DÉMATÉRIALISATION ET ARCHIVAGE PROBANT des documents électroniques dans LE ConTExTE juridique SuiSSE +

DÉMATÉRIALISATION ET ARCHIVAGE PROBANT des documents électroniques dans LE ConTExTE juridique SuiSSE +

1 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Avant-propos Augmentation exponentielle des volumes de données, optimisation de la gouvernance d organisation, «risk management», judiciarisation croissante des affaires, contraintes réglementaires et législatives de plus en plus fortes la parfaite maîtrise de l information et des documents produits et reçus dans le cadre de vos activités est devenue un enjeu majeur. La solution au problème de conservation et de gestion des données n est pas de démultiplier chaque année les capacités de stockage comme cela est aujourd hui le cas dans la plupart des organisations. L essentiel est de ne conserver que l information utile et vitale, autant de temps que cela est nécessaire, et de la rendre facilement disponible aux utilisateurs habilités, dans un environnement sécurisé. Pour cela, il faut repenser les processus et les méthodes de gestion de l information. La mise en œuvre de votre système d archivage électronique doit s appuyer sur une démarche projet sans faille impliquant très en amont les référents métiers et les archivistes. Elle doit intégrer l ensemble des facteurs clés suivants : > Les nouvelles obligations légales et réglementaires. > Les évolutions de vos processus internes, liées à la dématérialisation et à la place occupée par le numérique dans les échanges. > L obligation d accéder quasi instantanément à l information lorsqu il s agit d optimiser la relation client. > L évolution technologique permanente et rapide qui oblige à tenir compte le plus tôt possible des modalités d archivage.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 il est essentiel de garder à l esprit que les archives électroniques relèvent de la même autorité que les archives papier et que le support ou le format ne change rien. En revanche, si les obligations et les objectifs sont identiques, les processus de gestion sont très différents. En particulier, les intervenants sont plus nombreux et doivent travailler en concertation : archiviste, juriste, informaticien, décideur «métier». Considéré comme une contrainte ou une mission annexe, l archivage a longtemps été sous-estimé. Aujourd hui, principalement grâce à la dématérialisation et à l'avènement du numérique, la maîtrise de l information est au centre de nombreuses interrogations. Sa valeur devient évidente. La mise en place d une politique d archivage pérenne est un élément essentiel d optimisation et de réduction des coûts. Elle est aussi l expression et l un des moteurs de la bonne gouvernance des organisations. C est dans ce contexte de mutation rapide et profonde, qu Everial a souhaité faire part de son expertise technique, juridique et opérationnelle. Spécialiste de l archivage sous forme électronique des documents, Everial est un prestataire de services en très fort développement. Ses platesformes techniques à hautes performances, ses processus continuellement améliorés et ses personnels qualifiés permettent d élaborer des solutions mutualisables et d offrir à ses clients des prestations haut de gamme et à moindre coût. Everial répond ainsi aux besoins des organisations quelles que soient l importance de leur projet et la complexité des exigences qu elles accordent à l archivage électronique. Ce Livre blanc est destiné aux décideurs des entreprises, des organisations et des administrations. il leur apporte une vision stratégique des aspects techniques, juridiques et normatifs de l archivage électronique des informations et des documents.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Table des matières Avant-propos 2 Introduction 6 Document électronique et cycle de vie 9 étude de conception et de création 10 étude de gestion 10 étape de production et de diffusion 11 étape d archivage 11 retour au cycle de vie 12 Document électronique et cadre juridique 14 Conservation électronique 14 documents éléctroniques comme moyens de preuve 16 Protection des données 17 Spécificités du secteur public 19 Document éléctronique et cadre normatif 23 La norme iso 15489 «records management» 24 La norme iso 30300 de système de management 26 iso/dis 14641-1 : gestion de documents électroniques 27 Les normes connexes 28 L intérêt des deux familles de normes 29 Travaux spécifiques en e-ch 29 Que faut-il faire et pour quels documents? 31 Le cas des email 32 Démarches et solutions 34 Les solutions techniques 34 Les solutions proposées 38 Retour d expériences 42 Cas pratique détaillé 1 42 Cas pratique détaillé 2 43 Cas pratique divers 44 Questions fréquentes 45 Enjeux et bénéfices attendus 47 Bibliographie 48 Les contributeurs 49

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 introduction «Les documents papier vont inexorablement être remplacés par des documents électro niques» En se mondialisant, les mécanismes d échange et de communication des biens et des services se sont progressivement dématérialisés. Les organisations interagissent désormais au cœur d une économie numérique. Elles échangent des informations et des documents, avec d autres organisations et individus (clients, fournisseurs, administrations, orga nismes publics...) : bons de commande, factures, relevés bancaires, documentations techniques, brevets, contrats, feuille de paie, formulaires Encore majoritairement traités sous forme papier, ces documents vont inexorablement être remplacés par des documents électro niques. L évolution des techniques informatiques et l adaptation des textes législatifs et réglementaires permettent et encadrent cette migration. Ces deux tendances conduisent à la mise en place de nouvelles pratiques et de nouveaux processus de gestion, porteurs de gains de productivité et d avantages concurrentiels particulièrement significatifs. En revanche, l évolution des techniques et l adaptation du domaine réglementaire nécessitent de nouvelles organisations et l accompagnement à ce changement. C est dans ce contexte que ce Livre blanc trouve sa place, avec une double ambition : > être un document explicatif des aspects techniques et juridiques de la dématérialisation et de l archivage des documents sous forme électronique, en Suisse, > être également un document d accompagnement, voire d incitation au changement, par la présentation de réalisations qui confirment les méthodes recommandées.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Ainsi, pour atteindre ces objectifs, ce Livre blanc décline les chapitres suivants : > le chapitre 3 rappelle ce qu est un document électronique et présente le concept de «Cycle de vie». Il précise la distinction entre document numérique et document numérisé, > le chapitre 4 présente le contexte juridique suisse. Il souligne les incidences des systèmes de gestion et d archivage électroniques en matière de preuve et les obligations qui reviennent aux organisations, > le chapitre 5 introduit et commente les principales normes en matière de gestion des informations et des documents électroniques, > le chapitre 6 recommande une démarche d analyse de la situation existante afin de définir les objectifs d un système d archivage électronique, > le chapitre 7 fait état des solutions techniques et des solutions de services possibles qui s offrent aux organisations, > le chapitre 8 présente quelques réalisations de clients Everial, > enfin, le chapitre 9 commente les enjeux et les bénéfices d un projet d archivage de documents sous forme électronique. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 document électronique et cycle de vie «La production d un document est l aboutissement d un processus de création, de production et de diffusion relativement complexe» Un document est à la fois un support d informations et un moyen d échange. Il se caractérise principalement par sa mise en page, ses dimensions physiques, son volume en nombre de pages et ses contenus (texte, graphique, image). La majorité des documents est aujourd'hui produite automatiquement par des systèmes informatiques comme ceux de gestion bancaire qui établissent des relevés de comptes ou encore ceux de comptabilité qui, présents dans toutes les organisations, génèrent des factures. Une fois créé, ce document peut être imprimé ou non. Il est stocké sur un serveur, dans un format pérenne et non modifiable, afin d être à la disposition des personnes habilitées à le consulter, voire à le télécharger. Un document électronique peut aussi être conçu et réalisé au cas par cas, dans un contexte bureautique, par un opérateur utilisant un logiciel de traitement de texte. Ce document pourra alors être expédié à son destinataire, sous forme papier ou sous forme électronique, par courrier électronique. Ce système, qui s est rapidement imposé comme moyen d échange rapide et efficace, constitue un nouveau mode de communication. Il produit des e-mail qui constituent un nouveau type de documents. La production d'un document suit un processus de création, de diffusion et d'archivage relativement complexe. Il fait appel à un grand nombre d acteurs et met en œuvre différentes techniques informatiques. Néanmoins, ce processus peut être modélisé afin d être géré dans les meilleures conditions. Le modèle présenté ci-après et dénommé «Cycle de vie des documents» comporte quatre étapes principales : «Conception et création», «Gestion», «Production-diffusion» et «Archivage». DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Étape de conception et de création Un document électronique peut avoir deux origines : > Soit il a été conçu et réalisé électroniquement avec des moyens informatiques automatisés ou non. Dans ce cas, le document est nativement électronique et c est un original. > Soit il résulte d un processus de numérisation qui transforme un document papier en document électronique. Dans ce cas, le document papier reste toujours l original et le document électronique en est une représentation, donc une copie. L étape de création est donc celle qui donne naissance au document. C est elle qui permet de préciser les premières métadonnées qui le caractérisent : nature (feuille de paie, contrat, facture), origine (papier ou électronique), auteurs, niveau de confidentialité, durée de conservation, etc. Autant d informations qui vont intervenir dans les modalités juridiques et techniques de l archivage, étape ultime du cycle de vie. Étape de gestion L étape de gestion consiste à mettre en œuvre les processus et les outils informatiques d échange et de partage des documents entre les différents acteurs d une même organisation. Fonctionnellement, ces outils permettent notamment de compléter les métadonnées du document, d assurer son stockage dans un ou plusieurs formats de représentation - selon que ce document est révisable ou non - et bien évidemment d organiser sa consultation sous certaines conditions d accessibilité. Les outils informatiques de Gestion Électronique de Documents (GED) et de gestion de processus (Workflow) sont parfaitement adaptés à cette étape du cycle de vie. Grâce à des mécanismes d horodatage, ils permettent d enregistrer et de conserver la nature des événements liés à l usage et à l évolution de chaque document.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Étape de production et de diffusion Cette étape concerne la communication du document dans sa forme finale et dans un format de représentation dit non révisable ou non modifiable. Cette communication est réalisée de façon «Push» ou de façon «Pull». Dans le premier cas, il s agit de la diffusion du document vers son destinataire. Dans ce processus, le document peut être diffusé sous forme papier et/ou sous forme électronique. L éditique est l ensemble des outils et des méthodes informatiques qui permettent la composition, l impression et la diffusion des documents. L'e-mail est le moyen qui permet sa diffusion sous forme électronique. Dans le cas de la diffusion «Pull», le document est mis à la disposition des destinataires sur un serveur. Ce sont eux qui, en fonction de leur niveau d habilitation, font la démarche pour le consulter et le télécharger. Étape d archivage L étape d archivage a pour corollaire, dans la plupart des cas, l élimination comme sort final. C est l étape ultime du cycle de vie d un document. Les Systèmes d Archivage Électronique (SAE) sont les outils qui répondent à ce besoin. Sur le plan fonctionnel, ils permettent de gérer les versements, de finaliser les métadonnées associées, de faire des recherches, de consulter, de télécharger et finalement de proposer des destructions de documents. Cette étape met en œuvre des techniques informatiques dont la pérennité, comme par exemple la durée de vie des supports informatiques, n est pas toujours en concordance avec les contraintes légales de conservation des documents. Les chapitres qui suivent commentent cette étape du cycle de vie des documents, sur les plans juridique, normatif, méthodologique et de réalisation de SAE. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Retour au cycle de vie Le modèle fonctionnel «Cycle de vie des documents» présente l intérêt d intégrer, dès l étape de conception d un modèle de document, les obligations juridiques et de convenir des modalités techniques de son archivage. Lors du travail prospectif de mise en place d un SAE, il est désormais possible - et recommandé - de faire travailler ensemble les informaticiens, juristes, experts métier et les archivistes. Chacun, dans son domaine de responsabilités, apporte ses exigences et contribue à une spécification exhaustive et détaillée du processus documentaire lui-même.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 document électronique et cadre juridique «Toutes les organisations devant être inscrites au registre du commerce sont soumises à l obligation de conservation» Dans un certain nombre de lois et d ordonnances, le législateur suisse a établi et précisé les conditions de la conservation électronique des documents, l utilisation de tels documents électroniques comme moyens de preuve ainsi que les mesures à prendre pour garantir la protection des données qu ils contiennent. Conservation électronique La conservation électronique en tant que telle est abordée sous l angle de la tenue et de la conservation de la comptabilité commerciale, aux articles 957 ss. du Code des obligations (CO ; RS 1 220). Toutes les organisations devant être inscrites au registre du commerce (article 957 alinéa 1 CO) - soit la quasi-totalité des acteurs économiques privés en Suisse - sont soumises à l obligation de conservation. Cette obligation concerne non seulement la comptabilité au sens étroit (grand livre, livres auxiliaires, pièces justificatives des écritures comptables), mais également toute la correspondance commerciale qui engage l organisation, lui confère des droits et a une influence sur son bilan (documents entrants et sortants ainsi que des documents internes). La durée de conservation est de dix ans à partir de la fin de l exercice annuel au cours duquel les dernières inscriptions ont été faites, les pièces comptables ont été établies, la correspondance a été reçue ou expédiée (article 962 alinéa 2 CO). 1 Recueil systématique du droit fédéral : tp://admin.ch/ch/f/rs.html

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 «Le législateur se montre résolument favorable à la mise en œuvre d outils électroniques propres à rationaliser et à faciliter la conservation des documents» Le législateur se montre résolument favorable à la mise en œuvre d outils électroniques propres à rationaliser et à faciliter la conservation des documents. Ainsi, hormis le compte d exploitation et le bilan qui doivent être conservés sur papier et signés, l intégralité des livres, des pièces comptables et de la correspondance peut être tenue et conservée par un moyen électronique ou par un moyen comparable. Les seules conditions fixées sont que la conformité avec la transaction de base soit garantie et que ces documents puissent être rendus lisibles en tout temps (article 957 alinéas 2 et 3 CO). Les principes à respecter pour que cette double exigence soit remplie sont détaillés dans le texte fondamental en matière de conservation électronique, l Ordonnance concernant la tenue et la conservation des livres de comptes (Olico ; RS 221.431). Il s agit des principes suivants : > Principes généraux, applicables tant à la tenue qu à la conservation des documents : Principe de régularité (article 2 Olico). Principe d intégrité (authenticité / infalsifiabilité - article 3 Olico). Principe de documentation (article 4 Olico). Il s agit de documenter l organisation, les compétences, les modes de travail, les procédures et l infrastructure (matériel et logiciels) utilisés pour la tenue et la conservation des documents. > Principes spéciaux pour la conservation : Devoir général de diligence (article 5 Olico) : conservation avec soin et ordre, à l abri des effets dommageables. Disponibilité (article 6 Olico) : pendant tout le délai de conservation, la consultation doit être possible en tout temps et dans un délai raisonnable. Organisation / archivage (articles 7 et 8 Olico) : séparation entre informations actuelles et archivées ; informations inventoriées systématiquement et protégées contre les accès non autorisés ; consultations et accès enregistrés. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 S agissant du principe primordial de la régularité, il est important de souligner que l Olico reste neutre par rapport à la technologie à mettre en œuvre. Elle ne cherche pas à définir les mesures à prendre dans les moindres détails, mais se limite à faire référence aux «règles qui font autorité en [la] matière [...] et les recommandations de la profession» (article 2 alinéa 3 Olico). Dans le domaine de la conservation électronique de documents, on peut ainsi s inspirer de normes telle qu ISO 15 489 «Records management». Toutefois, ces normes ne s appliquent pas intégralement et de manière contraignante à toutes les organisations, sans distinction de leur taille ou de leur activité. Leur implémentation dans un cas concret doit être déterminée en fonction de la nature et de l étendue des affaires de l organisation, de son environnement réglementaire et de ses besoins spécifiques. Documents électroniques comme moyens de preuve «Les documents électroniques sont donc explicitement admis comme preuves, au même titre Entré en vigueur au 1 er janvier 2011, l article 177 du nouveau Code de Procédure Civile (CPC ; RS 272) définit les titres admis comme moyens de preuve dans une procédure civile comme étant «des documents, tels les qu un document papier» écrits, les dessins, les plans, les photographies, les films, les enregistrements sonores, les fichiers électroniques et les données analogues propres à prouver des faits pertinents». Les documents électroniques sont donc explicitement admis comme preuves, au même titre qu un document papier. Peu importe qu il s agisse d un support électronique dès l origine ou d un document traditionnel scanné 2. Là encore, le législateur a clairement exprimé sa volonté de favoriser le recours à des outils de traitement et de conservation électronique de documents. Le message du Conseil Fédéral, relatif de l article précité, le confirme : «L archivage purement numérique, qui joue un rôle grandissant dans le commerce et l industrie, ne doit pas amener avec lui une dépréciation de la valeur probante des documents archivés 3». Le Conseil Fédéral 2 Message du Conseil Fédéral relatif au code de procédure civile (CPC) du 28 juin 2006, FF2006 p. 6931. 3 Ibidem.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 indique enfin qu un titre établi sur support électronique peut être considéré comme preuve fiable dès lors que le processus de numérisation respecte certaines règles, par exemple celles qui s appliquent en droit commercial et qui sont exprimées dans l Olico 4. Il découle de ce qui précède qu une organisation peut se libérer de ses archives physiques sur papier en mettant en place un processus et un système d archivage conformes à l Olico. En cas de litige, elle pourra produire, en tant que preuves par titres, des fichiers électroniques extraits de son système d archivage électronique (documents et métadonnées telles que signature électronique et horodatage pour garantir l authenticité). Ces fichiers ont la même force probante que le document original sur papier (par exemple un contrat signé). En cas de contestation de l authenticité du document électronique, il suffit à l organisation de démontrer la conformité de son système d archivage électronique avec les exigences légales, notamment celles de l Olico. Cette condition implique en particulier la production de la documentation appropriée (article 4 Olico). Si cette conformité est établie, le juge n a aucune raison de douter de la fiabilité de la preuve électronique qui lui est soumise. Protection des données La Loi sur la Protection des Données (LPD ; RS 235.1) s applique au traitement de toutes les informations qui se rapportent à une personne physique ou juridique identifiée ou identifiable (article 3 lettre a LPD). Autant dire que les informations traitées par les organisations constituent très souvent des données au sens de la LPD (par exemple, factures, commandes, contrats, e-mail sur lesquels figure le nom ou la raison sociale d une personne identifiée ou identifiable). Il faut donc respecter les règles relatives à la protection de données lors de l archivage de ces documents. L article 7 LPD relatif à la sécurité des données exige que celles-ci soient protégées contre tout traitement non autorisé par des mesures organisationnelles et techniques appropriées. Les articles 8 ss. de l Ordonnance relative à la loi sur la protection des données (OLPD, RS 235.11) concrétisent 4 Ibidem. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 les mesures à prendre. Afin d assurer la confidentialité, la disponibilité et l intégrité des données, il faut protéger les systèmes notamment contre les risques de destruction accidentelle ou non autorisée, de perte accidentelle, d erreurs techniques, de falsification, de vol ou d utilisation illicite ainsi que de modification, de copie, d accès ou autres traitements non autorisés. À cet effet, divers contrôles doivent être mis en place (article 9 OLPD). Dans certains cas, le traitement doit être journalisé (article 10 OLPD) et un règlement de traitement doit être édicté (article 11 OLPD). Ces mesures correspondent en grande partie à celles exigées par l Olico. «Un système d archivage électronique doit ainsi non seulement garantir l archivage conforme aux exigences légales pendant le délai de conservation, mais également la destruction des documents à l issue de ce délai» La LPD érige également en règle fondamentale que tout traitement de données doit être licite et effectué conformément au principe de la proportionnalité (article 4 alinéas 1 et 2 LPD). La conservation de données, dans le cadre d un système d archivage, n est autorisée que tant et aussi longtemps qu elle répond à une obligation légale de conservation (ou, pour le moins, qu elle repose sur un intérêt prépondérant comme, par exemple, celui de conserver des documents particulièrement importants dans le but de pouvoir retracer l histoire de l organisation). Il découle de ce qui précède une obligation d assurer la destruction de toutes les informations dont le traitement n est plus justifié, ce qui devrait être le cas pour la grande majorité des documents archivés à l issue de leur délai légal de conservation. Un système d archivage électronique doit ainsi non seulement garantir l archivage conforme aux exigences légales pendant le délai de conservation, mais également la destruction des documents à l issue de ce délai. Les caractéristiques principales du cadre légal suisse esquissé ci-dessus peuvent être résumées ainsi : > Le législateur suisse encourage la mise en œuvre d outils électroniques dans le domaine de l archivage.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 > L archivage électronique nécessite la mise en place de processus et d un système d archivage respectant avant tout les principes formulés dans l Olico (notamment le principe de régularité qui renvoie aux méthodes généralement admises et aux recommandations de la profession). En revanche, il n y a pas d exigence légale quant à la technologie à utiliser. > À condition de respecter les principes précités, les documents archivés par un moyen électronique ont la même force probante que des documents conservés sur papier. > La réglementation en matière de protection des données s applique également dans le domaine de l archivage. Elle impose notamment l obligation de détruire les informations qui ne sont plus requises. Spécificités du secteur public Le secteur public, en plus des contraintes règlementaires exposées plus haut, est soumis à quelques contraintes spécifiques. Tout d abord, tant au niveau fédéral que cantonal, les administrations sont soumises à la réglementation sur la transparence administrative (seul trois cantons n ont pas légiféré à ce jour). Le principe de transparence veut que tout document produit dans l action courante de l administration soit accessible au public, à l exception des : > documents concernant les données personnelles (voir plus bas), > documents concernant des données commerciales sensibles (secret des affaires), > documents dont la connaissance peut mettre en cause la sécurité publique. Cette exigence implique une maîtrise accrue des processus documentaires. La dématérialisation peut représenter ici un avantage car il est nettement plus facile de communiquer par courriel un document électronique plutôt que de le rechercher dans un dépôt d archives, le reproduire, et l envoyer DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 par courrier postal. La contrepartie à cette facilité est néanmoins l obligation de mettre en place des systèmes de gestion des documents électroniques efficaces. On voit également apparaître une demande accrue pour la mise à disposition publique non seulement de documents mais également de jeux de données détenues par les administrations. Cette tendance, connue via l anglicisme «Open Data» traduit en français par «Donnée publique», est très vive en Angleterre et récemment en France. Toutefois, elle n a pas encore pris tout son effet dans le cadre des administrations suisses, bien que de nombreux cercles y réfléchissent et que certaines de ces données soient déjà accessibles via les systèmes d information géographiques (SIG). Les administrations publiques sont également soumises à la législation sur la protection des données personnelles, au même titre que les entreprises privées. Elles ont cependant une responsabilité plus grande à cet égard dans la mesure où les données qu elles collectent ou produisent le sont sous le couvert d exigences légales auxquels le citoyen ne peut se dérober et qu elles couvrent une population numériquement importante. De plus, certains secteurs de l administration possèdent des données sensibles (santé, social, par exemple). Elles doivent donc être particulièrement prudentes dans la gestion de la communication et de l interconnexion possible de ces données. Les administrations doivent donc mettre en place des contrôles de droits d accès adéquats et la possibilité de correction des données erronées. Ces exigences d anonymat relatif peuvent sembler entrer en conflit avec un troisième domaine législatif qui est celui des archives publiques. En effet, la plupart des lois sur la protection des données personnelles visent à les faire détruire une fois qu elles n ont plus d utilité courante. Mais certaines données personnelles (on pense par exemple à l État-civil) ont une exigence de pérennité à long terme, garantie par l application des lois sur l archivage public, qui priment alors sur les prescriptions de la protection des données. Ces conflits juridiques potentiels ont amené certains cantons (Argovie et Valais par exemple) à fusionner en un seul texte législatif les trois domaines juridiques de la transparence, de la protection des données et des archives publiques. D autres cantons, à l instar de la Confédération, n ont fusionné que les textes concernant la transparence et la protection des données.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Un dernier domaine, qui doit tenir compte des contraintes réglementaires, est celui de la mise en place de ce qu il est convenu d appeler la cyberadministration. L administration fédérale (programme GEVER, http://www.bar.admin.ch/dienstleistungen/00882/index.html?lang=fr ) et certains cantons mettent actuellement en place d ambitieux programmes visant à mettre l administration «en ligne». Dans ce cadre, un important travail de normalisation est effectué dans le cadre de l association e-ch (http://www.ech.ch/vechweb/page?f=default&p=index ). Outre l aspect logistique, qui intéresse peu le citoyen, la mise en place de guichets virtuels implique un système d identification des personnes très fiable. C est pourquoi la Confédération promeut le concept d une clé d identification, la SuisseID, dans le cadre des transactions avec les autorités administratives (http://www.suisseid.ch/index.html?lang=fr). Pour que cette cyberadministration fonctionne correctement, il faut mettre en place des flux de données ergonomiques et fiables (gestion des processus et Records management) mais également des infrastructures d archivage de haute qualité. Celles-ci, appelées communément Système d archivage électronique (SAE) selon la norme Moreq (Model Requirements for the management of electronic records, sont actuellement progressivement mises en place dans différentes administrations. Ces infrastructures sont également construites selon la norme OAIS (Open Archival Information System) devenue la norme ISO 14721 : 2033. La norme OAIS encadre la définition des différentes entités logiques nécessaires pour permettre d assurer une conservation à long terme qui, dans le cadre des institutions publiques, doit dépasser le siècle. C est la gestion à (très) long terme qui représente la spécificité majeure de l archivage électronique pour les administrations publiques. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 document électronique et cadre normatif «Une norme est un document approuvé par un organisme reconnu, qui a été mis au point par voie de consensus entre des experts du domaine, et qui fournit des recommandations sur la conception, l'utilisation ou la performance des produits, processus, services, systèmes ou personnes» L ISO, International Standard Organization. Loin d être une contrainte, la mise en œuvre d une norme produit un avantage concurrentiel. C est un cadre de connaissances éprouvées sur lequel les organisations peuvent s appuyer pour développer leurs activités. Dans le domaine de la gestion de l information et des documents électroniques, les normes ISO ont pour objet de définir, d encadrer, voire de certifier, les systèmes de gestion de l information et des documents et, conséquement, la réalisation de SAE comme moyens techniques. Les normes ISO peuvent être classées en deux grandes familles : > les normes de management, comme celles de la série 9000 liée à la qualité ou celle de la série 14000 rattachée à l'environnement ou encore la série 31000 relatives au management du risque, > les normes techniques, destinées à formaliser les modalités de mise en œuvre, comme par exemple celles d un SAE ou d un processus de dématérialisation. Dans le domaine de l archivage électronique, la norme ISO 15489 «Records management», publiée en 2001, fait référence. Elle sera l objet, à partir de l année 2011, d une révision significative qui conduira à distinguer les aspects de management des modalités techniques de réalisation. Les aspects de système de management seront couverts par la nouvelle norme ISO 30300. Les aspects de réalisation seront encadrés par la norme ISO 15489 révisée et par des normes connexes. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Le schéma ci-dessous présente l articulation de ce corpus de normes qui conjugue une finalité de bonne gouvernance et des modalités de réalisation. normes de système de management iso 30300 Système de management des informations et des documents normes techniques iso 15489 records managements iso 23081 métadonnées des records iso 14641 Processus iso 19005 PdF/A Nous avons choisi de commenter ces deux séries de normes (ISO 15489 et ISO 30300). La première souligne la portée stratégique de la gestion des documents, la seconde celle des modalités de mise en œuvre par les professionnels. La norme ISO 15489 «Records management» La norme ISO 15489, dite de «Records management», est une référence pour l organisation et la gestion de l archivage des documents produits par les organisations. Elle comporte deux parties. La première concerne les principes directeurs. La seconde est un guide pratique. La norme ISO 15489 de «Records management» a la volonté : > de répondre aux exigences légales et réglementaires de gestion des informations et des documents électroniques, en matière d archives, d audit et de contrôle, > de définir les informations et les documents qui relèvent du «Records management». En d autres termes, les documents que l organisation considère comme stratégiques pour assurer la continuité de son activité en cas de dysfonctionnements graves ou de sinistres,

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 > de convenir des responsabilités et des compétences des différents acteurs : concepteurs, archivistes, informaticiens, qualiticiens, de même qu entre décideurs, administrateurs et collaborateurs, > d élaborer et de valider de nouveaux processus de travail, > d adapter et de maintenir l interopérabilité d un SAE avec les autres systèmes, > de mettre en œuvre un plan de gestion du changement comprenant, entre autres, un plan de formation, > de préserver les intérêts de l organisation et les droits de ses employés, de ses clients et des utilisateurs présents et futurs des «Records», > de préserver une mémoire de l organisation. Afin que les organisations produisent et conservent des documents authentiques, fiables et exploitables et qu elles préservent leur intégrité aussi longtemps que nécessaire, ISO 15489 définit des exigences. Qu elles soient de l ordre du principe ou techniques, ces exigences sont utiles à la réalisation d un SAE. > Principes généraux d un programme de «Records management» : quels documents à minima il convient de produire et d archiver, quelles formes et quelles techniques doivent être retenues pour produire et archiver ces documents, quelles métadonnées il convient de créer et de maintenir dans le temps pour décrire les contenus de ces documents, les usages et les droits associés, quels modes d organisation (plan de classement) il faut retenir des documents, quels sont les risques en cas de non-disponibilité de documents probants pour une activité, quelles sont les exigences légales des pays concernés par l activité de l organisation. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 > Exigences caractérisant un document d archives : ISO 15489 définit des exigences qui caractérisent un document d archive et en particulier : son authenticité : le document est bien ce qu il prétend être, sa fiabilité : le document représente exactement et complètement les opérations et les activités qu il atteste, son intégrité : le document est complet et non altéré, son exploitabilité : le document peut être replacé dans un contexte d activité. > Exigences caractérisant un SAE : ISO définit les exigences d un système d organisation et de gestion des documents d archives ou SAE. Celui-ci doit être : > fiable : le système doit fonctionner de manière continue, régulière et cohérente avec les responsablités en jeu, > intègre : le système doit posséder toutes les mesures de contrôles visant le droit d accès, l identité de l utilisateur, les modalités d élimination et de déplacement des documents. Enfin, le SAE doit être en conformité avec les exigences énoncées, et revêtir un caractère systématique. La norme ISO 30300 de système de management La série de normes ISO 30300 reprend et complète la norme ISO 15489 pour ce qui concerne le système de management des informations et des documents. C est donc une norme de management au même titre que l ISO 9001 de management de la qualité ou encore d ISO 30000 de management du risque. La norme ISO 30300 relève de la politique des organisations en matière de management de l information et des documents dans une démarche

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 d amélioration continue. Elle met en évidence, par sa mise en oeuvre, que les ressources informationnelles (informations et documents) sont des actifs de l organisation et font partie de son capital intellectuel. ISO 30300 et les suivantes ont été conçues dans une optique de processus. Elles répondent aux besoins de toutes les parties prenantes : direction métier, direction système d information, direction juridique, direction ressources humaines. Pour définir et établir une politique de management des informations et des documents, ces normes recommandent, dans un objectif de preuves fiables et faisant autorité : > de définir les rôles et les responsabilités de chacun, > de spécifier les processus et les systèmes de management, > de convenir des modalités de mesure et d évaluation de ces systèmes, > de mettre en oeuvre les améliorations nécessaires. Dans leurs grandes lignes, ces normes établissent un certain nombre de principes qui conduisent les organisations à formaliser les relations entre le système de management des informations et des documents et le système de management général. Elles impliquent fortement la direction des organisations. Ce sont ces mêmes directions qui devront fixer les orientations et les objectifs à atteindre, qui rendent obligatoire l adoption par les personnels des exigence du système de management et qui s assurent de la disponibilité des moyens et des ressources. Finalement, l'application de telles normes conduit à la mise en place d'une bonne gouvernance en matière de management des informations et des documents. ISO/DIS 14641-1 : gestion de documents électroniques Conception et fonctionnement d'un système d'informations pour la conservation de documents électroniques. Cette norme s appuie sur la norme française NF Z 42-013 : 2009 dont l application est rendue obligatoire par un arrêté du 4 décembre 2009 pour l externalisation des archives publiques électroniques. Elle est actuellement au stade de «Committee Draft» et devrait être disponible début 2012. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Les objectifs de la norme sont de : fournir dans le prolongement des dispositions légales et/ou réglementaires un cadre technique permettant de mettre en place des systèmes d archivage électronique (SAE) à vocation probatoire destinés à conserver des documents numériques d origine ou obtenus par numérisation, proposer un texte décrivant les aspects techniques et organisationnels nécessaires et suffisants pour garantir l intégrité, la pérennité, la sécurité et la traçabilité des documents conservés dans un SAE, fournir un référentiel d audit permettant de déterminer la conformité d un SAE au regard des spécifications de la norme, fournir aux éditeurs de progiciels un ensemble de points techniques à mettre en œuvre, fournir aux archivistes et aux tiers-archiveurs un ensemble d indications leur permettant de mettre en conformité leurs offres de services. Les normes connexes En compléments de l ISO 15489 et selon les spécificités des activités de l organisation et des documents éligibles comme «Records», il pourra être intéressant de s appuyer sur des normes techniques comme : > la norme ISO 23081 relative aux principes de gestion courante des métadonnées et des versements des documents aux archives, > la norme ISO TR 13028 concernant les lignes directrices pour la numérisation des informations et des documents, > la norme ISO 13008 applicable aux processus de conversion et de migration des information et des documents numériques. Par ailleurs, et il est utile de le préciser ici, l Union Européenne a souhaité uniformiser les politiques d archivage des pays membres. Elle a établi un recueil d exigences pour l organisation de l archivage électronique dénommé MoReq (Model Requirements for the Management of Electronic Documents) et basé sur la norme ISO 15489 «Records Management». Édité en 2001 et considéré comme difficilement applicable, MoReq a été

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 remplacé en 2008 par MoReq2 puis devait l être, fin 2010, par MoReq 2010 avec des objectifs de simplification et de modularité. À ce jour cette version n a pas encore été rendue publique. L intérêt des deux familles de normes Les normes ISO 30 300 et ISO 15 489 sont complémentaires. Les premières s inscrivent dans les principes du management de la qualité et donc de la stratégie des organisations. Les secondes, de nature technique, concernent les spécifications des processus et des systèmes informatiques de type SAE, en vue de l archivage des documents. Mettre en œuvre conjointement ces familles de normes permet à chaque organisation de définir sa politique en matière de gestion des informations et des documents en conformité avec le cadre législatif suisse. Elles conduisent à mettre en place des moyens - processus et SAE - qui garantissent l intégrité, la sécurité et la pérennité des documents archivés. Cette démarche peut paraître complexe. Néanmoins, elle peut être conduite progressivement en choisissant certaines familles de documents, en privilégiant l approche managériale ou celle des moyens techniques, ou encore en faisant appel à des professionnels. Travaux spécifiques e-ch e-ch est l organisation suisse de normalisation dans le domaine de la cyberadministration. Des représentants des administrations et de la branche de l informatique collaborent à l élaboration de normes spécifiques. Après avoir été testées selon une procédure définie et approuvées par une commission d experts, les normes sont publiées sur le site d e-ch. L organisation de normalisation e-ch (www.ech.ch) a été créée par l USIC, puis elle s est constituée en association, statut juridique sous lequel elle est aujourd hui gérée de façon autonome. Ses membres sont des offices fédéraux, tous les cantons, des communes et des villes, la Conférence suisse

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 sur l informatique, ainsi que d autres organisations, des universités et une centaine d entreprises du secteur TIC et enfin des membres individuels. La convention-cadre (http://www.egovernment.ch/fr/grundlagen/rahmenvereinbarung.php) concernant la collaboration en matière de cyberadministration en Suisse précise en son article 4 «Respect des normes d échange de données» que les collectivités doivent se baser sur des normes de cyberadministration reconnues au plan international et national. Au niveau national, les normes de l association e-ch sont déterminantes. La réalisation technique des fonctions informatiques se fait au moyen de divers produits et systèmes. Le dénominateur commun pour garantir l interopérabilité entre les systèmes informatiques utilisés est le respect de normes, en particulier pour les protocoles de communication, les formats et les structures de données. La norme la plus importante, parce qu elle est déterminante pour toutes les fonctions informatiques décrites, est SAGA.ch. Deux autres normes sont capitales pour la gestion documentaire : ISO 15489, respectivement e-ch-0002, «Records Management», qui formule des exigences techniques et organisationnelles pour l aménagement des systèmes de gestion des dossiers, et ech-0037 Directives GEVER Confédération, qui définit le paramétrage des champs dans ces systèmes et garantit la compatibilité des structures des données. www.ech.ch www.egovernment.ch Convention cadre : http://www.egovernment.ch/fr/grundlagen/rahmenvereinbarung.php

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 que faut-il faire et pour quels documents? Tous les documents n ont pas la même portée. Ils ne relèvent donc pas tous des mêmes exigences légales et, par conséquent, des mêmes obligations en matière de conservation. Les factures émises et reçues, les contrats, les feuilles de paie, la documentation technique d un produit et d un service, les notes de services ne sont pas exposés aux mêmes risques et ne répondent pas aux mêmes obligations légales d archivage et de communication. Il serait dommageable de leur appliquer, à tous et sans distinction, les mêmes modalités de gestion et d archivage 5. Parallèlement, les règlements encadrant les activités et les obligations en matière de gestion documentaire varient d un secteur économique à l autre. Il en est ainsi, par exemple, pour la santé, l environnement, le transport, l énergie ou encore la finance. En conséquence, un travail préalable d analyse documentaire est nécessaire. Il conduit à la réalisation d un «Référentiel de conservation». Celui-ci concerne les documents entrants et sortants autant que les documents internes de l organisation. Il distingue ceux qui sont nativement électroniques de ceux qui sont sous forme papier et qui peuvent être conservés sous leur forme physique ou être numérisés. L établissement de ce référentiel est un moment important pour tous les responsables de l organisation. Il nécessite un travail en équipe où se retrouvent, les responsables «métier», les responsables système, les archivistes et les juristes. Pour chaque document, ce travail conduit à poser, pour le moins, les questions suivantes : > Quelle est la finalité de ce document? Exemple : facture, contrat, brevet, etc. > Quelles sont l origine et la destination de ce document : interne (quel service, quel auteur), externe (quelle société, quelle direction)? 5 Voir, dans le domaine de la santé, la loi sur le réseau communautaire d informatique médicale LRCIM, du Canton de Genève. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 > Quel est son support : papier (faut-il le numériser?), électronique (quel format de représentation?) > Dans quel processus s inscrit-il : facturation, ressources humaine, commercial, approvisionnement, etc.? > Quelle est sa portée : stratégique, juridique (obligation légale ou non), technique, etc. > Quels sont les menaces (vol, sinistre, malversation) et les risques associés à ce document? > Quelle est sa durée de conservation? Finalement, la formalisation de ces principales interrogations constituent les éléments d un «Référentiel de conservation 6» ou «Calendrier de conservation» ou encore «Tableau de gestion». Le cas des email Si, à l origine de leur conception, les email étaient assimilables à des enveloppes contenant des documents (pièces jointes), aujourd hui beaucoup cumulent les fonctions de transmission et de message. De fait, certains «email» sont devenus des documents comme, par exemple, des bons de commande, des notes de services, des contrats, etc. Ils sont générateurs d engagements et d obligations entre émetteurs et destinataires. De plus, avec les mécanismes de suivi «Répondre» et «Transférer», ils reflètent une chronologie d échanges d une grande complexité et comportent des contenus souvent peu structurés. Néanmoins, ils doivent être traités comme des documents à part entière et peuvent relever du «Records management» dès lors qu ils traitent d un sujet vital pour l organisation. Ils peuvent constituer de la «correspondance commerciale» soumise à une obligation légale de conservation. La difficulté est bien évidemment de leur associer des métadonnées suffisamment précises pour les retrouver ultérieurement. En ce sens, les utilisateurs doivent être sensibilisés au fait que les «email» sont des documents susceptibles d engager l organisation et que leur cycle de vie est difficilement identifiable et traçable. 6 Le projet de loi sur l archivage LArch du canton Vaudois retient l expression «Calendrier de conservation»

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 démarches et solutions La mise en place d un SAE s appuie sur une démarche de conduite projet construite en plusieurs étapes : 1 définition des objectifs à atteindre sur le plan stratégique. En d autres termes : quels sont les documents vitaux pour l organisation qui relèvent d une politique de «Records management»? 2 analyse de la situation documentaire actuelle : processus en place, systèmes et ressources, 3 établissement d un référentiel de conservation (tableau de gestion), 4 choix d une solution organisationnelle, technique et financière, 5 réalisation et mise en œuvre en interne ou sous-traitance, totale ou partielle, 6 mise en place d un plan de gestion du changement comprenant notamment un plan de formation, 7 bilan et ajustements nécessaires. La quatrième étape de cette démarche conduit à une décision de réalisation : en interne ou avec sous-traitance. Cette décision est prise selon un certain nombre de critères propres à chaque organisation. Ce Livre blanc explore les deux voies possibles. La première à travers les «Solutions techniques» présentées au paragraphe 7.1 et la seconde à travers les «Solutions de services» présentées au paragraphe 7.2. Les solutions techniques La migration des documents papier en documents électroniques a conduit à la conception et à la mise en oeuvre d un certain nombre d outils informatiques permettant d assurer l intégrité, l authenticité, l identification et la conservation des documents. Ces outils sont principalement utilisés pour leur transmission par courriel et pour leur archivage. Dans le premier cas, ils permettent de s assurer qu entre les étapes d émission et de réception

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 les e-mail n ont pas été modifiés. Dans le second cas ils permettent de s assurer qu entre l instant du versement et celui de la consultation, qui peut être une période de cinq, dix ou cinquante ans, le document est bien resté le même. Signature électronique La signature électronique est un dispositif informatique qui répond à deux besoins : assurer l intégrité du document et l authentification de son auteur. Pour assurer l intégrité, la solution consiste à crypter le document par un algorithme. Celui-ci fournit et associe au document une empreinte numérique (ou valeur de hachage) qui est unique. Si, à l occasion d une transmission ou durant son archivage, le document est modifié, son empreinte, recalculée au moment de la réception ou de la consultation, n est plus identique à celle initiale qui avait été calculée au moment de l émission ou du versement dans le SAE. Cette modification de l empreinte signifie que le document a été modifié. L attribution d une signature électronique et l authentification de son utilisateur, sont assurées par une logistique d attribution de certificats, établie dès 2003 en Suisse 7. Néanmoins, constatant que la signature numérique était encore peu utilisée, le Secrétariat d État à l Économie (SECO) a lancé en mai 2010 le programme «SuisseID» dont l objectif était de promouvoir cette technologie auprès des entreprises et des particuliers. Censée faciliter les transactions d'affaire par voie électronique, la signature électronique vise aussi à permettre la commande, par internet, des documents officiels auprès des administrations publiques (notamment le casier judiciaire ou un extrait de l office des poursuites). Développant le principe d une «cyberadministration», ces mesures devraient faciliter les relations entre les entreprises et leur administration. Une signature numérique se présente sous la forme de clé USB, de badge ou encore de service sur un site Web. 7 Loi fédérale sur les Services de Certification dans le domaine de la Signature Electronique, SCSE du 19 décembre 2003. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Horodatage Tracer par horodatage les événements attachés au cycle de vie d un document est un excellent moyen pour reconstituer, en cas de besoins, les opérations dont il a été l objet : création, consultation, modification, versement dans un SAE. Pour assurer une représentation incontestable des dates et des heures, il est nécessaire d installer avec un SAE un logiciel qui fait référence à une base de temps dite universelle. SAE, Système d archivage électronique Un SAE a pour fonctions essentielles d assurer l intégrité, la sécurité et la pérennité des documents qui y sont versés. Ces fonctions doivent être assurées pendant des périodes de conservation qui peuvent s avérer extrêmement longues. C est sur ce point qu un SAE se distingue d un système de GED (Gestion électronique de documents). Ce dernier est un outil informatique destiné au partage et à l échange des documents. N en assurant ni l intégrité, ni la sécurité, ni la pérennité, il ne garantit pas la valeur légale du document. Le SAE est une des composantes du Système d information de l organisation. Il doit être interopérable avec les différents sous-systèmes du Système informatique comme ceux d ERP 8 et de bureautique. Il est le garant de l archivage et doit pour cela présenter un certain nombre de fonctions, dont : > une fonction de prise en compte des versements des documents dans le SAE qui prend appui sur un référentiel d archivage. Cette fonction assure l éligibilité des documents à être versés dans le SAE (à savoir les métadonnées sont renseignées, le format est autorisé, etc.), > une fonction de génération et de contrôle des métadonnées. Un document électronique ne peut pas être versé dans un SAE sans que des métadonnées lui soient attachées, > Une fonction de contrôle du format de représentation du document. Un SAE ne peut prendre en compte que des formats dits finaux ou non révisables et forcément normalisés. En ce sens, une liste de ces formats 8 ERP, Entreprise Resources Planning

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 acceptables par le SAE doit être établie préalablement. PDF/A, par exemple fait partie de ces formats. > une fonction de génération des journaux destinée à tracer tous les événements affectant chaque document, > un ensemble de fonctions de gestion et de suivi des personnes habilitées à consulter, à utiliser et à maintenir le SAE, > un ensemble de fonctions permettant l audit du SAE, > une fonction d élimination des documents. Il ne s agit pas d une fonction automatique. Elle établit des listes de documents à éliminer qu un opérateur vérifie, au cas pas cas, avant de procéder à l élimination réelle. Un journal qui ne peut pas être détruit trace ces événements. Numérisation La numérisation est le résultat d un processus de transformation d un document papier en fichier électronique au moyen d un scanner. Ce processus met en œuvre des équipements informatiques et, éventuellement, des logiciels de RAD 9 et LAD 10 et des opérateurs. Susceptible de faire l objet d erreurs ou de malversations, ce processus doit être encadré. La numérisation réalise la copie électronique d un document papier sous la forme d une image. Elle doit être gérée en référence aux normes techniques ISO 15 489 et connexes présentées précédemment. C est une fonction qui peut être interopérable avec le SAE pour assurer directement le versement de documents faisant partie du référentiel d archivage. Enfin, à l issue du processus de numérisation, l organisation devra décider de la destruction ou non du document papier qui est par nature le document original. 9 RAD, Reconnaissance Automatique de Document. Un logiciel de RAD permet d identifier un document, par exemple de décider qu il s agit d une facture, d un bordereau, d une carte d identité, etc. 10 LAD, Lecture Automatique de Document. Un logiciel de LAD permet d extraire des informations d un document, par exemple pour générer automatiquement des métadonnées ou pour les injecter dans un ERP ou une base de données. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Métadonnées Littéralement, les métadonnées sont des données sur une donnée. Elles constituent un ensemble d informations qui permettent, à minima, de décrire un document, son contenu, son accessibilité (degré de confidentialité) et de le nommer. Elles permettent aussi de décrire, à priori comme à posteriori, les usages du document, les droits qui y sont attachés ainsi que les modalités de sa conservation et de sa destruction. Les métadonnées sont donc un ensemble d informations dont il faut convenir avant la réalisation d un SAE. La norme ISO 23 081 fait référence en la matière. Les solutions proposées Les techniques informatiques jouent un rôle important en matière d archivage électronique. Néanmoins, la mise en place d un SAE, son exploitation, sa maintenance et son évolutivité reposent largement sur des principes juridiques et des modalités organisationnelles. Dans ce contexte d expertise multiple, toute organisation a le choix entre une solution interne et une solution externalisée. La solution interne est celle de l intégration de système. Elle nécessite le choix de logiciels et le pilotage d une démarche de projet classique associant des informaticiens, des juristes, des archivistes et des décideurs «métier», ce qui sous-entend également une démarche qualité afin d'intégrer le systéme d'archivage dans un cadre normatif certifiable pour s'assurer que les documents électroniques soit acceptés juridiquement en cas de nécéssité. La solution externalisée est celle du choix d un prestataire de services en tiers-archivage. Dans ce cas, il s agit de retenir un partenaire dont l activité principale est l archivage, dans le cadre d un contrat de service.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Les mesures à prendre Avant de confier l'archivage de ses documents à un tiers archiveur, il convient de vérifier : > que, en qualité de prestataire stratégique des activités de l organisation, le tiers archiveur est capable de respecter les enga gements auxquels il est tenu et que les services qu il propose sont compatibles avec le niveau d exigence exprimé, > que les règles de sécurité et de confidentialité sont clairement décrites. Il faut notamment que les échanges entre l organisation et le tiers archiveur comportent des moyens de sécurité suffisants (authentification forte, chiffrement, contrôle d'intégrité), > que le système proposé, outre le fait d'être conforme aux normes existantes, puisse : assurer l'identification unique et fiable de ses clients, garantir la confidentialité des données et métadonnées déposées, fournir des attestations de dépôt pour chaque opération, effectuer les destructions de documents sur notification des personnes habilitées et, après exécution, fournir les attestations correspondantes, fournir un journal de cycle de vie des archives pour chaque client, proposer un système ouvert et interopérable afin de permettre au client de pouvoir changer de prestataire ou réintégrer le sytème et les données en interne. Ce point essentiel et les modalités de réversibilité doivent être clairement explicités dans le contrat de services. Quel que soit le choix effectué, le plus important est de s assurer de la conformité du SAE aux besoins fonctionnels exprimés. En effet, la conformité du système d archivage ne repose pas seulement sur le système informatique utilisé. La solution englobe un ensemble de services et de processus qui seront explicités dans la DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 politique d'archivage qui devra définir précisémment les exigences en termes juridiques, fonctionnels, opérationnels, techniques et de sécurité, que le service d'archivage doit respecter afin que le SAE et les processus mis en place puissent être considérés comme fiables. Si le tiers archivage apporte de nombreux avantages, il ne peut pas être considéré comme une assurance tout risque. Il ne peut en aucun cas être tenu responsable du contenu des éléments électroniques à archiver transmis par le donneur d ordre. L objectif essentiel, de toutes ces mesures est d apporter devant le juge (ou tout autre organisme de contrôles) la preuve de la fiabilité du procédé mise en œuvre pour le service d archivage ainsi que les modalités de contractualisation. Les avantages du tiers archivage Le plus évident est purement financier et découle de la mutualisation des infrastructures du tiers archiveur. Les autres avantages principaux de l externalisation de l archivage sont : > L indépendance du système de preuve : il évite d être juge et partie lorsqu il s agit de prouver sa bonne foi sur l intégrité des documents, > L accès facilité à l information sans mobiliser des ressources informatiques internes souvent surchargées, > Une mise en œuvre rapide du système d archivage sans investissement préalable majeur, > Un accompagnement basé sur le devoir de conseil du prestataire, notamment en matière de politique d archivage, > Une garantie de service 24h/24h, Enfin, le tiers archivage est une solution souple qui évite des investissements initiaux élevés tout en permettant un développement progressif de l archivage sous forme électronique. Outre les aspects financiers, c est aussi une solution qui offre un accompagnement technique et juridique dans un cadre de conseil. L externalisation doit être contractualisée dans un cadre de confiance permettant de définir clairement les limites de responsabilité de chacun.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 retour d expériences Cas pratique détaillé 1 Contexte Une PME de 160 salariés spécialisée dans la distribution de pièce pour l industrie souhaite optimiser son processus de facturation clients et réduire ses coûts. Elle traite environ 1500 factures clients par mois (Saisie des données, contrôles, impression en double exemplaire, mise sous pli, expédition et classement interne). Les doubles des factures de l année en cours sont conservés en interne et une fois par an un versement des archives est réalisé dans les locaux haute sécurité d Everial. Besoins > Simplifier la gestion de la facturation > Réduire les coûts liés à la facturation > Simplifier les recherches de documents et permettre un accès multi utilisateur interne et externe (Fiduciaire) Solution proposée Installation d une imprimante virtuelle et d'un connecteur d'archivage intégré à l outil de facturation. Ce système simple de mise en œuvre et totalement intégré au système de facturation en place permet : > La capture des factures au format standard PDF/A au moment de leur impression ainsi que l extraction des données essentielles : numéro de facture, code client facturé, date de la facture, montant TTC. > La signature et l horodatage des documents par certificat normalisé SwissID. > Le versement des lots d'archivage quotidien et leur transfert crypté dans le Système d Archivage Électronique (SAE) d Everial.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 > L intégration d une copie pour consultation directement dans le système de facturation OU dans Oxiged faisant office de portail sécurisé de gestion électronique de documents permettant les accès externes par exemple pour votre fiduciaire. Le traitement des factures reste inchangé pour les collaborateurs. Les tâches se déroulent en arrière-plan. Au lancement de l impression de l exemplaire original papier à envoyer au client, son double électronique certifié se créé automatiquement et est ensuite versé dans le SAE. Ce dispositif respecte les obligations légales OLICO (Art. 2). Lors de la réception dans le SAE, chaque facture fait l objet d un calcul d empreinte ajoutée aux métadonnées pour assurer l intégrité du document. Les factures seront ensuite conservées pendant 10 ans après clôture de l exercice conformément aux règles en vigueur et restent facilement disponibles en cas de besoins. Cas pratique détaillé 2 Contexte Un organisme de crédit spécialisé dans le financement aux particuliers souhaite dématérialiser le dossier client pour simplifier la gestion administrative, optimiser les tâches d archivage et de recherche et réduire ses coûts de traitement. Besoins > Numériser à l entrée le courrier entrant > Conserver le dossier client au format électronique > S assurer de la valeur légal du dossier électronique > Simplifier les recherches de documents et permettre un accès multi utilisateur au dossier client. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Solution proposée Mise en place d une chaîne de traitement permettant : > La numérisation certifiée de documents dès leur entrée au format standard PDF/A ainsi que l extraction des données d indexation : N de client, de dossier, date, typologie du document. > La signature et l horodatage des documents par certificat normalisé SwissID. > Le versement des documents numérisé directement dans le système de GED et en parallèle leur transfert crypté dans le Système d Archivage Electronique (SAE) d Everial. > La mise en place d un connecteur permettant d accéder aux documents directement depuis le logiciel métier. Chaque pièce du dossier est désormais dématérialisée et identifiée et devient accessible de manière très souple à l ensemble des collaborateurs habilités. La numérisation a permis un gain de place important et de simplifier les recherche. En outre une réduction de plus de 50% du temps de traitement des dossiers a été enregistrée. Cas pratique divers > Archivage électronique à valeur probatoire des relevés bancaires, ordres d exécution, contrôles et signatures pour un établissement bancaire. > Dématérialisation et archivage des relevés de prestations pour une mutuelle. > Archivage électronique des bulletins de salaires émis pour un groupe industriel dans le secteur alimentaire. > Archivage électronique très long terme au format STEP (Formet 3D) pour la conservation des dossiers techniques de fabrication de pièces pour l aéronautique (Application de la norme LOTAR EN9300)

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 questions fréquentes Quels sont les documents à archiver parmi tous ceux reçus et produits par l organisation? > les documents légaux et réglementaires, > les documents vitaux et indispensables à l organisation pour redémarrer son activité au lendemain d un sinistre, > les documents qui préservent les intérêts de l organisation en cas de contentieux, > les documents qui constituent la mémoire de l organisation. Qu elle est la durée de conservation des livres et pièces comptables? > les livres, les pièces comptables et la correspondance doivent être conservés pendant dix ans, > le délai commence à courir à partir de la fin de l exercice annuel au cours duquel les dernières inscriptions ont été faites, les pièces comptables établies et la correspondance reçue ou expédiée. Faut-il conserver les email? > il faut conserver tous les documents entrants et sortants ainsi que les documents internes dès lors qu ils engagent l organisation, lui confèrent des droits et ont une influence sur le bilan. Quels sont les accès possibles aux archives électroniques? > il est possible d avoir accès à tout ou partie des documents versés dans un SAE. Les modalités d accès sont établies en fonction des profils des utilisateurs, par exemple des domaines métier et des niveaux de responsabilité. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Un document numérisé a-t-il la même valeur probante que son original papier? > OUI, le Conseil Fédéral a clairement défini les modalités à partir du moment où le processus de numérisation respecte les règles en la matière. (Se référer au paragraphe «Documents électroniques comme moyens de preuve» page 16). Qu'est ce qui garantit la confidentialité des données déposées? > L'accès aux données versées au coffre s'effectue par authentification forte (Certificat électronique) donc seules les personnes habilitées peuvent réalisées des actions en fonction de leur profil (Dépôt, consultation ). Par ailleurs le file system, les sauvegardes, les données sont systématiquement chiffrés de façon à ne pouvoir être déchiffrés que par l'utilisateur disposant de la clé de déchiffrage. Comment est assurée la pérennité des documents? > Les documents et leurs preuves sont archivés dans un objet XML scellé par mécanisme cryptographique. Ne sont utilisés pour ce faire que des protocoles et normes standards internationaux. En parallèle, plusieurs formats pérennes (Normé ISO) sont aujourd hui disponible (ex pdf/a)) Comment est gérée l'intégrité des documents lors d'une migration ou d'un changement de prestataire? > Quelle que soit la solution retenue, le client doit s assurer que son système d archivage électronique ou son prestataire tiers archiveur dispose d une fonction d'export conforme aux recommandation des normes en vigueurs garantissant l'interopérabilité, la réversibilité et la chaîne de confiance.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Enjeux et bénéfices attendus Les informations et les documents sont des actifs de l organisation et font partie de son capital intellectuel. Ils doivent donc être gérés et en particulier archivés de sorte qu ils soient le reflet précis de ce qui a été dit ou décidé, de l action qui a été effectuée. Pour atteindre cet objectif, l enjeu pour toute organisation est de mettre en place un programme de «Records management» conforme à l environnement réglementaires suisse et basé sur des modalités de management faisant référence aux normes internationales ISO. Dans ce contexte, répondant à des exigences légales, l organisation peut faire état de sa bonne gouvernance. Elle gagne en crédit auprès de ses clients, disposant ainsi d un avantage concurrentiel supplémentaire. Elle accroît aussi sa productivité à travers un processus basé sur une amélioration continue des performances. Parallèlement, elle engage ses personnels dans un programme de gestion du changement où la formation joue un rôle de catalyseur pour la mise en oeuvre des meilleures pratiques. En ce qui concerne la réalisation d un SAE, les organisations ont accès aujourd hui, sur le marché, à des solutions techniques robustes et éprouvées. Elles disposent également de prestataires de services compétents qui savent mutualiser des plates-formes techniques et accompagner leurs clients dans une démarche d analyse et d aide à la décision. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Bibliographie iso/dis 30300 information et documentation : Système de management des informations et des documents - Principes essentiels et vocabulaire. iso 15489 information et documentation : «records management» - Partie 1 : Principes directeurs. Livre blanc «Le devoir de conseil des professionnels du numérique», Aproged 6 mars 2009, www.aproged.com moreq, modèle d'exigences pour l'organisation de l'archivage électronique, http://ec.europa.eu/transparency/archival_policy/moreq iso 23081 information et documentation : «métadonnées pour les enregistrements» iso Tr 13028 information et documentation : «mise en œuvre des lignes directrices pour la numérisation des informations et des documents» iso 13008 information et documentation : «Processus de conversion et de migration des information et des documents numériques»

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 Les contributeurs Éric Larderet directeur d Everial en Suisse, prestataire spécialisé dans la gestion et la conservation des données. Administrateur de l Aproged, Association des professionnels pour l économie numérique, éric Larderet est membre du groupe de travail TC171 de l iso (document management applications). il intervient depuis plus de 10 ans dans la définition et la mise en œuvre de solutions d optimisation de la fonction documentaire auprès d organisations publiques et privées. Stephan Kronbichler, lic. iur., M.B.L.-HSG un des associés fondateurs de l étude Kronbichler & Tourette à Genève. Entre 2001 et 2005, il était responsable du service juridique d un des plus grands prestataires de services dans le domaine de l informatique en Suisse. Au bénéfice d une large expérience du droit de l informatique et des télécommunications, il conseille ses clients notamment dans la conception et la négociation de contrats informatiques pour des projets d externalisation complexes (it-outsourcing). Gérard Dupoirier docteur en informatique. il s est investi depuis plus de vingt ans dans le domaine de l ingénierie documentaire. il est l auteur de «Technologie de la GEd», un des premiers ouvrages publié en 1995 sur la gestion électronique des documents. il est rédacteur en chef de la rubrique «document numérique» de l Encyclopédie des Techniques de l ingénieur. Gérard dupoirier a dirigé de nombreux projets de gestion documentaire dans les secteurs de l automobile, de l énergie, de la banque et de l assurance. il a créé en 2007 son propre cabinet de conseil «document numérique & Processus» qui délivre des prestations de conseil, de formation et d expertise. J.-D. Zeller de 1983 à 1988, dirige le Service Courrier et Archives du département de justice et police du canton de Genève. depuis 1989, occupe le poste d archiviste principal des Hôpitaux universitaires de Genève. Parallèlement, il enseigne depuis 1995 en tant que professeur vacataire à la Haute école de gestion de Genève (département information documentaire), les modules «Archivage des documents électroniques» et «Gestion de projet GEd». Titulaire d un certificat de formation continue de l université de Berne (2004) en archivistique et sciences de l information. membre du groupe de travail «records management et archives électronique» de l Association suisse des archivistes depuis 1998. DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 Notes Le présent document et son contenu relèvent de la législation suisse et internationale sur les droits d auteur et la propriété intellectuelle. Toute utilisation ou reproduction, totale ou partielle, des éléments qui le composent et/ou des informations qui y figurent, par quelque procédé que ce soit, constitue une contrefaçon sanctionnée par le Code de la propriété intellectuelle. EVEriAL SA, 2011 tous droits réservés

DÉMATÉRIALISATION ET ARCHIVAGE des documents électroniques dans LE ConTExTE juridique SuiSSE

Pour tout renseignement : Everial SA Avenue de Sévelin 46 CH-1004 Lausanne Tél : +41 21 624 06 40 Fax : +41 21 624 06 46 contact@everial.ch Contact direct Eric Larderet : e.larderet@everial.ch