www.everial.com Créé en 1989, le Groupe Everial est aujourd hui un acteur majeur de la gestion des documents d entreprise et de la relation client. Au service de l information utile, Everial propose une offre globale de solutions destinées à valoriser tous les flux d information et à optimiser les processus métiers : > conseil > dématérialisation > gestion de contenus (plateformes sécurisées et collaboratives) > gestion des archives physiques et électroniques > database management > gestion de la relation client directe (qualification, prospection, fidélisation, assistance) > gestion des flux multicanaux entrants et sortants (opérations de fulfilment, gestion des stocks, logistique courriers et colis sortants) > 11 applications dédiées aux domaines des services fournis > 23 millions d abonnés gérés en base de données > 2 Datacenters > Plus de 5500 clients parmi lesquels les principales banques et compagnies d assurances, les grands groupes industriels, les opérateurs de télécommunications, les groupes de presse et de média, les associations caritatives... ainsi que de nombreux établissements publics > Un CA consolidé prévisionnel de 90 millions d euros de chiffre d affaires en 2011 > 1200 collaborateurs > 120 chefs de projets, développeurs, ingénieurs infrastructures Groupe familial, Everial est dirigé par Michel GARCIA, Président, et Lionel GARCIA, Directeur Général. Aujourd hui le Groupe Everial, c est : > Une couverture nationale en France métropolitaine et Dom-Tom > Un réseau international (Espagne, Finlande, Maroc, Monaco, Suisse, Ile Maurice) > Une capacité de conservation des archives physiques de 6000 km > Une capacité de numérisation supérieure à 1 000 000 pages par jour > + de 3 millions de contacts par an répartis en appels entrants, sortants et e-mails > Capacité de traitement de 18 millions de courriers entrants par an > 30 millions de courriers sortants et 3 millions de colis par an
Pour tout renseignement : EVERIAL DRM - 27, rue de la Villette / 69003 Lyon N AZUR : 0811 23 12 12 Contact : contact@everial.com