DÉMATÉRIALISATION ET ARCHIVAGE PROBANT des documents électroniques dans LE ConTExTE juridique SuiSSE +

DÉMATÉRIALISATION ET ARCHIVAGE PROBANT des documents électroniques dans LE ConTExTE juridique SuiSSE +

1 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Avant-propos Augmentation exponentielle des volumes de données, optimisation de la gouvernance d organisation, «risk management», judiciarisation croissante des affaires, contraintes réglementaires et législatives de plus en plus fortes la parfaite maîtrise de l information et des documents produits et reçus dans le cadre de vos activités est devenue un enjeu majeur. La solution au problème de conservation et de gestion des données n est pas de démultiplier chaque année les capacités de stockage comme cela est aujourd hui le cas dans la plupart des organisations. L essentiel est de ne conserver que l information utile et vitale, autant de temps que cela est nécessaire, et de la rendre facilement disponible aux utilisateurs habilités, dans un environnement sécurisé. Pour cela, il faut repenser les processus et les méthodes de gestion de l information. La mise en œuvre de votre système d archivage électronique doit s appuyer sur une démarche projet sans faille impliquant très en amont les référents métiers et les archivistes. Elle doit intégrer l ensemble des facteurs clés suivants : > Les nouvelles obligations légales et réglementaires. > Les évolutions de vos processus internes, liées à la dématérialisation et à la place occupée par le numérique dans les échanges. > L obligation d accéder quasi instantanément à l information lorsqu il s agit d optimiser la relation client. > L évolution technologique permanente et rapide qui oblige à tenir compte le plus tôt possible des modalités d archivage.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 il est essentiel de garder à l esprit que les archives électroniques relèvent de la même autorité que les archives papier et que le support ou le format ne change rien. En revanche, si les obligations et les objectifs sont identiques, les processus de gestion sont très différents. En particulier, les intervenants sont plus nombreux et doivent travailler en concertation : archiviste, juriste, informaticien, décideur «métier». Considéré comme une contrainte ou une mission annexe, l archivage a longtemps été sous-estimé. Aujourd hui, principalement grâce à la dématérialisation et à l'avènement du numérique, la maîtrise de l information est au centre de nombreuses interrogations. Sa valeur devient évidente. La mise en place d une politique d archivage pérenne est un élément essentiel d optimisation et de réduction des coûts. Elle est aussi l expression et l un des moteurs de la bonne gouvernance des organisations. C est dans ce contexte de mutation rapide et profonde, qu Everial a souhaité faire part de son expertise technique, juridique et opérationnelle. Spécialiste de l archivage sous forme électronique des documents, Everial est un prestataire de services en très fort développement. Ses platesformes techniques à hautes performances, ses processus continuellement améliorés et ses personnels qualifiés permettent d élaborer des solutions mutualisables et d offrir à ses clients des prestations haut de gamme et à moindre coût. Everial répond ainsi aux besoins des organisations quelles que soient l importance de leur projet et la complexité des exigences qu elles accordent à l archivage électronique. Ce Livre blanc est destiné aux décideurs des entreprises, des organisations et des administrations. il leur apporte une vision stratégique des aspects techniques, juridiques et normatifs de l archivage électronique des informations et des documents.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Table des matières Avant-propos 2 Introduction 6 Document électronique et cycle de vie 9 étude de conception et de création 10 étude de gestion 10 étape de production et de diffusion 11 étape d archivage 11 retour au cycle de vie 12 Document électronique et cadre juridique 14 Conservation électronique 14 documents éléctroniques comme moyens de preuve 16 Protection des données 17 Spécificités du secteur public 19 Document éléctronique et cadre normatif 23 La norme iso 15489 «records management» 24 La norme iso 30300 de système de management 26 iso/dis 14641-1 : gestion de documents électroniques 27 Les normes connexes 28 L intérêt des deux familles de normes 29 Travaux spécifiques en e-ch 29 Que faut-il faire et pour quels documents? 31 Le cas des email 32 Démarches et solutions 34 Les solutions techniques 34 Les solutions proposées 38 Retour d expériences 42 Cas pratique détaillé 1 42 Cas pratique détaillé 2 43 Cas pratique divers 44 Questions fréquentes 45 Enjeux et bénéfices attendus 47 Bibliographie 48 Les contributeurs 49

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 introduction «Les documents papier vont inexorablement être remplacés par des documents électro niques» En se mondialisant, les mécanismes d échange et de communication des biens et des services se sont progressivement dématérialisés. Les organisations interagissent désormais au cœur d une économie numérique. Elles échangent des informations et des documents, avec d autres organisations et individus (clients, fournisseurs, administrations, orga nismes publics...) : bons de commande, factures, relevés bancaires, documentations techniques, brevets, contrats, feuille de paie, formulaires Encore majoritairement traités sous forme papier, ces documents vont inexorablement être remplacés par des documents électro niques. L évolution des techniques informatiques et l adaptation des textes législatifs et réglementaires permettent et encadrent cette migration. Ces deux tendances conduisent à la mise en place de nouvelles pratiques et de nouveaux processus de gestion, porteurs de gains de productivité et d avantages concurrentiels particulièrement significatifs. En revanche, l évolution des techniques et l adaptation du domaine réglementaire nécessitent de nouvelles organisations et l accompagnement à ce changement. C est dans ce contexte que ce Livre blanc trouve sa place, avec une double ambition : > être un document explicatif des aspects techniques et juridiques de la dématérialisation et de l archivage des documents sous forme électronique, en Suisse, > être également un document d accompagnement, voire d incitation au changement, par la présentation de réalisations qui confirment les méthodes recommandées.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Ainsi, pour atteindre ces objectifs, ce Livre blanc décline les chapitres suivants : > le chapitre 3 rappelle ce qu est un document électronique et présente le concept de «Cycle de vie». Il précise la distinction entre document numérique et document numérisé, > le chapitre 4 présente le contexte juridique suisse. Il souligne les incidences des systèmes de gestion et d archivage électroniques en matière de preuve et les obligations qui reviennent aux organisations, > le chapitre 5 introduit et commente les principales normes en matière de gestion des informations et des documents électroniques, > le chapitre 6 recommande une démarche d analyse de la situation existante afin de définir les objectifs d un système d archivage électronique, > le chapitre 7 fait état des solutions techniques et des solutions de services possibles qui s offrent aux organisations, > le chapitre 8 présente quelques réalisations de clients Everial, > enfin, le chapitre 9 commente les enjeux et les bénéfices d un projet d archivage de documents sous forme électronique. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 document électronique et cycle de vie «La production d un document est l aboutissement d un processus de création, de production et de diffusion relativement complexe» Un document est à la fois un support d informations et un moyen d échange. Il se caractérise principalement par sa mise en page, ses dimensions physiques, son volume en nombre de pages et ses contenus (texte, graphique, image). La majorité des documents est aujourd'hui produite automatiquement par des systèmes informatiques comme ceux de gestion bancaire qui établissent des relevés de comptes ou encore ceux de comptabilité qui, présents dans toutes les organisations, génèrent des factures. Une fois créé, ce document peut être imprimé ou non. Il est stocké sur un serveur, dans un format pérenne et non modifiable, afin d être à la disposition des personnes habilitées à le consulter, voire à le télécharger. Un document électronique peut aussi être conçu et réalisé au cas par cas, dans un contexte bureautique, par un opérateur utilisant un logiciel de traitement de texte. Ce document pourra alors être expédié à son destinataire, sous forme papier ou sous forme électronique, par courrier électronique. Ce système, qui s est rapidement imposé comme moyen d échange rapide et efficace, constitue un nouveau mode de communication. Il produit des e-mail qui constituent un nouveau type de documents. La production d'un document suit un processus de création, de diffusion et d'archivage relativement complexe. Il fait appel à un grand nombre d acteurs et met en œuvre différentes techniques informatiques. Néanmoins, ce processus peut être modélisé afin d être géré dans les meilleures conditions. Le modèle présenté ci-après et dénommé «Cycle de vie des documents» comporte quatre étapes principales : «Conception et création», «Gestion», «Production-diffusion» et «Archivage». DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Étape de conception et de création Un document électronique peut avoir deux origines : > Soit il a été conçu et réalisé électroniquement avec des moyens informatiques automatisés ou non. Dans ce cas, le document est nativement électronique et c est un original. > Soit il résulte d un processus de numérisation qui transforme un document papier en document électronique. Dans ce cas, le document papier reste toujours l original et le document électronique en est une représentation, donc une copie. L étape de création est donc celle qui donne naissance au document. C est elle qui permet de préciser les premières métadonnées qui le caractérisent : nature (feuille de paie, contrat, facture), origine (papier ou électronique), auteurs, niveau de confidentialité, durée de conservation, etc. Autant d informations qui vont intervenir dans les modalités juridiques et techniques de l archivage, étape ultime du cycle de vie. Étape de gestion L étape de gestion consiste à mettre en œuvre les processus et les outils informatiques d échange et de partage des documents entre les différents acteurs d une même organisation. Fonctionnellement, ces outils permettent notamment de compléter les métadonnées du document, d assurer son stockage dans un ou plusieurs formats de représentation - selon que ce document est révisable ou non - et bien évidemment d organiser sa consultation sous certaines conditions d accessibilité. Les outils informatiques de Gestion Électronique de Documents (GED) et de gestion de processus (Workflow) sont parfaitement adaptés à cette étape du cycle de vie. Grâce à des mécanismes d horodatage, ils permettent d enregistrer et de conserver la nature des événements liés à l usage et à l évolution de chaque document.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Étape de production et de diffusion Cette étape concerne la communication du document dans sa forme finale et dans un format de représentation dit non révisable ou non modifiable. Cette communication est réalisée de façon «Push» ou de façon «Pull». Dans le premier cas, il s agit de la diffusion du document vers son destinataire. Dans ce processus, le document peut être diffusé sous forme papier et/ou sous forme électronique. L éditique est l ensemble des outils et des méthodes informatiques qui permettent la composition, l impression et la diffusion des documents. L'e-mail est le moyen qui permet sa diffusion sous forme électronique. Dans le cas de la diffusion «Pull», le document est mis à la disposition des destinataires sur un serveur. Ce sont eux qui, en fonction de leur niveau d habilitation, font la démarche pour le consulter et le télécharger. Étape d archivage L étape d archivage a pour corollaire, dans la plupart des cas, l élimination comme sort final. C est l étape ultime du cycle de vie d un document. Les Systèmes d Archivage Électronique (SAE) sont les outils qui répondent à ce besoin. Sur le plan fonctionnel, ils permettent de gérer les versements, de finaliser les métadonnées associées, de faire des recherches, de consulter, de télécharger et finalement de proposer des destructions de documents. Cette étape met en œuvre des techniques informatiques dont la pérennité, comme par exemple la durée de vie des supports informatiques, n est pas toujours en concordance avec les contraintes légales de conservation des documents. Les chapitres qui suivent commentent cette étape du cycle de vie des documents, sur les plans juridique, normatif, méthodologique et de réalisation de SAE. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Retour au cycle de vie Le modèle fonctionnel «Cycle de vie des documents» présente l intérêt d intégrer, dès l étape de conception d un modèle de document, les obligations juridiques et de convenir des modalités techniques de son archivage. Lors du travail prospectif de mise en place d un SAE, il est désormais possible - et recommandé - de faire travailler ensemble les informaticiens, juristes, experts métier et les archivistes. Chacun, dans son domaine de responsabilités, apporte ses exigences et contribue à une spécification exhaustive et détaillée du processus documentaire lui-même.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 document électronique et cadre juridique «Toutes les organisations devant être inscrites au registre du commerce sont soumises à l obligation de conservation» Dans un certain nombre de lois et d ordonnances, le législateur suisse a établi et précisé les conditions de la conservation électronique des documents, l utilisation de tels documents électroniques comme moyens de preuve ainsi que les mesures à prendre pour garantir la protection des données qu ils contiennent. Conservation électronique La conservation électronique en tant que telle est abordée sous l angle de la tenue et de la conservation de la comptabilité commerciale, aux articles 957 ss. du Code des obligations (CO ; RS 1 220). Toutes les organisations devant être inscrites au registre du commerce (article 957 alinéa 1 CO) - soit la quasi-totalité des acteurs économiques privés en Suisse - sont soumises à l obligation de conservation. Cette obligation concerne non seulement la comptabilité au sens étroit (grand livre, livres auxiliaires, pièces justificatives des écritures comptables), mais également toute la correspondance commerciale qui engage l organisation, lui confère des droits et a une influence sur son bilan (documents entrants et sortants ainsi que des documents internes). La durée de conservation est de dix ans à partir de la fin de l exercice annuel au cours duquel les dernières inscriptions ont été faites, les pièces comptables ont été établies, la correspondance a été reçue ou expédiée (article 962 alinéa 2 CO). 1 Recueil systématique du droit fédéral : tp://admin.ch/ch/f/rs.html

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 «Le législateur se montre résolument favorable à la mise en œuvre d outils électroniques propres à rationaliser et à faciliter la conservation des documents» Le législateur se montre résolument favorable à la mise en œuvre d outils électroniques propres à rationaliser et à faciliter la conservation des documents. Ainsi, hormis le compte d exploitation et le bilan qui doivent être conservés sur papier et signés, l intégralité des livres, des pièces comptables et de la correspondance peut être tenue et conservée par un moyen électronique ou par un moyen comparable. Les seules conditions fixées sont que la conformité avec la transaction de base soit garantie et que ces documents puissent être rendus lisibles en tout temps (article 957 alinéas 2 et 3 CO). Les principes à respecter pour que cette double exigence soit remplie sont détaillés dans le texte fondamental en matière de conservation électronique, l Ordonnance concernant la tenue et la conservation des livres de comptes (Olico ; RS 221.431). Il s agit des principes suivants : > Principes généraux, applicables tant à la tenue qu à la conservation des documents : Principe de régularité (article 2 Olico). Principe d intégrité (authenticité / infalsifiabilité - article 3 Olico). Principe de documentation (article 4 Olico). Il s agit de documenter l organisation, les compétences, les modes de travail, les procédures et l infrastructure (matériel et logiciels) utilisés pour la tenue et la conservation des documents. > Principes spéciaux pour la conservation : Devoir général de diligence (article 5 Olico) : conservation avec soin et ordre, à l abri des effets dommageables. Disponibilité (article 6 Olico) : pendant tout le délai de conservation, la consultation doit être possible en tout temps et dans un délai raisonnable. Organisation / archivage (articles 7 et 8 Olico) : séparation entre informations actuelles et archivées ; informations inventoriées systématiquement et protégées contre les accès non autorisés ; consultations et accès enregistrés. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 S agissant du principe primordial de la régularité, il est important de souligner que l Olico reste neutre par rapport à la technologie à mettre en œuvre. Elle ne cherche pas à définir les mesures à prendre dans les moindres détails, mais se limite à faire référence aux «règles qui font autorité en [la] matière [...] et les recommandations de la profession» (article 2 alinéa 3 Olico). Dans le domaine de la conservation électronique de documents, on peut ainsi s inspirer de normes telle qu ISO 15 489 «Records management». Toutefois, ces normes ne s appliquent pas intégralement et de manière contraignante à toutes les organisations, sans distinction de leur taille ou de leur activité. Leur implémentation dans un cas concret doit être déterminée en fonction de la nature et de l étendue des affaires de l organisation, de son environnement réglementaire et de ses besoins spécifiques. Documents électroniques comme moyens de preuve «Les documents électroniques sont donc explicitement admis comme preuves, au même titre Entré en vigueur au 1 er janvier 2011, l article 177 du nouveau Code de Procédure Civile (CPC ; RS 272) définit les titres admis comme moyens de preuve dans une procédure civile comme étant «des documents, tels les qu un document papier» écrits, les dessins, les plans, les photographies, les films, les enregistrements sonores, les fichiers électroniques et les données analogues propres à prouver des faits pertinents». Les documents électroniques sont donc explicitement admis comme preuves, au même titre qu un document papier. Peu importe qu il s agisse d un support électronique dès l origine ou d un document traditionnel scanné 2. Là encore, le législateur a clairement exprimé sa volonté de favoriser le recours à des outils de traitement et de conservation électronique de documents. Le message du Conseil Fédéral, relatif de l article précité, le confirme : «L archivage purement numérique, qui joue un rôle grandissant dans le commerce et l industrie, ne doit pas amener avec lui une dépréciation de la valeur probante des documents archivés 3». Le Conseil Fédéral 2 Message du Conseil Fédéral relatif au code de procédure civile (CPC) du 28 juin 2006, FF2006 p. 6931. 3 Ibidem.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 indique enfin qu un titre établi sur support électronique peut être considéré comme preuve fiable dès lors que le processus de numérisation respecte certaines règles, par exemple celles qui s appliquent en droit commercial et qui sont exprimées dans l Olico 4. Il découle de ce qui précède qu une organisation peut se libérer de ses archives physiques sur papier en mettant en place un processus et un système d archivage conformes à l Olico. En cas de litige, elle pourra produire, en tant que preuves par titres, des fichiers électroniques extraits de son système d archivage électronique (documents et métadonnées telles que signature électronique et horodatage pour garantir l authenticité). Ces fichiers ont la même force probante que le document original sur papier (par exemple un contrat signé). En cas de contestation de l authenticité du document électronique, il suffit à l organisation de démontrer la conformité de son système d archivage électronique avec les exigences légales, notamment celles de l Olico. Cette condition implique en particulier la production de la documentation appropriée (article 4 Olico). Si cette conformité est établie, le juge n a aucune raison de douter de la fiabilité de la preuve électronique qui lui est soumise. Protection des données La Loi sur la Protection des Données (LPD ; RS 235.1) s applique au traitement de toutes les informations qui se rapportent à une personne physique ou juridique identifiée ou identifiable (article 3 lettre a LPD). Autant dire que les informations traitées par les organisations constituent très souvent des données au sens de la LPD (par exemple, factures, commandes, contrats, e-mail sur lesquels figure le nom ou la raison sociale d une personne identifiée ou identifiable). Il faut donc respecter les règles relatives à la protection de données lors de l archivage de ces documents. L article 7 LPD relatif à la sécurité des données exige que celles-ci soient protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Les articles 8 ss. de l Ordonnance relative à la loi sur la protection des données (OLPD, RS 235.11) concrétisent 4 Ibidem. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 les mesures à prendre. Afin d assurer la confidentialité, la disponibilité et l intégrité des données, il faut protéger les systèmes notamment contre les risques de destruction accidentelle ou non autorisée, de perte accidentelle, d erreurs techniques, de falsification, de vol ou d utilisation illicite ainsi que de modification, de copie, d accès ou autres traitements non autorisés. À cet effet, divers contrôles doivent être mis en place (article 9 OLPD). Dans certains cas, le traitement doit être journalisé (article 10 OLPD) et un règlement de traitement doit être édicté (article 11 OLPD). Ces mesures correspondent en grande partie à celles exigées par l Olico. «Un système d archivage électronique doit ainsi non seulement garantir l archivage conforme aux exigences légales pendant le délai de conservation, mais également la destruction des documents à l issue de ce délai» La LPD érige également en règle fondamentale que tout traitement de données doit être licite et effectué conformément au principe de la proportionnalité (article 4 alinéas 1 et 2 LPD). La conservation de données, dans le cadre d un système d archivage, n est autorisée que tant et aussi longtemps qu elle répond à une obligation légale de conservation (ou, pour le moins, qu elle repose sur un intérêt prépondérant comme, par exemple, celui de conserver des documents particulièrement importants dans le but de pouvoir retracer l histoire de l organisation). Il découle de ce qui précède une obligation d assurer la destruction de toutes les informations dont le traitement n est plus justifié, ce qui devrait être le cas pour la grande majorité des documents archivés à l issue de leur délai légal de conservation. Un système d archivage électronique doit ainsi non seulement garantir l archivage conforme aux exigences légales pendant le délai de conservation, mais également la destruction des documents à l issue de ce délai. Les caractéristiques principales du cadre légal suisse esquissé ci-dessus peuvent être résumées ainsi : > Le législateur suisse encourage la mise en œuvre d outils électroniques dans le domaine de l archivage.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 > L archivage électronique nécessite la mise en place de processus et d un système d archivage respectant avant tout les principes formulés dans l Olico (notamment le principe de régularité qui renvoie aux méthodes généralement admises et aux recommandations de la profession). En revanche, il n y a pas d exigence légale quant à la technologie à utiliser. > À condition de respecter les principes précités, les documents archivés par un moyen électronique ont la même force probante que des documents conservés sur papier. > La réglementation en matière de protection des données s applique également dans le domaine de l archivage. Elle impose notamment l obligation de détruire les informations qui ne sont plus requises. Spécificités du secteur public Le secteur public, en plus des contraintes règlementaires exposées plus haut, est soumis à quelques contraintes spécifiques. Tout d abord, tant au niveau fédéral que cantonal, les administrations sont soumises à la réglementation sur la transparence administrative (seul trois cantons n ont pas légiféré à ce jour). Le principe de transparence veut que tout document produit dans l action courante de l administration soit accessible au public, à l exception des : > documents concernant les données personnelles (voir plus bas), > documents concernant des données commerciales sensibles (secret des affaires), > documents dont la connaissance peut mettre en cause la sécurité publique. Cette exigence implique une maîtrise accrue des processus documentaires. La dématérialisation peut représenter ici un avantage car il est nettement plus facile de communiquer par courriel un document électronique plutôt que de le rechercher dans un dépôt d archives, le reproduire, et l envoyer DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 par courrier postal. La contrepartie à cette facilité est néanmoins l obligation de mettre en place des systèmes de gestion des documents électroniques efficaces. On voit également apparaître une demande accrue pour la mise à disposition publique non seulement de documents mais également de jeux de données détenues par les administrations. Cette tendance, connue via l anglicisme «Open Data» traduit en français par «Donnée publique», est très vive en Angleterre et récemment en France. Toutefois, elle n a pas encore pris tout son effet dans le cadre des administrations suisses, bien que de nombreux cercles y réfléchissent et que certaines de ces données soient déjà accessibles via les systèmes d information géographiques (SIG). Les administrations publiques sont également soumises à la législation sur la protection des données personnelles, au même titre que les entreprises privées. Elles ont cependant une responsabilité plus grande à cet égard dans la mesure où les données qu elles collectent ou produisent le sont sous le couvert d exigences légales auxquels le citoyen ne peut se dérober et qu elles couvrent une population numériquement importante. De plus, certains secteurs de l administration possèdent des données sensibles (santé, social, par exemple). Elles doivent donc être particulièrement prudentes dans la gestion de la communication et de l interconnexion possible de ces données. Les administrations doivent donc mettre en place des contrôles de droits d accès adéquats et la possibilité de correction des données erronées. Ces exigences d anonymat relatif peuvent sembler entrer en conflit avec un troisième domaine législatif qui est celui des archives publiques. En effet, la plupart des lois sur la protection des données personnelles visent à les faire détruire une fois qu elles n ont plus d utilité courante. Mais certaines données personnelles (on pense par exemple à l État-civil) ont une exigence de pérennité à long terme, garantie par l application des lois sur l archivage public, qui priment alors sur les prescriptions de la protection des données. Ces conflits juridiques potentiels ont amené certains cantons (Argovie et Valais par exemple) à fusionner en un seul texte législatif les trois domaines juridiques de la transparence, de la protection des données et des archives publiques. D autres cantons, à l instar de la Confédération, n ont fusionné que les textes concernant la transparence et la protection des données.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Un dernier domaine, qui doit tenir compte des contraintes réglementaires, est celui de la mise en place de ce qu il est convenu d appeler la cyberadministration. L administration fédérale (programme GEVER, http://www.bar.admin.ch/dienstleistungen/00882/index.html?lang=fr ) et certains cantons mettent actuellement en place d ambitieux programmes visant à mettre l administration «en ligne». Dans ce cadre, un important travail de normalisation est effectué dans le cadre de l association e-ch (http://www.ech.ch/vechweb/page?f=default&p=index ). Outre l aspect logistique, qui intéresse peu le citoyen, la mise en place de guichets virtuels implique un système d identification des personnes très fiable. C est pourquoi la Confédération promeut le concept d une clé d identification, la SuisseID, dans le cadre des transactions avec les autorités administratives (http://www.suisseid.ch/index.html?lang=fr). Pour que cette cyberadministration fonctionne correctement, il faut mettre en place des flux de données ergonomiques et fiables (gestion des processus et Records management) mais également des infrastructures d archivage de haute qualité. Celles-ci, appelées communément Système d archivage électronique (SAE) selon la norme Moreq (Model Requirements for the management of electronic records, sont actuellement progressivement mises en place dans différentes administrations. Ces infrastructures sont également construites selon la norme OAIS (Open Archival Information System) devenue la norme ISO 14721 : 2033. La norme OAIS encadre la définition des différentes entités logiques nécessaires pour permettre d assurer une conservation à long terme qui, dans le cadre des institutions publiques, doit dépasser le siècle. C est la gestion à (très) long terme qui représente la spécificité majeure de l archivage électronique pour les administrations publiques. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 document électronique et cadre normatif «Une norme est un document approuvé par un organisme reconnu, qui a été mis au point par voie de consensus entre des experts du domaine, et qui fournit des recommandations sur la conception, l'utilisation ou la performance des produits, processus, services, systèmes ou personnes» L ISO, International Standard Organization. Loin d être une contrainte, la mise en œuvre d une norme produit un avantage concurrentiel. C est un cadre de connaissances éprouvées sur lequel les organisations peuvent s appuyer pour développer leurs activités. Dans le domaine de la gestion de l information et des documents électroniques, les normes ISO ont pour objet de définir, d encadrer, voire de certifier, les systèmes de gestion de l information et des documents et, conséquement, la réalisation de SAE comme moyens techniques. Les normes ISO peuvent être classées en deux grandes familles : > les normes de management, comme celles de la série 9000 liée à la qualité ou celle de la série 14000 rattachée à l'environnement ou encore la série 31000 relatives au management du risque, > les normes techniques, destinées à formaliser les modalités de mise en œuvre, comme par exemple celles d un SAE ou d un processus de dématérialisation. Dans le domaine de l archivage électronique, la norme ISO 15489 «Records management», publiée en 2001, fait référence. Elle sera l objet, à partir de l année 2011, d une révision significative qui conduira à distinguer les aspects de management des modalités techniques de réalisation. Les aspects de système de management seront couverts par la nouvelle norme ISO 30300. Les aspects de réalisation seront encadrés par la norme ISO 15489 révisée et par des normes connexes. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Le schéma ci-dessous présente l articulation de ce corpus de normes qui conjugue une finalité de bonne gouvernance et des modalités de réalisation. normes de système de management iso 30300 Système de management des informations et des documents normes techniques iso 15489 records managements iso 23081 métadonnées des records iso 14641 Processus iso 19005 PdF/A Nous avons choisi de commenter ces deux séries de normes (ISO 15489 et ISO 30300). La première souligne la portée stratégique de la gestion des documents, la seconde celle des modalités de mise en œuvre par les professionnels. La norme ISO 15489 «Records management» La norme ISO 15489, dite de «Records management», est une référence pour l organisation et la gestion de l archivage des documents produits par les organisations. Elle comporte deux parties. La première concerne les principes directeurs. La seconde est un guide pratique. La norme ISO 15489 de «Records management» a la volonté : > de répondre aux exigences légales et réglementaires de gestion des informations et des documents électroniques, en matière d archives, d audit et de contrôle, > de définir les informations et les documents qui relèvent du «Records management». En d autres termes, les documents que l organisation considère comme stratégiques pour assurer la continuité de son activité en cas de dysfonctionnements graves ou de sinistres,

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 > de convenir des responsabilités et des compétences des différents acteurs : concepteurs, archivistes, informaticiens, qualiticiens, de même qu entre décideurs, administrateurs et collaborateurs, > d élaborer et de valider de nouveaux processus de travail, > d adapter et de maintenir l interopérabilité d un SAE avec les autres systèmes, > de mettre en œuvre un plan de gestion du changement comprenant, entre autres, un plan de formation, > de préserver les intérêts de l organisation et les droits de ses employés, de ses clients et des utilisateurs présents et futurs des «Records», > de préserver une mémoire de l organisation. Afin que les organisations produisent et conservent des documents authentiques, fiables et exploitables et qu elles préservent leur intégrité aussi longtemps que nécessaire, ISO 15489 définit des exigences. Qu elles soient de l ordre du principe ou techniques, ces exigences sont utiles à la réalisation d un SAE. > Principes généraux d un programme de «Records management» : quels documents à minima il convient de produire et d archiver, quelles formes et quelles techniques doivent être retenues pour produire et archiver ces documents, quelles métadonnées il convient de créer et de maintenir dans le temps pour décrire les contenus de ces documents, les usages et les droits associés, quels modes d organisation (plan de classement) il faut retenir des documents, quels sont les risques en cas de non-disponibilité de documents probants pour une activité, quelles sont les exigences légales des pays concernés par l activité de l organisation. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 > Exigences caractérisant un document d archives : ISO 15489 définit des exigences qui caractérisent un document d archive et en particulier : son authenticité : le document est bien ce qu il prétend être, sa fiabilité : le document représente exactement et complètement les opérations et les activités qu il atteste, son intégrité : le document est complet et non altéré, son exploitabilité : le document peut être replacé dans un contexte d activité. > Exigences caractérisant un SAE : ISO définit les exigences d un système d organisation et de gestion des documents d archives ou SAE. Celui-ci doit être : > fiable : le système doit fonctionner de manière continue, régulière et cohérente avec les responsablités en jeu, > intègre : le système doit posséder toutes les mesures de contrôles visant le droit d accès, l identité de l utilisateur, les modalités d élimination et de déplacement des documents. Enfin, le SAE doit être en conformité avec les exigences énoncées, et revêtir un caractère systématique. La norme ISO 30300 de système de management La série de normes ISO 30300 reprend et complète la norme ISO 15489 pour ce qui concerne le système de management des informations et des documents. C est donc une norme de management au même titre que l ISO 9001 de management de la qualité ou encore d ISO 30000 de management du risque. La norme ISO 30300 relève de la politique des organisations en matière de management de l information et des documents dans une démarche

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 d amélioration continue. Elle met en évidence, par sa mise en oeuvre, que les ressources informationnelles (informations et documents) sont des actifs de l organisation et font partie de son capital intellectuel. ISO 30300 et les suivantes ont été conçues dans une optique de processus. Elles répondent aux besoins de toutes les parties prenantes : direction métier, direction système d information, direction juridique, direction ressources humaines. Pour définir et établir une politique de management des informations et des documents, ces normes recommandent, dans un objectif de preuves fiables et faisant autorité : > de définir les rôles et les responsabilités de chacun, > de spécifier les processus et les systèmes de management, > de convenir des modalités de mesure et d évaluation de ces systèmes, > de mettre en oeuvre les améliorations nécessaires. Dans leurs grandes lignes, ces normes établissent un certain nombre de principes qui conduisent les organisations à formaliser les relations entre le système de management des informations et des documents et le système de management général. Elles impliquent fortement la direction des organisations. Ce sont ces mêmes directions qui devront fixer les orientations et les objectifs à atteindre, qui rendent obligatoire l adoption par les personnels des exigence du système de management et qui s assurent de la disponibilité des moyens et des ressources. Finalement, l'application de telles normes conduit à la mise en place d'une bonne gouvernance en matière de management des informations et des documents. ISO/DIS 14641-1 : gestion de documents électroniques Conception et fonctionnement d'un système d'informations pour la conservation de documents électroniques. Cette norme s appuie sur la norme française NF Z 42-013 : 2009 dont l application est rendue obligatoire par un arrêté du 4 décembre 2009 pour l externalisation des archives publiques électroniques. Elle est actuellement au stade de «Committee Draft» et devrait être disponible début 2012. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Les objectifs de la norme sont de : fournir dans le prolongement des dispositions légales et/ou réglementaires un cadre technique permettant de mettre en place des systèmes d archivage électronique (SAE) à vocation probatoire destinés à conserver des documents numériques d origine ou obtenus par numérisation, proposer un texte décrivant les aspects techniques et organisationnels nécessaires et suffisants pour garantir l intégrité, la pérennité, la sécurité et la traçabilité des documents conservés dans un SAE, fournir un référentiel d audit permettant de déterminer la conformité d un SAE au regard des spécifications de la norme, fournir aux éditeurs de progiciels un ensemble de points techniques à mettre en œuvre, fournir aux archivistes et aux tiers-archiveurs un ensemble d indications leur permettant de mettre en conformité leurs offres de services. Les normes connexes En compléments de l ISO 15489 et selon les spécificités des activités de l organisation et des documents éligibles comme «Records», il pourra être intéressant de s appuyer sur des normes techniques comme : > la norme ISO 23081 relative aux principes de gestion courante des métadonnées et des versements des documents aux archives, > la norme ISO TR 13028 concernant les lignes directrices pour la numérisation des informations et des documents, > la norme ISO 13008 applicable aux processus de conversion et de migration des information et des documents numériques. Par ailleurs, et il est utile de le préciser ici, l Union Européenne a souhaité uniformiser les politiques d archivage des pays membres. Elle a établi un recueil d exigences pour l organisation de l archivage électronique dénommé MoReq (Model Requirements for the Management of Electronic Documents) et basé sur la norme ISO 15489 «Records Management». Édité en 2001 et considéré comme difficilement applicable, MoReq a été

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 remplacé en 2008 par MoReq2 puis devait l être, fin 2010, par MoReq 2010 avec des objectifs de simplification et de modularité. À ce jour cette version n a pas encore été rendue publique. L intérêt des deux familles de normes Les normes ISO 30 300 et ISO 15 489 sont complémentaires. Les premières s inscrivent dans les principes du management de la qualité et donc de la stratégie des organisations. Les secondes, de nature technique, concernent les spécifications des processus et des systèmes informatiques de type SAE, en vue de l archivage des documents. Mettre en œuvre conjointement ces familles de normes permet à chaque organisation de définir sa politique en matière de gestion des informations et des documents en conformité avec le cadre législatif suisse. Elles conduisent à mettre en place des moyens - processus et SAE - qui garantissent l intégrité, la sécurité et la pérennité des documents archivés. Cette démarche peut paraître complexe. Néanmoins, elle peut être conduite progressivement en choisissant certaines familles de documents, en privilégiant l approche managériale ou celle des moyens techniques, ou encore en faisant appel à des professionnels. Travaux spécifiques e-ch e-ch est l organisation suisse de normalisation dans le domaine de la cyberadministration. Des représentants des administrations et de la branche de l informatique collaborent à l élaboration de normes spécifiques. Après avoir été testées selon une procédure définie et approuvées par une commission d experts, les normes sont publiées sur le site d e-ch. L organisation de normalisation e-ch (www.ech.ch) a été créée par l USIC, puis elle s est constituée en association, statut juridique sous lequel elle est aujourd hui gérée de façon autonome. Ses membres sont des offices fédéraux, tous les cantons, des communes et des villes, la Conférence suisse

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 sur l informatique, ainsi que d autres organisations, des universités et une centaine d entreprises du secteur TIC et enfin des membres individuels. La convention-cadre (http://www.egovernment.ch/fr/grundlagen/rahmenvereinbarung.php) concernant la collaboration en matière de cyberadministration en Suisse précise en son article 4 «Respect des normes d échange de données» que les collectivités doivent se baser sur des normes de cyberadministration reconnues au plan international et national. Au niveau national, les normes de l association e-ch sont déterminantes. La réalisation technique des fonctions informatiques se fait au moyen de divers produits et systèmes. Le dénominateur commun pour garantir l interopérabilité entre les systèmes informatiques utilisés est le respect de normes, en particulier pour les protocoles de communication, les formats et les structures de données. La norme la plus importante, parce qu elle est déterminante pour toutes les fonctions informatiques décrites, est SAGA.ch. Deux autres normes sont capitales pour la gestion documentaire : ISO 15489, respectivement e-ch-0002, «Records Management», qui formule des exigences techniques et organisationnelles pour l aménagement des systèmes de gestion des dossiers, et ech-0037 Directives GEVER Confédération, qui définit le paramétrage des champs dans ces systèmes et garantit la compatibilité des structures des données. www.ech.ch www.egovernment.ch Convention cadre : http://www.egovernment.ch/fr/grundlagen/rahmenvereinbarung.php

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 que faut-il faire et pour quels documents? Tous les documents n ont pas la même portée. Ils ne relèvent donc pas tous des mêmes exigences légales et, par conséquent, des mêmes obligations en matière de conservation. Les factures émises et reçues, les contrats, les feuilles de paie, la documentation technique d un produit et d un service, les notes de services ne sont pas exposés aux mêmes risques et ne répondent pas aux mêmes obligations légales d archivage et de communication. Il serait dommageable de leur appliquer, à tous et sans distinction, les mêmes modalités de gestion et d archivage 5. Parallèlement, les règlements encadrant les activités et les obligations en matière de gestion documentaire varient d un secteur économique à l autre. Il en est ainsi, par exemple, pour la santé, l environnement, le transport, l énergie ou encore la finance. En conséquence, un travail préalable d analyse documentaire est nécessaire. Il conduit à la réalisation d un «Référentiel de conservation». Celui-ci concerne les documents entrants et sortants autant que les documents internes de l organisation. Il distingue ceux qui sont nativement électroniques de ceux qui sont sous forme papier et qui peuvent être conservés sous leur forme physique ou être numérisés. L établissement de ce référentiel est un moment important pour tous les responsables de l organisation. Il nécessite un travail en équipe où se retrouvent, les responsables «métier», les responsables système, les archivistes et les juristes. Pour chaque document, ce travail conduit à poser, pour le moins, les questions suivantes : > Quelle est la finalité de ce document? Exemple : facture, contrat, brevet, etc. > Quelles sont l origine et la destination de ce document : interne (quel service, quel auteur), externe (quelle société, quelle direction)? 5 Voir, dans le domaine de la santé, la loi sur le réseau communautaire d informatique médicale LRCIM, du Canton de Genève. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 > Quel est son support : papier (faut-il le numériser?), électronique (quel format de représentation?) > Dans quel processus s inscrit-il : facturation, ressources humaine, commercial, approvisionnement, etc.? > Quelle est sa portée : stratégique, juridique (obligation légale ou non), technique, etc. > Quels sont les menaces (vol, sinistre, malversation) et les risques associés à ce document? > Quelle est sa durée de conservation? Finalement, la formalisation de ces principales interrogations constituent les éléments d un «Référentiel de conservation 6» ou «Calendrier de conservation» ou encore «Tableau de gestion». Le cas des email Si, à l origine de leur conception, les email étaient assimilables à des enveloppes contenant des documents (pièces jointes), aujourd hui beaucoup cumulent les fonctions de transmission et de message. De fait, certains «email» sont devenus des documents comme, par exemple, des bons de commande, des notes de services, des contrats, etc. Ils sont générateurs d engagements et d obligations entre émetteurs et destinataires. De plus, avec les mécanismes de suivi «Répondre» et «Transférer», ils reflètent une chronologie d échanges d une grande complexité et comportent des contenus souvent peu structurés. Néanmoins, ils doivent être traités comme des documents à part entière et peuvent relever du «Records management» dès lors qu ils traitent d un sujet vital pour l organisation. Ils peuvent constituer de la «correspondance commerciale» soumise à une obligation légale de conservation. La difficulté est bien évidemment de leur associer des métadonnées suffisamment précises pour les retrouver ultérieurement. En ce sens, les utilisateurs doivent être sensibilisés au fait que les «email» sont des documents susceptibles d engager l organisation et que leur cycle de vie est difficilement identifiable et traçable. 6 Le projet de loi sur l archivage LArch du canton Vaudois retient l expression «Calendrier de conservation»

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 démarches et solutions La mise en place d un SAE s appuie sur une démarche de conduite projet construite en plusieurs étapes : 1 définition des objectifs à atteindre sur le plan stratégique. En d autres termes : quels sont les documents vitaux pour l organisation qui relèvent d une politique de «Records management»? 2 analyse de la situation documentaire actuelle : processus en place, systèmes et ressources, 3 établissement d un référentiel de conservation (tableau de gestion), 4 choix d une solution organisationnelle, technique et financière, 5 réalisation et mise en œuvre en interne ou sous-traitance, totale ou partielle, 6 mise en place d un plan de gestion du changement comprenant notamment un plan de formation, 7 bilan et ajustements nécessaires. La quatrième étape de cette démarche conduit à une décision de réalisation : en interne ou avec sous-traitance. Cette décision est prise selon un certain nombre de critères propres à chaque organisation. Ce Livre blanc explore les deux voies possibles. La première à travers les «Solutions techniques» présentées au paragraphe 7.1 et la seconde à travers les «Solutions de services» présentées au paragraphe 7.2. Les solutions techniques La migration des documents papier en documents électroniques a conduit à la conception et à la mise en oeuvre d un certain nombre d outils informatiques permettant d assurer l intégrité, l authenticité, l identification et la conservation des documents. Ces outils sont principalement utilisés pour leur transmission par courriel et pour leur archivage. Dans le premier cas, ils permettent de s assurer qu entre les étapes d émission et de réception