l’archivage electronique a l’usage du … · jean-marc rietsch pilote de l’ouvrage, jm...
TRANSCRIPT
1
L’ARCHIVAGE ELECTRONIQUEA L’USAGE DU DIRIGEANT
Marie-Anne CHABIN,Eric CAPRIOLI,Jean-Marc RIETSCH
Jean-Marc Rietsch
Pilote de l’ouvrage, JM Rietsch est expert des métiers de la confiance et plusparticulièrement de l’archivage électronique. Ingénieur Civil des Mines, JM Rietscha débuté sa carrière professionnelle par le développement logiciel et l'offre de ser-vices pour les PME-PMI. En 1993, il oriente sa carrière vers la sécurité et plus par-ticulièrement la sauvegarde des données informatiques et dépose un brevet sur lesujet. En 2001, JM Rietsch participe au lancement du premier tiers archiveur enFrance. JM Rietsch est Président de FedISA (Fédération de l’ILM du Stockage et del’Archivage), créée en 2005 afin de pouvoir répondre aux attentes des utilisateursdans le domaine.
Marie-Anne Chabin
Archiviste de formation, diplômée de l’Ecole nationale des Chartes, MA Chabina exercé aussi bien dans le public que dans le privé, où elle a acquis une solideexpérience de la gestion de l'information papier, électronique ou audiovisuelle.E l le a fondé en 2000 et préside le cabinet d'expertise Arc h i ve 17(www.archive17.fr), spécialisé dans les stratégies d'archivage électronique et dansle Records management. MA Chabin est l'auteur de nombreux articles sur l'archi-vage et de plusieurs ouvrages dont Le management de l'archive (Hermès, 2000).Elle a coordonné en 2004 le numéro spécial de la revue Document numérique sur« Archivage et pérennisation».
Eric Caprioli
Avocat à la Cour de Paris, Docteur en droit, spécialiste en droit de la propriétéintellectuelle et des NTIC, Vice-président de la Fédération Nationale des Tiers deConfiance (FNTC), Expert aux Nations Unies sur les questions de droit du com-merce électronique depuis plus de 12 ans, Membre du Comité directeur de la cer-tification près le SGDN depuis 2003 (arrêté du 28 janvier 2003, publié au JO),Président de l’association nationale des professionnels de la propriété incorporelle(ANPPI). Auteur de nombreux articles sur la dématérialisation, la signature, lapreuve et l'archivage électronique, conférences et ouvrages sur le droit de l'écono-mie numérique, dont celui sur la Loi pour la Confiance dans l'économie numérique( LCEN), éditions LG DJ publié en 2005. Voir le site du cabinet: www. ca p r i o l i - a vo ca t s . co m .Fondateur du cabinet d'avocats Caprioli &Associés, Paris et Nice.
Remerciements
Avant d’entamer notre développement, je tenais à adresser tous nos remercie-ments à ceux qui nous ont soutenu et encouragé dans notre démarche. Afin den’oublier personne le mieux est sans doute de ne pas les citer sachant qu’ils sontnombreux à nous avoir fourni tout ou partie des informations collectées et à nousavoir poussé pour notre travail. Néanmoins je tenais tout particulièrement àremercier deux personnes :
- Michel Grosbost, responsable de Terastar et de son pôle évènement ITI FO R U M S,par qui tout a co m m e n cé, une pre m i è re co n f é re n ce « ILM et Arc h i vage Ele c t ronique »couronné de succès avec plus de 500 participants, la naissance d’une Fédération« FedISA (Fédération de lILM du Stockage et de l’Archivage) et maintenant ceto u v rage. D’autres manife stations sont d’ores et déjà pro g rammées par ITI FORUMS :Business Continuity, une nouvelle édition de ILM et Archivage Electronique, etc…
- Jean-François Pépin, délégué général du CIGREF qui a su nous faire confiance etsurtout,de par son expérience, a pris régulièrement sur son temps pourtant bienoccupé afin de nous prodiguer de précieux conseils nous ayant finalement permisd’aboutir.
Le code de la propriété intellectuelle du 1erjuillet 1992 interdit expressément la photocopieà usage collectif sans autorisation des ayantsd roit. Or, ce t te pratique s'est généra l i s é enotamment dans l'enseignement, provoquantune baisse brutale des achats de livres, aupoint que la possibilité même pour les auteursde créer des oeuvres nouvelles et de les faireéditer correctement est aujourd'hui menacée.En application de la loi du 11 mars 1957, il estinterdit de reproduire intégralement ou partiel-lement le présent ouvrage, sur quelque sup-port que ce soit, sans autorisation du CentreFrançais d'Exploitation du Droit de copie, 20,rue des Grands-Augustin 75006 PARIS.
Toute représentation ou reproduction intégraleou partielle faite sans le consentement desauteurs ou de leurs ayants droit ou ayantscause est illicite selon le Code de la propriétéintellectuelle (Art L 122-4) et constitue unecontrefaçon réprimée par le Code pénal. Seulessont autorisées (Art L 122-5) les copies oureproductions strictement réservées à l'usageprivé du copiste et non destinées à une utilisa-tion collective, ainsi que les analyses et courtescitations justifiées par le caractère critique,pédagogique ou d'information de l'oeuvre àlaquelle elles sont incorporées, sous réserve,toutefois, du respect des dispositions des arti-cles L 122-10 à L 122-12 du même Code, relati-ves à la reproduction par reprographie.
3
Le thème de l’ a rc h i vage éle c t ronique devient de plus en plus un sujet d’actualitépour bon nombre d’organisations tant publiques que privées. Ceci s’ explique ce r te spar une augmentation extrêmement forte du volume de données électroniquesgérées au quotidien mais aussi par une évolution des technologies et surtout desp ro ce ss d’entreprise vo i re des obligations nées à la suite de différents évé n e m e n t s .Les plus récentes évolutions en la matière sont sans doute celles relatives auxré g le m e n tations financières qui imposent désormais la co n s e r vation d’info r m a t i o n sjusque là négligées.
La problématique de l’archivage électronique ne se limite pas à une simpledématérialisation des techniques d’archivage traditionnelles. Outre l’influence desnouvelles obligations, ce nouveau type d’archivage doit être considéré très enamont dans la chaîne de valeur de l’information, d’où la volonté de prendre encompte l’ensemble du cycle de vie de la donnée. En effet, la loi française est trèsc l a i re sur le sujet, pour que des données éle c t roniques puissent avoir une quelco n q u evaleur juridique, il faut entre autre apporter la preuve de leur intégrité tout au longde leur parcours, de la création à l’archivage.
Compte tenu de l’évolution rapide des nouvelles technologies, il est souventdifficile d’opérer un choix qui engage l’entreprise sur plusieurs années.
Dès lors, pourquoi ne pas profiter de ces évolutions pour donner une nouvellevaleur à la donnée archivée, entre autre en matière d’accessibilité ? En effet, dèsque l’information existe sous forme électronique et que son intégrité est garantie,les seules modifications qu’elle puisse subir sont celles relatives à un changementde support, voire un système d’accès plus sophistiqué en matière d’indexation. Dèslors l’information, même archivée, peut rester accessible extrêmement facilementet renforcer d’autant le système d’information de l’entreprise et par là même sacompétitivité en permettant de disposer de la bonne information au bon moment.
En matière d’archivage, les exigences sont les suivantes : - assurer la traçabilité, l’intégrité, la sécurité et la pérennité des données;- répondre aux exigences légales de conservation et de communication;- relever le défi de l’obsolescence technologique récurrente;- faciliter l’accès à l’information.
Au-delà de la simple technique il est indispensable de considérer d’autresaspects co m p l é m e n ta i res de types juridiques, organisationnel vo i re de normalisation.Sans être compliqué cet environnement devient vite complexe.
Au re g a rd de l’ évolution des usages, des co n t ra i n tes associées et des te c h n i q u e s ,il existe aujourd’hui une urgente nécessité d’informer l’ensemble des partiesprenantes intéressées aux questions de gestion et de conservation de l’informationélectronique.
De cette conviction est née FEDISA, Fédération de l’ILM, du Stockage et del’Archivage afin de véritablement répondre aux besoins identifiés et qui s’est fixéepour principales missions de :
- sensibiliser les responsables concernés aux nouvelles technologies et auxobligations afférentes (obligation d’archivage, de continuité d’activité, detraçabilité, …) ;
- i n former les utilisate u rs sur les nouve l les te c h n o logies en effe c t u a n tune véritable veille tant technologique que juridique, normative ou encoreorganisationnelle et ce à un niveau national et international ;
- donner au responsable de tels projets les éléments permettant de pleinementles justifier par rapports aux risques encourus (légaux et financiers) et autresavantages compétitifs comme une meilleure réactivité ;
- former aux nouveaux métiers de l’entreprise comme le « records manager »,le « business continuity officer », etc… ;
- définir des « certifications et des référencements », nouveaux process, nou-velles technologies ;
- entretenir des liens avec les organismes oeuvrant dans ces environnementsde la sécurisation et de la valorisation de l’information en générale.
Pourquoi un partenariat CIGREF - FEDISA ?
Compte tenu de sa mission « promouvoir l’usage des systèmes d'informationcomme facteur de création de valeur et source d’innovation pour l'entreprise »,le CIGREF, association re g roupant 120 Grandes Entreprises fra n çaises, est parte n a i rede cette publication.
Le présent ouvrage s’adresse essentiellement aux dirigeants afin de leurpermettre de pouvoir rapidement se faire une opinion de ce qu’il est réellementnécessaire de connaître pour aborder de telles problématiques. Ainsi ce documentest destiné avant tout à mieux cerner le périmètre de l’archivage électronique touten éliminant les idées fausses qui ne manquent pas dans un tel contexte.
Au-delà de la sensibilisation il s’agit également de souligner le rôle essentielque peut et doit tenir le DSI compte tenu de sa position et de ses responsabilitésvis-à-vis de l’ i n formation en général et de l’ a rc h i vage en particulier. Comme évoqué ci-dessus la pluralité des métiers co n cernés est une des co n sta n te sde cette nouvelle problématique et qui, mieux que le DSI, peut permettre d’établirun dialogue entre les différentes fonctions concernées au sein de l’entreprise sansoublier les autres parties prenantes intéressées :
- l’utilisateur qui connaît son secteur d’activité ;- le responsable informatique qui appréhende cette nouvelle donne technique ;- l’industriel qui développe des solutions en ce sens ;- l’archiviste dont c’est le cœur de métier ;- l’ expert technique en arc h i vage qui tient le rô le d’acco m p a g n a teur de ces projets ;- le juriste qui met en lumière les risques juridiques et les encadre ;- les institutionnels qui identifient des besoins et définissent des normes communes ;- le tiers archiveur qui se charge de l’hébergement mais aussi de l’organisation
de cet archivage.
Fa i re en sorte que to u tes ces co m p é te n ces puissent tra va i l ler effica ce m e n tensemble, telle est l’ambition du présent ouvrage.
Jean-Pierre CORNIOU Jean-Marc RIETSCHPrésident du CIGREF Président de FEDISA
5
Autrefois simple concept la dématé-rialisation touche aujourd’hui pratique-ment tous les domaines. L’Etat est par-ticulièrement moteur sur ce sujet enproposant au travers de ses différentsservices et entités représentatives plu-sieurs dizaines de téléprocédures dontles plus connues sont historiquementtéléTV@ et téléIR. Depuis janvier 2005de nombreux appels d’offres publicspeuvent se faire de façon dématériali-sée. En ce qui concerne plus particuliè-rement l’entreprise, la dématérialisa-tion des factures est maintenant uneréalité bien que ré s e r vée, au moinsdans un premier temps, aux grandesentreprises compte tenu des volumesnécessaires pour obtenir un bon taux deretour sur investissement. Ce phéno-mène s’ é tend même jusqu’au nive a udes particuliers ou l’on voit arriver lacarte d’identité électronique ou encorela carte de vie citoyenne. Tout cela estrendu possible grâce à l’usage de las i g n a t u re éle c t ronique qui après und é m a r rage pour le moins chaotiques e m b le enfin avoir tro u vé sa vo i e ,entraînant dans son sillage l’horoda-tage encore en cours de maturation ets u r tout l’ a rc h i vage éle c t ronique. Cesont en effet des volumes colossauxd’informations dématérialisées qu’il vafalloir maintenant conserver en toutesécurité pendant plusieurs dizainesd’années, voire davantage. Pour preuvela loi sur le dossier médical du patientet plus récemment encore la reconnais-sance de l’acte authentique électroni-que qui nécessite une conservation à viedes documents ainsi traités ! Notonsenfin que tous ces services et leurs évo-lutions sont à prendre en considérationà un niveau non pas seulement nationalmais bien mondial.
Ajoutons à cela que la notion mêmed’archivage a changé dans la mesure oùil faut totalement balayer cette visionancienne, pourtant bien ancrée dans lesesprits, de l’archive conservée dans desca r tons pouss i é reux. Du fait de ladématérialisation, l’ i n formation re stefacilement accessible et doit le restertout au long de son cycle de vie, de sacréation à son archivage historique ou àsa destruction. Cela veut dire quemême rendue au statut d’arc h i ve ladonnée doit être récupérable facilementet effica cement, vo i re disponible en ligne.
Par ailleurs l’archivage est à prendreen compte dès la création de la donnéece qui provoque certains bouleverse-ments dans les anciennes habitudescomme il est facile de l’imaginer.
Fut un temps l’on pouvait facilementdéfinir la notion de données vivantes oumortes en résumant cela au type d’ac-cès. Une donnée était réputée vivante siaccessible en ligne et encore modifiablealors qu’à l’inverse elle était dite mortesi figée et archivée. Cette époque est entrain de disparaître et encore une foisl’archivage prend une orientation tout àfait nouve l le dans la mesure où ild evient partie intégra n te et surto u tactive du cycle de vie de la donnée. Laparticularité de la donnée archivée estde ne plus être modifiable tout endemeurant accessible tant qu’elle pré-sente une utilité. C’est le cas par exem-ple d’un mail qui, autrefois, aurait étéconsidéré comme une donnée morte.
Face à cette profonde mutation lechef d’entreprise se trouve fort démuni,ne sachant pas par quel bout prendre leproblème, d’où la tentation fort com-préhensible d’attendre ! Pourtant lesenjeux sont de taille qu’ils soient, juridi-ques, réglementaires, organisationnels,sécuritaires, géopolitiques, …
L’objectif du présent ouvrage estainsi d’aider le dirigeant face à ce pro-blème posé par la dématérialisation àoutrance de la nécessité d’archiver desmasses de plus en plus importantesd’informations qu’il va falloir égalementêtre capable de retrouver rapidement.S u r tout nous ess a ye rons de montre rcomment transformer ce qui apparaît apriori comme une contrainte en quelquechose de constructif permettant entreautre une plus grande fluidité et unemeilleure accessibilité à l‘informationet ce quelque soit son état.
A p rès avoir défini les quelquesenjeux qui nous apparaissent commeessentiels, nous fournirons sous formede fiches les thèmes principaux àconnaître permettant de se poser lesbonnes questions en matière d’archi-vage éle c t ronique et surtout d’êtrecapable d’y trouver une réponse ou toutau moins un début de réponse.
Au niveau de l’entreprise, les enjeuxinduits par l’archivage électronique sontmultiples comme nous allons l’aborderci-après.
Tout d’abord il s’agit d’un enjeust ra t é g i q u e pour décider quelles donnéesco n s e r ver en dehors des aspects pure m e n to b l i g a to i res. En effet, selon son domained’activité il est plus ou moins intére ss a n tde conserver ses différents procédés,savoir-faire ou autres afin de pouvoirles réutiliser ultérieurement ou tout sim-p lement d’en garder une tra ce histo r i q u eau sens du patrimoine intellectuel del’entreprise.
A côté de cet aspect existe bien évi-demment son pendant obligatoire oùl’enjeu est soit légal, destiné au respectdes lois en vigueur, soit réglementaireafin de se conformer à des exigencest rès génériques ou plus spécifiquespour telle ou telle branche d’activité.Quoiqu’il en soit sur ce point il s’agitavant tout de bien connaître ses obliga-tions et l’étendue des sanctions en casde non respect de ces obligations.
A partir du moment où la décision demettre en place un système d’archivagea été prise d’autres enjeux inte r v i e n n e n tdont le premier est d’ordre purementorganisationnel dans la mesure où ilfaudra autant que faire se peut optimi-ser la structuration des données afind’en faciliter la gestion et de maîtriserla redondance de l’information, détruireles données inutiles ou périmées quialourdissent le système, faciliter l’accèsà l’information tout en respectant desdroits d’accès établis de façon stricte.
Par rapport à ce dernier point l’enjeuest également sécuritaire et oblige àavoir une cohérence indéniable entreles différentes démarches associées ausein de l’entreprise. En effet pourquoifermer la porte de son usine si l’on nebloque pas les accès à l’information,ce r tes immatérielle, avec la même lo g i q u e .
Intervient ensuite bien évidemmentun enjeu d’ord re te c h n o logique. Laquestion à laquelle il va falloir répondreconsiste à trouver quelle technologieadapter dans un monde en pleine évolu-tion et quelle solution retenir, capable
de protéger l’ e n t reprise co n t re ce t teobsolescence des technologies tout enlui offrant une garantie de disponibilitédes données sur le moyen, long terme.Enfin toujours sous l’aspect technique,le système dev ra être ca p a b le d’absorberune augmentation nature l le des vo l u m e sde données à archiver.
L’enjeu j u r i d i q u e co n cerne ess e n t i e l-le m e n t les données conservées à desfins légales et se situe entre org a n i s a t i o net technique. Il est important de vérifierqu’au besoin, en cas de contentieux parexemple, le système permettra d’unepart de retrouver les pièces requisesdans les délais impartis et de plus queces dernières pourront être effe c t i ve m e n tretenues comme éléments de preuve.Un autre aspect de cet enjeu consiste àre s p e c ter les lois en vigueur par ra p p o r tà la conservation de types particuliersde données comme les données pers o n-n e l le s .
Nous pouvons citer également unenjeu géopolitique qui réside dans lacapacité pour l’entreprise à conserverson information dans différents lieuxpour peu qu’elle puisse y accéder enligne.
Enfin l’enjeu est éminemment f i n a n c i e ret ceci à double titre : le premier aure g a rd des inve st i ssements dire c te m e n tliés à la mise en place du système d’arc h i-va g e et à son exploitation, le second faceau risque encouru si l’ e n t reprise setrouve dans l’impossibilité de retrouveret de fournir l’information requise.
Après avoir succinctement listé l’en-semble des enjeux qui nous paraissentessentiels, nous allons pouvoir aborderplus en détail la façon de les traiterefficacement.
7
Chacune des fiches qui suivent a étéconçue de fa çon à pouvoir être lue indé-pendamment des autres. Ce choix a étédicté par un souci d’efficacité destiné àp e r m e t t re de tro u ver rapidement les pre-m i e rs éléments de réponse aux pro b l è m e sque l’on se pose. A co n t rario, ceci provo q u ei m m a n q u a b lement ce r taines ré p é t i t i o n sou renvois le cas échéant à d’autresfiches complémentaires.
Nous avons également pré f é ré mettredirectement à l’intérieur du texte lesré f é re n ces utiles afin de fa i re gagner dutemps au le c teur qui désire rait appro fo n d i rtel ou tel aspect.
Chacune des fiches est organisée de lamême manière en trois parties. La pre-m i è re, le co n tex te est plus particulière m e n tdestinée à bien positionner le problèmeposé, la deuxième partie précise le senjeux co n cernés tandis que la tro i s i è m eénonce les recommandations qui noussemblent fondamentales.
Le détail des fiches est le suivant :
Phase N° Fiche Thème
1 Besoins d'archivage
2 Contraintes légales (droit public)
3 Contraintes légales (droit privé)
4 Contraintes spécifiques
5 Contraintes techniques
6 Risques et assurances
7 Stratégie
8 Les technologies actuelles
9 Les logiciels
10 Les outils méthodologiques
11 Le tiers archiveur
12 Les coûts
Contexte
L’on pourrait dire de l’archivage qu’ilcorrespond à l’organisation raisonnéed’une co n s e r vation sécurisée de l’ i n fo r-mation créée aujourd’hui afin de pouvo i rla réutiliser demain ou après-demain.De plus en plus ce besoin d’archivagee st re ssenti comme une néce ssité pourles entreprises et devient une obligation.
L’ a rc h i vage répond en fait à trois besoinsd i stincts :
1. le premier, qui est le plus impor-tant, est le besoin pour l’ e n t re p r i s ede prouver ce qu’elle a fait ou ceq u ’ e l le n’a pas fait ; elle doit just i f i e rde son activité vis-à-vis des auto r i t é sde tutelle, vis-à-vis de l’Etat, vis-à-vis d’un audit interne ; elle doiten outre, lors d’un contentieux,produire les pièces nécessaires àla défense de ses droits et de sesintérêts ;
2. le second besoin correspond à laréutilisation des données dans laconduite des affaires comme desétudes déjà réalisées et ré u t i l i s a b le sdans le cadre d’un nouveau projet,au lieu de recréer l’information,opération qui peut coûter cher etfaire perdre un temps précieux ;
3. le troisième besoin est pour l’en-treprise l’intérêt de préserver samémoire, tant pour constituer unec u l t u re d’entreprise, que pourcommuniquer envers ses clients,ses parte n a i res, ses salariés,voire la société.
Les besoins d’arc h i vage sont d’auta n tplus forts que l’information produite etarchivable est toujours plus prolifique ;qu’elle se présente sous des formesmultiples (données structurées ou non,images, sans oublier le papier) ; et quel’ e n v i ronnement ré g le m e n ta i re est souve n ttrès contraignant.
Enjeux
Les enjeux de l’ a rc h i vage ou de l’ a b-s e n ce d’un arc h i vage raisonné et effica cesont de cinq types :
1. juridique : le principal risque estde ne pas pouvoir pro d u i re le sdonnées requises par un audit ouun juge dans la forme requise ;non seulement les données doive n ta voir été arc h i vées mais elles doive n tp ré s e n ter des ca ra c t é r i st i q u e sd’authenticité, d’intégrité et denon répudiation ;
2. logistique : les données ont étébien arc h i vées te c h n i q u e m e n tmais il est pratiquement imposs i b led’y accéder car elles n’ont pas étéca ractérisées pour pouvoir effe c t u e rdes recherches et les moteurs derecherche ne produisent que du« bruit » inexploitable ; ou encore,les données existent mais ne sontpas inte l l i g i b les (on a perdu lemoyen de les décoder et de lesinterpréter) ;
3. sécuritaire : des données confi-dentielles (données stratégiques,p e rs o n n e l les) risquent d’êtredivulguées parce qu’elles ne sontpas ou insuffisamment protégées,ou encore parce qu’elles auraientdu être détruites ;
4. technique : l’enjeu technique estdouble : dans l’espace avec lesp roblèmes d’inte ro p é rabilité entresystèmes, et dans le temps avec ledéfi de pérennité des données surle long terme, fa ce à l’ o b s o le s ce n cerécurrente des formats, supportset outils de restitution ;
5. financier : l’enjeu financier estd o u b le également : coût d’uneamende ou d’une co n d a m n a t i o nj u d i c i a i re et dans une moindremesure, mais à ne pas négligertout de même, temps perdu à larecherche d’information ou inves-tissement perdu dans des outilsnon maintenus dans le temps.
Les enjeux de l’archivage peuvent serésumer aux co n s é q u e n ces pour l’ e n t re-p r i s e si elle ne peut pas retrouver lesinformations qu’elle a produites à unmoment de son activité, alors qu’elle abesoin de les communiquer ou de lesréutiliser.
9
1Recommandations
Quand on parle d’arc h i vage, la pre m i è retâche d’une entreprise est d’évaluer sesbesoins, c’est - à - d i re arc h i ver quoipourquoi et pour combien de temps ?Pour l’évaluation de ces besoins, il estrecommandé de répondre de manièreappropriée aux six questions suivantes :
1. Quelles sont lesdonnées à archi-ver parmi l’en-semble des don-nées produites ?
2. Quelle estla criticitédes données ?
3. Quelles exigencesde conservation ?
4. Quelles exigencesd’intégrité et desécurité ?
5. Quelle volumétrieà traiter ?
6. Quel accès ?
Les données à archiver sont celles qui correspondent à un processus (ou à un sousprocessus au sein d’un processus) achevé ; elles sont validées et ne doivent plusêtre modifiées, afin de tracer un événement à une date donnée, et qui sont vali-dées. Les données à archiver représentent en général une minorité de l’ensembledes données produites dans le cadre des activités de l’entreprise.Il faut donc élaborer une cartographie globale des données à archiver, c’est-à-diredes données à identifier et à capturer dans un système d’archivage, par ordre depriorité :
• archives vitales pour l’entreprise : en plus des données courantes qui sontsauvegardées régulièrement, d’autres données, plus anciennes, sont ellesaussi indispensables à l’entreprise pour redémarrer son activité au lende-main d’un sinistre ;
• données à caractère légal et réglementaire : être en règle vis-à-vis du fisc,des organismes sociaux, de la CNIL, etc. ;
• données supportant les intérêts de l’entreprise en cas de contentieux ;• information exploitable pour l’activité future ;• mémoire historique.
Chaque type de données ou de document possède plusieurs caractéristiques quipermettent d’organiser son archivage, notamment :
• la sensibilité de l’ i n formation : co n f i d e n t i e l le, unique et difficile à re co n st i t u e r ,ou au contraire information de routine ou de confort, etc ;
• la fréquence et l’urgence de la consultation selon les types de documents oude données ; ce critère permet d’optimiser le stockage.
A noter que ces caractéristiques évoluent avec le temps.
Le système d’arc h i vage doit ass u rer la mainte n a n ce des données jusqu’à la fin duc yc le de vie de l’ i n formation. Cette durée peut aller de quelques mois à plusieursdécennies, voire plus d’un siècle.La durée de co n s e r vation est déterminée soit en application des tex tes ré g le m e n ta i re s ,soit par analogie avec ces textes en fonction du risque de contentieux, soit parmétiers en fonction de la réutilisation prévisible de l’information archivée.Un co ro l l a i re de la durée de co n s e r vation est la date de destruction. La dest r u c t i o ne st ré g le m e n ta i re dans ce r tains cas (données à ca ra c t è re personnel) ; elle permetplus globalement de fiabiliser les données archivées (suppression des donnéespérimées) et d’éviter des coûts inutiles de stockage et de gestion.
Si les données doivent être restituées dans un environnement juridique ou dans lecadre d’un audit, il est impératif qu’elles soient intègres et que leur utilisation aitété tracée depuis la date de leur archivage voire depuis leur création.
Un type de document (facture, e-mail, comptes rendus du comité de direction, etc.)peut représenter des volumes très variables parmi l’ensemble des données del’entreprise.La maîtrise des volumes est utile :
• pour définir les priorités de gestion (les types de données et de documentsles plus volumineux seront prioritaires) ;
• pour estimer les besoins en stockage (critère à combiner à la durée deconservation) et donc une partie des coûts.
La question de l’accès comporte deux volets :a) les droits d’accès, définis en fonction du profil des utilisateurs : accès à tout
ou partie des informations, restrictions d’accès, évolution dans le temps (versune ouverture ou une réduction selon les événements) ;
b) la possibilité de recherche d’information via des mots-clés (indexation auto-matique ou manuelle) ou à l’aide d’un moteur de recherche, assorti ou nond’un thésaurus.
Contexte
Dans le cadre du régime général desarchives, il existe une distinction entreles archives publiques et les archivesprivées. Les dispositions intéressant lesa rc h i ves publiques sont aujourd ’ h u icodifiées dans le livre II du code dupatrimoine dont l’ a r t i c le L. 211-4 indiqueque « Les archives publiques sont :
- Les documents qui procèdent del’activité de l’Etat, des collectivitésterritoriales, des établissements etentreprises publics ;
- Les documents qui procèdent del’activité des organismes de droitp r i vé chargés de la gestion desservices publics ou d’une missionde service public ;
- Les minutes et répertoires des offi-ciers publics ou ministériels. »
Les arc h i ves publiques sont impre s c r i p-t i b les, comme le précise l’ a r t i c le L. 212-1du code du patrimoine et le législateur aadmis les supports électroniques avecl’article 1er de la loi du 3 janvier 1979 :« Les arc h i ves sont l’ e n s e m b les desdocuments, quels que soient leur date ,leur forme et leur support matériel, (…) ».
Enjeux
L’ ex i ste n ce des arc h i ves publiques sej u stifie :
- par la néce ssité d’apporter lap re u ve de ses droits et affirmationspour celui qui co n s e r ve ;
- par l’obligation de co n s e r ver ce r-tains documents afin de vé r i f i e rqu’une personne physique oum o ra le a bien respecté les obliga-tions auxquelles elle était soumise.
La problématique de la pre u ve end roit administ ratif est très différe n te dece l le du droit civil. En effet, en dro i ta d m i n i st ratif, le juge peut re cevoir to u sles moyens de pre u ve qui lui sont pré-sentés par les parties au litige (écrit,témoignage,…). Il n’ex i ste pas de pre u vep a r fa i te ou imparfa i te. Mais pourco n va i n c re le juge, il faut que ce t tep re u ve soit fiable .
En co n s é q u e n ce il sera néce ss a i reque l’écrit sous forme éle c t ro n i q u erepose sur un pro cédé gara n t i ssant queces ex i g e n ces sont remplies. La co n s e r va t i o né le c t ronique des actes dématérialisésou immatériels doit ainsi garantir le u ri n telligibilité, leur acce ssibilité dans letemps, leur imputabilité et leur intégrité.
Par exe m p le en droit public, la pass a t i o nde marchés publics par voie éle c t ro n i q u eimplique de re courir à l’ a rc h i vage éle c t ro-n i q u e . La décision d’arc h i ver et le choixdes documents co r respondants rev i e n n e n tà l’ a u torité publique chargée de la pas-sation et/ou de l’ exécution des marc h é s ,en co l l a b o ration avec l’A d m i n i st ra t i o ndes Arc h i ve s .
La fiabilité des documents arc h i vé sréside dans la co n f i a n ce acco rdée à lap e rsonne publique. Dans le cas d’unm a rché public dématérialisé, c’est las i g n a t u re éle c t ronique de ce marché parla personne publique qui lui co n f é re ra leca ra c t è re de seul exe m p l a i re de ré f é re n ce .Les autres pièces re l a t i ves aux marc h é spublics destinées à être arc h i vées dev ro n tê t re atte stées ou certifiées par la pers o n n ere s p o n s a b le du marc h é .
11
2Recommandations
Quand on parle d’arc h i vage, la pre m i è retâche d’une entreprise est d’évaluer sesbesoins, c’est - à - d i re arc h i ver quoipourquoi et pour combien de temps ?Pour l’évaluation de ces besoins, il estrecommandé de répondre de manièreappropriée aux six questions suivantes :
Compléments
Une notion importante concerne lad u rée d'utilité administ ra t i ve qui re p ré-s e n te la durée pendant laquelle les diffé-rents services ou organismes déte n te u rssont tenus de co n s e r ver les documents.C e t te durée est généra lement définie defaçon conjointe entre l’administrationco n cernée et le service des arc h i ves, enfonction des obligations juridiques maisé g a lement en tenant co m p te des besoinsd ' i n formation néce ss a i res à leur bon fo n c-t i o n n e m e n t .
La CADA (Commission d’Accès auxDocuments Administ ratifs), co m p é te n tedepuis la loi du 12 avril 2000 pour se pro-n o n cer sur l’ a p p l i cation des dispositionsré g i ssant l’ a ccès aux arc h i ves, co n sta teque les demandes de documents portent leplus souvent sur l’urbanisme et les docu-ments sociaux.
Les budgets ou co m p tes administ ra t i f sdes communes, les pro cè s - verbaux desconseils municipaux, les listes éle c to ra le s ,la liste des personnes assujetties à l’ i m p ô tsur le revenu ou à l’impôt sur les sociétésou enco re, le re g i st re tenu par les co m m u-nes dans lesquels figurent toutes lesacquisitions réalisées par exe rc i ce du dro i tde préemption sont des exe m p les desdocuments qui doivent être arc h i vés par le sco l lectivités te r r i to r i a le s .
A titre d’exe m p les, doivent être arc h i-vés par l’A d m i n i st ration ce n t ra le le ca s i e rj u d i c i a i re, la liste généra le des objetsm o b i l i e rs classés ainsi que les documentsn é ce ss a i res à l’ é l a b o ration de ce t te liste ,l’ a ccès du co n t r i b u a b le à son dossier fisca l .
La preuve en droitadministratif estlibre
Apportde dématérialisationdes marchés publics
Afin de s’ a ss u rer de la re cevabilité de la pre u ve par le juge, il convient de porte rune grande attention à la fiabilité de la preuve. Le régime prévu en droit privésemble ainsi pertinent (voir fiche 3).
La dématérialisation du marché public peut donner lieu à l’ i n t ro d u c t i o nd’un nouve l acteur, à savoir d’un prestataire chargé des aspects techniquesinformatiques.
Contexte
Les contraintes à respecter dans leca d re du re co u rs à un système d’arc h i va g eélectronique ont essentiellement pourobjectif de permettre de se prévaloir dudocument archivé. Ces contraintes quiont par conséquent une vocation princi-palement probatoire se retrouvent tantdans le droit privé national que dans lestex tes internationaux et particulière m e n tdans les directives européennes.
En droit privé :
Avant d’envisager les co n t ra i n tes liéesà la vo cation pro b a to i re de l’ a rc h i va g eélectronique, il convient au préalabled’opérer une distinction entre les actesjuridiques et les faits juridiques :
- un acte juridique est une opérationjuridique consistant en une mani-fe station de vo lonté ayant pourobjet et pour effet de produire uneco n s é q u e n ce juridique (Ex. : un co n t ra tde bail, l’achat d’un voyage sur inte r n e t ,le co n t rat d’abonnement auprès d’uno p é ra teur de téléphonie mobile, etc.) ;
- un fait juridique se définit commeun fait quelconque (évé n e m e n tsocial, phénomène de la nature,fait matériel), auquel la loi attacheune conséquence juridique (acqui-sition d’un droit, création d’uneobligation, etc.) et qui n’a pas étén é ce ss a i rement re c h e rchée parl’auteur du fait. (Ex. : le délit obligeson auteur à réparer le dommagecausé ; la poss e ssion d’un immeublependant 30 ans fait acquérir la pro-priété ; une force majeure exonèrele débiteur ; plus spécifiquement,en matière éle c t ronique, les donnéesde connexion qui sont des informa-tions doivent être conservées parl’ o p é ra teur ainsi que par to u teentreprise ou particulier).
La qualification d’acte juridique ou defait juridique aura une incidence sur lesystème de preuve applicable.
Afin de rapporter la preuve d’un actejuridique, il est en principe nécessairede pro d u i re un écrit passé deva n tnotaire ou signé des parties. Une excep-tion existe cependant pour les actesp o r tant sur un montant inférieur à 1500 Ä.
L’article 1316-1 du Code civil posecertaines exigences à finalité probatoire
pour l’établissement et la conservationd’un acte juridique. L’écrit sous formeélectronique sera ainsi admis à titre depreuve à la double condition que :
1. l’ a u teur de l'acte soit identifié(dans les conditions posées parl’article 1316-4 du Code civil) ;
2. l’ a c te soit co n s e r vé dans desconditions de nature à en garantirson intégrité.
L’utilisation de la signature électro-nique définie à l’article 1316-4 du Codecivil comme « un procédé fiable d’iden-t i f i cation gara n t i ssant son lien ave cl’acte auquel elle s’attache » permet des’assurer que les deux conditions pré-cédentes sont réunies.
Concernant les faits juridiques, rienn’est précisé quant à leur conservation.Leur preuve est libre. Tous les moyensde preuve sont donc recevables par lejuge (présomptions, témoignages,a veux, serments, co m m e n cement depreuve écrite, etc.). Néanmoins, afin deconvaincre le juge, il faudra établir lafiabilité du procédé utilisé pour archiverles moyens de preuve des faits juridi-ques. Dans un souci de sécurité juridi-que, il est alors recommandé de s’ap-p u yer sur les modalités d’arc h i va g es’appliquant aux actes juridiques. Lesp e rsonnes arc h i vant des documentsauraient alors la possibilité, au préala-ble, de s’assurer de la valeur juridiquede ceux-ci. Comme en matière de faitjuridique, le principe de la liberté de lapreuve s’applique entre commerçants.En effet, le Code de commerce prévoitque « les actes de commerce peuvent seprouver par tous moyens à moins qu’iln’en soit autrement disposé par la loi».
N’étant pas d’ordre public, les règlesdéterminant les moyens de preuve ouencore la charge de la preuve peuventfaire l’objet de conventions. Celles-cisont un gage de sécurité juridiquepuisqu’elles vont permettre aux partiesde régler à l’avance la question de lafo rce pro b a n te des co n t rats qu’elle sconcluent en ligne. Dans les contrats deconsommation, il est possible d’insérerdes clauses aménageant le système depreuve sous réserve, pour le profes-sionnel, de respecter la législation enmatière de clauses abusives.
Cette qualification pourra en effetêtre retenue, et la clause susceptible
13
3par voie de conséquence d’être réputéenon écrite, dès lors qu’elle aura « pourobjet ou pour effet de créer au détri-ment du consommateur un déséquilibresignificatif entre les droits et obliga-tions des parties au contrat ». Sont par-ticulièrement visées les clauses ayantpour objet de limiter les moyens depreuve dont dispose le consommateurou encore les clauses qui attribueraientla charge de la preuve à ce dernier alorsqu’en principe celle-ci devrait peser surle professionnel.
En l’absence de telles conventions,c ’ e st au juge que rev i e n d ra le ca séchéant, le soin de régler les conflits depreuve conformément à l’article 1316-2du Code civil.
En droit internationalet dans d’autres Etats :
La Commission des Nations Uniespour le Droit Commercial International(CNUDCI) est à l’origine d’une loi typesur le co m m e rce éle c t ronique. Celatient au fait que, dans un certain nom-bre de pays, la législation encadrant lescommunications et l’archivage de l’in-formation est inadaptée voire dépassée,celle-ci n’envisageant pas les problé-matiques relatives au commerce élec-tronique.
Ainsi, la loi type de la CNUDCI sur leco m m e rce éle c t ronique adoptée le 6décembre 1996 a vocation à s’appliquer« à to u te information, de quelquenature que ce soit, prenant la formed’un message de données utilisé dansle contexte d’activités commerciales ».E l le définit le message de donnéescomme « l’information créée, envoyée,reçue, ou conservée par des moyensé le c t roniques ou optiques ou desm oyens analogues, notamment, maisnon exclusivement, l’échange de don-nées informatisées (EDI), la messagerieélectronique, le télégraphe, le télex etla télécopie ». Elle précise que « lors-que la loi exige qu’une information soitsous forme écrite, un message de don-nées satisfait à cette exigence si l’infor-mation est accessible pour être consul-tée ultérieurement ».
Il est donc nécessaire de conserverl’ i n formation. De plus, lo rsque la lo iexige qu’une information soit présentéeou conservée sous sa forme originale,
un message de données peut satisfaireà cette exigence à condition, d’une part,qu’il existe « une garantie fiable quant àl’intégrité de l’information à compter dumoment où elle est créée pour la pre-mière fois sous sa forme définitive entant que message de données » et d’au-tre part, que l’information puisse êtreprésentée à la personne à qui il estexigé qu’elle soit présentée s’il existeune telle exigence.
Dans le ca d re de l’Union euro-péenne, bien que le terme « archivage »ne soit pas directement défini, certainesdirectives européennes posent des exi-g e n ces (en matière de support, deconditions de stockage, etc.) tenant à laconservation de divers documents.
La dire c t i ve 2002/65/CE duParlement européen et du Conseil du 23septembre 2002 concernant la commer-cialisation à distance de services finan-c i e rs auprès des co n s o m m a te u rs arecours à la notion de « support durable» qu’elle définit comme « tout instru-ment permettant au consommateur destocker des informations qui lui sonta d re ssées pers o n n e l lement d’unem a n i è re permettant de s’y re p o r te raisément à l’avenir pendant un laps detemps adapté aux fins auxquelles lesinformations sont destinées et qui per-met la reproduction à l’identique desinformations stockées ». Cette directiveimpose au fournisseur de communiquerles conditions co n t ra c t u e l les et le sinformations préalables au consomma-teur sur un support papier ou sur unsupport durable qui est mis à sa dispo-sition et « auquel il a accès en tempsutile avant d’être lié par un contrat àdistance ou par une offre ».
La référence à un support durable sere t ro u ve également dans la dire c t i ve97/7/CE du Parlement européen et duConseil du 20 mai 1997 concernant lap ro tection des co n s o m m a te u rs enmatière de contrats à distance.
Par aille u rs, la dire c t i ve2001/115/CE du Conseil du 20 décem-bre 2001 dont le but est de simplifier,moderniser et harmoniser les condi-tions imposées à la fa c t u ration enmatière de taxe sur la valeur ajoutée,traite du « stockage des factures » etnotamment du « stockage électroniquedes factures» (ou « stockage des factu-res par voie électronique »). Il s’agit
d’un stockage effectué « au moye nd’équipements électroniques de traite-ment (y compris la compression numé-rique) et de stockage de données, et enutilisant le fil, la radio, les moyens opti-ques ou d’autres moyens éle c t ro m a-gnétiques ». Aux termes de la directive,l’authenticité de l’origine et l’intégritédu contenu des factures, ainsi que leurlisibilité, doivent être assurées pendanttoute la période de stockage.
Les modalités particulières deco n s e r vation pro p res aux différe n t sdocuments visés par ces directives ontété précisées les tex tes de tra n s p o s i t i o n .A titre d’exe m p le, en application de l’ a r-t i c le 17 de la loi de finance re c t i f i ca t i vede 2002, l’ i n struction fisca le du 7 août2003 a précisé les conditions de co n s e r-vation des fa c t u res éle c t ro n i q u e s .
Enjeux
L’ a rc h i vage peut co n cerner de nombre u xtypes de documents éle c t roniques (co u r-r i e rs éle c t roniques, co n t rats) et le sco n t ra i n tes à pre n d re en co n s i d é ra t i o nsont multiple s .
L’ a rc h i vage des co u r r i e rs éle c t ro n i q u e speut permettre de co n t rô ler les fluxe n t rants et sortants d’une entre p r i s eafin, notamment, d’év i ter la divulgationde secrets ou enco re d’être info r m éd ’ éventuels co m p o r tements ré p ré h e n s i-b les commis par un salarié. Cependant,ce type d’arc h i vage re ste une opéra t i o nqui se concilie difficilement avec lan é ce ssité de re s p e c ter la vie privée dessalariés dans l’ e n t reprise. Des limite stenant à la sphère pers o n n e l le de ce sd e r n i e rs doivent néce ss a i rement êtrerespectées et cela indépendamment del’obligation de confidentialité à laquellee st soumis le tiers arc h i veur lo rsqu’il ye st fait re co u rs .
L’ a r t i c le L. 134-2 du Code de la co n s o m-mation impose au pro fe ssionnel deco n s e r ver pendant 10 ans, l’écrit co n sta-tant un co n t rat en ligne portant sur unm o n tant supérieur à 120 ¤ et de le te n i rà disposition du co n s o m m a teur lo rs q u ecelui-ci en fait la demande. Le délai deco n s e r vation court à co m p ter de laconclusion du co n t rat « lo rsque la livra i-son du bien ou l’ exécution de la pre sta-
tion est immédiate ». Si tel n’est pas lecas, « le délai court à co m p ter de laconclusion du co n t rat jusqu’à la date del i v raison du bien ou de l’ exécution de lap re station et pendant une durée de dixans à co m p ter de ce l le-ci». On peutnéanmoins s’ i n te r roger sur les élé-ments que le pro fe ssionnel est te n ud ’ a rc h i ver en pratique (CGV (co n d i t i o n sg é n é ra les de ve n te), commande, signa-t u re éle c t ronique, etc.) ou enco re sur le smodalités permettant au co n s o m m a te u rd ’ exe rcer son droit d’accès.
La loi pose le principe du re co u rs auxfa c t u res éle c t roniques signées dès lemoment où le dest i n a ta i re acce p te ce sfa c t u res. Celles-ci doivent être émises ett ransmises par voie éle c t ronique « dèslo rs que l’authenticité de leur origine etl’intégrité de leur co n tenu sont gara n t i e sau moyen d’une signature éle c t ro n i q u e». La durée de co n s e r vation des fa c t u re sé le c t ronique dépendra de la matière etdes délais de prescription qui s’y ra t ta-chent. Le C.G.I. prévoit en outre que le sfa c t u res, la signature éle c t ronique àl a q u e l le elles sont liées ainsi que le ce r-t i f i cat éle c t ronique attaché aux donnéesde vé r i f i cation de la signature éle c t ro n i-que doivent être co n s e r vés dans le u rco n tenu originel par l’ é m e t teur et le des-t i n a ta i re. En matière co m m e rc i a le, lad u rée de co n s e r vation des fa c t u res éle c-t ronique sera de 10 ans, c’est - à - d i re lad u rée à partir de laquelle se pre s c r i ve n t
15
3les obligations nées entre co m m e rça n t sà l’ o ccasion de leur co m m e rce.
Le Code de co m m e rce prévoit que le sdocuments co m p ta b les et les pièces jus-t i f i ca t i ves doivent être co n s e r vés pen-dant 10 ans et ce sur tout support. Ilsd o i vent obligato i rement être tenus par leco m m e rçant et être « identifiés, numé-rotés et datés dès leur éta b l i ssement pardes moyens offrant to u te garantie enm a t i è re de pre u ve ».
En application de l’ a r t i c le L. 143-3 duCode du tra vail, l’ e m p loyeur est tenu deco n s e r ver un double des bulletins depaie qu’il remet aux salariés lo rs dupaiement de leur ré m u n é ration pendantune durée de 5 ans. Cette co n s e r va t i o npeut s’ e f fectuer sur papier ou sur sup-port informatique dès lo rs que desg a ranties de co n t rô le équiva le n tes sontm a i n te n u e s .
Distinctionentre durée deconservationet durée deprescription
Analyse préalablepar type dedocument
Courrierélectronique
En règle générale, il convient d’éviter de confondre délai de conservation etdélai de prescription. Trop souvent, les acteurs du domaine omettent cette dis-tinction. Les textes juridiques mettent en exergue les durées de conservationdes documents (6, 10 ou 30 ans par exe m p le). Mais ce t te durée peut ne pas suffiresi les divers délais de prescription légale ne sont pas expirés, c’est-à-dire sicertaines actions judiciaires dans lesquelles tel document est requis sont tou-jours en cours au moment du terme de la durée de conservation. Ce quicompte, c’est l’extinction des effets juridiques liés à l’acte.
A ce titre, il convient d’effectuer une analyse par type de document pour déte r m i n e rles modalités juridiques nécessaires à un archivage fiable. Prévoir ce type deprécaution doit permettre d’assurer en cas de litige une certaine sécurité juri-dique quant à la recevabilité des documents à titre probatoire ou de validitéd’un acte.
Il est conseillé de mettre en place une charte d’utilisation des moyens infor-matiques, une politique d’archivage des courriers électroniques au sein del’entreprise et d’informer le comité d’entreprise, les syndicats et les salariéspréalablement à la mise en place d’un système d’archivage.Il sera ainsi possible de prévoir la force probante à accorder aux courriersélectroniques (simples commencements de preuve par écrit en principe) etd ’ a ss u rer une ce r taine sécurité juridique. Par aille u rs, l’ a rc h i vage des co u r r i e rsélectroniques doit respecter les dispositions de la loi Informatique et Libertédu 6 janvier 1978 et notamment celles relatives à la collecte et au traitementde données à caractère personnel (ce qui peut être le cas d’une adresse élec-tronique). Il faudra en outre déterminer la finalité du traitement ainsi que ladurée de conservation des courriers électroniques archivés.
Recommandations
La phase d’arc h i vage co n stitue un élé-ment essentiel dans to u te st ratégie d’en-t reprise d’où le respect d’un minimum dep ré cautions :
Préambule
Afin de ne pas surcharger le présentouvrage, nous nous limiterons ci-des-sous vo lo n ta i rement aux co n t ra i n te sre l a t i ves au domaine de la financesachant qu’il en existe également biend’autres comme celles correspondantau domaine de la santé.
Contexte
C e r taines « affa i res » ré ce n te s(Enron, Worldcom, Vivendi…) ont misen péril la confiance dans le monde desaffaires, coûtant des milliards de dol-l a rs aux actionnaires et petits épar-gnants.
Les Etats-Unis suivis par d’autresEtats dont la France ont alors pris desdispositions législatives pour instaurerune transparence dans le cadre de la viefinancière d’une entreprise, synonymede co n f i a n ce pour les actionnaire scomme pour le reste de l’opinion publi-que. Les textes impliquent personnelle-ment les dirigeants par une responsabi-lisation portant notamment sur la situa-tion financière de leur entreprise.
Le contrôle interne a pour objectif devérifier avec exactitude la santé finan-c i è re de l’ e n t reprise. L’ a rc h i vage desdonnées comptables et financières estun des éléments de ce contrôle interne.
Plusieurs textes fixent, de manièreplus ou moins explicite, cette exigenced’archivage des documents en matièrefinancière et bancaire.
Enjeux
Textes américains :
Certains textes sont applicables auxsociétés étrangères. De manière sché-matique, il s’agit des sociétés faisantappel public à l’épargne aux Etats-Unis.
The « Sarbanes-Oxley Act of 2002 » (SOX )
La loi Sarbanes-Oxley, adoptée enréaction aux scandales financiers trèsmédiatisés, est applicable aux sociétésf ra n çaises cotées sur les marc h é sboursiers américains. La section 404 dela SOX intéresse au premier plan lesdifférentes pratiques d’archivage finan-cier. Elle concerne l’auto évaluation desprocédures de « reporting » financier.Ainsi, les données financières de l’en-treprise doivent être correctement col-lectées, traitées et stockées.
Ces pro cé d u res co n cernent d’unem a n i è re ou d’une autre les service sd’information de l’entreprise. A ce titre,la SOX prévoit la traçabilité de tous lesmouvements financiers.
Afin de contrôler la pertinence del’information financière communiquée,l’entreprise doit être en mesure de dis-poser de moyens d’arc h i vage et derecherche de l’information archivée. Eneffet, l’archivage doit être un moyen devérifier les informations co m p ta b le s ,f i n a n c i è res et de gestion co m m u n i-quées aux organes sociaux. Celles-cidoivent refléter avec sincérité l’activitéet la situation financière de la société.
La SOX fixe dans sa section 404 lesprincipes qui dirigeront les travaux dela Commission instituée par le «Securities Exchange Act of 1934 » enmatière de contrôle interne. Ces règlessont inscrites dans la « Rule 17-CFR270.17a-4 »
The « Rule 17-CFR 270.17a-4 »
Cette règle pose de nombreuses exi-gences relatives à l’archivage :
- prévoir des supports pour l’archi-vage qui ne soient ni réinscripti-bles, ni effaçables ;
- vérifier l’enregistrement automati-que des fichiers ;
- p révoir que les originaux soientnumérotés et datés ;
- télécharger facilement les index et
17
4e n re g i st rements sur n’importequel autre support prévu par letex te (micro g raphie ou supportélectronique) ;
- donner fa c i lement accès auxagents de la Commiss i o n(Securities and Exc h a n g eCommission) ainsi qu’aux organis-mes de régulation aux donnéesarchivées ;
- disposer d’une copie fidèle desdonnées archivées que pourraientdemander les agents de laCommission ;
- conserver les copies séparémentdes originaux ;
- o rganiser et indexer claire m e n ttoutes les informations conservéesà la fois sur les originaux et sur lescopies des données archivées ;
- communiquer aux commerçants ouve n d e u rs les index destinés auxagents de la Commission et auxorganismes de régulation auxquelsappartiennent lesdits co m m e r-çants et vendeurs pour examen ;
- dupliquer et archiver chaque indexséparément de l’original ;
- conserver des index originaux etcopiés pendant la durée légale ;
- disposer d’un système d’audit per-mettant d’analyser la conservationdes données originales ou dupli-quées ;
- les agents de la Commission et leso rganisations de régulation dontles commerçants ou vendeurs sontmembres doivent pouvoir contrôlerla méthodologie utilisée pour l’au-dit de l’entreprise ;
- préserver les résultats de l’auditpendant la période de te m p srequise ;
- co n s e r ver, actualiser et fo u r n i rp ro m p tement to u te info r m a t i o nnécessaire pour accéder aux enre-gistrements et aux index archivéssur support éle c t ronique à lare q u ê te des membres de laCommission ou des organismes derégulations.
Les accords Bâle II :
Concernant le secteur bancaire, lesaccords Bâle II, émanation des pays duG10 auxquels s’ e st associé leLuxembourg, fixent, entre autres, lesobligations concernant la conservation
des données par les banques de plus de100 pays, notamment pour la France, etpar toutes les organisations qui dépen-dent du CECEI (Comité desE ta b l i ssements de Crédit et desEntreprises d’Investissements).
Les prescriptions relatives à l’archi-vage des données se trouvent dans la2ième partie correspondant au premierpilier sur les exigences minimales defonds propres, troisième chapitre relatifau risque de crédit (Credit Risk, H, 4, (iv)Data maintenance). Aux termes de cetexte, les banques doivent collecter etco n s e r ver les données des emprun-teurs ainsi que les caractéristiques del’emprunt de manière exacte et sincère.Les banques doivent aussi conserverles opérations permettant d’apprécierla méthodologie du « scoring » desemprunteurs et de leurs garants.
Cet acco rd n’est cependant pasencore obligatoire, dans la mesure oùles autorités nationales devront veillerà la mise en application de Bâle II d’icifin 2006.
Les textes nationaux :
La loi sur la sécurité financière du1er août 2003 (LSF)
Cette loi est applicable à toutes lessociétés anonymes et co n s a c re lanotion de contrôle interne. Cette notionimplique de nouvelles mesures d’infor-mation au profit des actionnaires et dupublic, et en conséquence, une obliga-tion d’archivage pour les entreprisesassujetties. Ces mesures sont dévelop-pées dans le cadre de l’arrêté du 31mars 2005.
La loi sur la sécurité financière nepose pas, à proprement parler, de cor-pus de règles applicables à l’archivage.Cependant, cette loi est intervenue à lasuite de la SOX. On retrouve donc lemême souci de transparence dans lagestion financière de l’entreprise, ainsique dans la gestion des risques de cré-dit. Mais, contrairement à la SOX, la LSFne renvoie à aucun texte pour la mise enœ u v re pratique de l’ a rc h i vage. Lecontrôle interne mis en place par la LSFconcerne, les données financières, et lefonctionnement du contrôle interne. Ce
texte est applicable à toutes les sociétésanonymes, qu’elles soient cotées ounon cotées. Sont ainsi visées tant lessociétés anonymes à Conseild ’A d m i n i st ration que les SociétésAnonymes à Directoire et à Conseil deSurveillance (Code de commerce arti-cles L.225-37 et L.225-68). La LSF insti-tue le contrôle interne, sans pour autantmettre en place une procédure précisepour l’archivage. L’archivage qu’impli-que le contrôle interne est cependantprécisé par l’arrêté du 31 mars 2005.
L’arrêté du 31 mars 2005
Cet arrêté précise le co n tenu ducontrôle interne qui doit comprendre :
- un système de contrôle des opéra-tions et des procédures internes ;
- une organisation comptable et dutraitement de l’information ;
- un système de documentation etd’information.
Dans des conditions optimales desécurité, de fiabilité et d’exhaustivité,l’ e n t reprise est tenue de vérifier le sconditions d’évaluation, d’enre g i st re-ment, de conservation et de disponibi-lité de l’information, ainsi que de véri-fier la qualité des systèmes d’informa-tion et de communication.
Les entreprises visées par l’arrêtésont nombreuses puisqu’il est applica-ble tant au niveau national que pour lese n t reprises possédant des filiales etdes succursales à l’étranger.
L’archivage des informations comp-ta b les publiées doit permettre dereconstituer dans un ordre chronologi-que les opérations de co m p ta b i l i t éeffectuées.
Les systèmes d’information doiventpermettre de protéger les documentsainsi archivés. L’arrêté ne fixe pas leniveau de sécurité des systèmes. Il doitêtre apprécié périodiquement par l’en-treprise, qui doit mettre en place desprocédures de secours en cas de défail-lances du système.
Les entreprises doivent co n s e r ve rjusqu’à la date de l’arrêté des comptessuivant, l’ensemble des fichiers néces-saire à la justification des documents du
dernier arrêté remis à la Commissionbancaire.
La sélection et la mesure des ris-ques de crédit nécessitent de constituerun dossier de crédit destiné à recueillirl’ensemble des informations nécessaireà l’octroi d’un crédit.
L’arrêté précise les mesures d’enre-g i st rement que doivent pre n d re le se n t reprises lo rs des opérations dechange et des opérations portant surleurs portefeuilles de négociation.
Un système de suivi des opérationsest exigé par l’arrêté pour :
- enregistrer sans délai les opéra-tions déjà réalisées ;
- enregistrer à la fin de chaque jour-née et retracer individuellement touteserreurs dans la prise en charge et l’exé-cution des ordres. Le prestataire doit eno u t re s’ a ss u rer qu’il est en mesured’établir la chronologie des opérationset d’évaluer a posteriori les positionsprises en cours de journée.
Les entreprises doivent enfin élabo-rer et tenir à jour des manuels de pro-cédures relatifs et adaptés à leurs diffé-rentes activités. Ces documents doiventdécrire les modalités d’enregistrement,de tra i tement et de re stitution desinformations, les schémas comptableset les pro cé d u res d’engagement desopérations. Enfin, les entreprises doi-vent mettre en place une documenta-tion qui précise les moyens destinés àa ss u rer le bon fonctionnement ducontrôle interne.
19
4Recommandations
Les lois américaines décrivent les diffé-re n tes étapes du pro ce ssus d’arc h i va g e .Les documents financiers, ainsi que le scopies des documents arc h i vés, doive n tré p o n d re à une pro cé d u re rigoureuse. La" R u le 17-CFR 270.17a-4" pose des princi-pes relatifs aux supports destinés à l'arc h i-vage et aux méthodes techniques de l'ar-c h i vage sur ces supports. Elle décrit auss iles différents organismes qui pourro n te f fectuer des co n t rô les sur l'arc h i vage. Lesdonnées arc h i vées – originaux co m m ecopies – doivent être ré g u l i è rement misesà jour. Les enre g i st rements ne doivent êtreni ré i n s c r i p t i b les, ni effa ça b les. Enfin, ils e rait judicieux d’arc h i ver les mess a g e sé le c t roniques (y compris semble-t-il lam e ssagerie insta n tanée dans la mesure oùce t te ex i g e n ce est imposée ex p re ss é m e n tpar la ré g le m e n tation américaine) et le sdonnées permettant de re co n stituer unh i storique financier. Rappelons ici que ce srè g les sont applica b les à un nombre re l a t i-vement re st reint d’entreprises fra n ça i s e s .To u te fois, on peut penser que le respect deces dispositions peut co n stituer un état del’art en matière de co n t rô le inte r n e .
Au niveau international, les acco rd sB â le II ont pour objectif de mettre en placeune ré g le m e n tation sur la gestion des ris-ques lo rs de l’ o c t roi des crédits par les ban-ques et organismes de crédit. Les mesure srelatives à l’archivage concernent lesméthodes mises en place pour évaluer le sc rédits acco rdés ainsi que les info r m a t i o n ssur les emprunte u rs et les garants. Auxtermes de ces acco rds, to u tes les métho-des et données utilisées aux fins de laconclusion ou du refus d’un crédit doive n tê t re co n s e r vées. Cette co n s e r vation dedonnées est très va ste, dans la mesure oùson analyse doit permettre d’appré c i e rdans sa globalité les raisons de l’ a cco rd oudu refus du crédit. Cette norme n’estcependant pas obligato i re avant fin 2006.
Les mesures néce ss a i res à la ré a l i s a-tion du co n t rô le interne mis en place par laloi sur la sécurité financière de 2003 sontn o m b reuses. Les entreprises co n ce r n é e sle sont aussi puisque sont visées to u tes le ssociétés anonymes, cotés ou non. Dans desconditions optimales de sécurité, de fiabi-lité et d’ex h a u stivité, l’ e n t reprise est te n u ede vérifier l’ évaluation, l’ e n re g i st rement, laco n s e r vation et la disponibilité de l’ i n fo r-
mation, ainsi que la qualité des syst è m e sd ’ i n formation et de co m m u n i cation. Cesex i g e n ces co n cernent avant tout les docu-ments co m p ta b les, dans la mesure où ilssont les pre m i e rs indica te u rs de la ré a l i t éf i n a n c i è re de l’ e n t reprise.
Contexte
Les objectifs auxquels doit répondrel’archivage sont multiples. Ces objectifsne pourront être atteints qu’avec le re s p e c td’un ensemble de mesures dont unegrande partie repose sur des aspectspurement techniques. Il en est ainsi del’intégrité, de la sécurité et de la pére n n i t édes données pour lesquelles il faudrasavoir gérer et anticiper le principe del’ o b s o le s ce n ce te c h n o logique ré c u r re n tetout en facilitant leur accès.
Les différentes contraintes peuvent serésumer ainsi :
- retenir un format logique de docu-ment par rapport à différents types(image, ve c toriel, tra i tement detexte, éditique, …) en fonction dedivers critères de choix (pérennité,conversion, coût) ;
- choisir un format physique ou typede support (magnétique ou optique)s e lon différents critères (pére n-nité, conversion, coût) ;
- analyser les possibilités de migra-tions tant du point de vue des for-mats logiques que des supportsphysiques ;
- prendre en compte certaines spé-cificités comme celles liées à lasignature électronique ;
- avoir en permanence à l’esprit lesaspects de performance.
Les contraintes technologiques sontd ’ a u tant plus importa n tes qu’une fois enp l a ce, un système d’arc h i vage ineffica ceaura beaucoup de mal à être corrigécompte tenu du volume d’information àtraiter.
Enjeux
Le fait de savoir ré p o n d re auxco n t ra i n tes techniques posées par l’ a rc h i-vage éle c t ronique est déterminant afind ’ o b tenir un système effica ce permetta n tde disposer de la bonne information aumoment opportun.Les enjeux à prendre en considérationse retrouvent à différents niveaux :
- technique : si par exe m p le le syst è m ed ’ a ccès n’a pas été suffisamment bienétudié tant en termes de définitiondes index que des outils mis en place ,l’ i n formation arc h i vée se re t ro u ve raainsi pratiquement inex p lo i ta b le ca rd i f f i c i lement acce ss i b le. Cette diffi-culté d’accès pourra se tro u ver aun i veau de la re c h e rche pro p re m e n td i te ainsi qu’au niveau de temps deréponse beaucoup trop longs ;
- juridique : que faire si le formatlogique utilisé pour conserver l’in-formation a été mal choisi et qu’ilne permet pas l’ i n telligibilité del’information lorsqu’on en a besoinou ne peut garantir son intégrité ?
- ré g le m e n ta i re : fa ce par exe m p le auxex i g e n ces de la CNIL et co m p te te n udes moyens d’accès mis en place il fa u-d ra bien mesurer le respect de la co n f i-dentialité des données co n cernées ;
- s é c u r i ta i re : au-delà de la simpleré g le m e n tation il est évident que le si n formations arc h i vées ne dev ro n tê t re acce ss i b les que sous ce r ta i n e sconditions pour tout ou partie enfonction des personnes qui inte r ro-gent et surtout elle dev ront être bienp rotégées grâce à un système de sau-ve g a rde adapté ou tout autre syst è m ede re d o n d a n ce de l’ i n formation ;
- financier : du fait de l’ o b s o le s ce n ced’un matériel comment effectuer lam i g ration rapide de volumes impor-tants de données à moindre coût ets u r tout dans des délais ra i s o n n a b le set sans perturber le fo n c t i o n n e m e n tau quotidien ?
Face à ces enjeux, la prise en comptedes différentes contraintes techniquesdoit ainsi contribuer à la mise en placed’un système d’arc h i vage effica cerépondant aux attentes et, entre autres,à celle de pouvoir évoluer sans poura u tant re m e t t re en cause l’ ex i sta n t ,g r â ce à une bonne anticipation desbesoins.
21
5Recommandations
D evant l’ e n s e m b le des ces co n t ra i n te snous donnons ci-dessous les élémentsqu’il nous parait primordial de re s p e c ter :
Choix du formatlogique
Choix des supports
Migration
Système d’accès
Sécurité/sauvegarde
Evolutivité
Anticipation
Sans entrer dans le détail des différents formats disponibles, nous recomman-dons d’utiliser un format qui permette l’intelligibilité, soit en lecture directe(exemple du TXT), soit par utilisation d’un interpréteur relativement facile à écrireen cas de besoin (cas du PDF). On aura par contre soin d’éliminer tous types deformats propriétaires issus de traitements ou de logiciels dont la pérennité nepeut être assurée.
Même si dans l’absolu le support idéal existait, ce qui est loin d’être le cas, encorene faudrait-il pas oublier de prendre en considération les aspects économiques defaçon globale. En effet sur ce dernier point il est nécessaire de raisonner non passur l’achat ponctuel de tel ou tel support ou technologie mais sur une exploitationsimulée de plusieurs années afin d’être bien sûr de prendre en compte l’ensem-ble des paramètres : administration, maintenance, remplacement, … Quoiqu’il ensoit, le type de support sera avant tout choisi en fonction de critères précis commela durée de conservation, la criticité des données à conserver, l’accessibilité, lavolumétrie et le coût.
Pour diverses raisons il peut être néanmoins nécessaire de prévoir des migrationsau niveau du format logique et des supports physiques. Dans ce cas il faudra par-ticulièrement veiller au type de migration concernée afin d’en évaluer aussi pré-cisément que possible les tenants et les aboutissants tant en matière de coûtsqu’en matière du temps néce ss a i re et de l’indisponibilité éve n t u e l le de l’ i n fo r m a t i o n .
Dans la mesure où il s’agit de la mise en place du système destiné à retrouver uneinformation de façon efficace, l’on devra être particulièrement vigilant. En effetdans le cas d’un système d’indexation classique rappelons qu’une base de don-nées, si performante soit-elle, pourra se trouver vite limitée en termes de perfor-mance. De plus si certains critères de recherche ont été oubliés il est toujoursdélicat voire très difficile de les ajouter ensuite. De même un moteur de recherchepeut se révéler totalement inefficace à cause du phénomène de bruits parasitesrenvoyant systématiquement une multitude de réponses inexploitables à chaquerecherche. Dans les deux cas qui précèdent, l’information archivée deviendraitainsi quasi inaccessible et serait pour ainsi dire perdue.
Sans oublier que le système d’accès doit également être vu comme un contrôle auniveau des droits à l’information archivée, encore faudra t-il mettre en place lessystèmes et procédures ad hoc destinés à garantir tant la confidentialité que l’in-tégrité des données. Afin de renforcer la notion de preuve il est également néces-saire de prévoir un système de traçabilité permettant de garder la trace de l’en-semble des interrogations effectuées. Enfin, au-delà des éléments de sécuritéévoqués précédemment, il ne faut surtout pas oublier un élément fondamental desécurité qui est celui relatif à la sauvegarde de l’information ou tout autre systèmede redondance des données qui doit permettre en cas de sinistre de ne pas perdrel’information.
Dans la mise en place de tout système d’archivage il est important de prévoirl’évolution de la volumétrie des données à conserver afin d’anticiper les augmen-tations de capacité des différents matériels et plates formes, voire d’envisagercertaines migrations. La prise en compte de cette évolutivité est en effet fonda-mentale quant au choix des technologies à utiliser.
Enfin le fait de pouvoir anticiper suffisamment certains types de problèmes estégalement important pour éviter toute rupture dans le service d’archivage mis enplace. Ainsi la signature électronique impose en fonction des procédures rete-nues, de re-signer les documents tous les trois ans ou tout au moins de les horo-dater à nouveau afin de profiter des dernières technologies en matière de crypto-graphie et d’éviter ainsi tout risque de falsification. Il est clair qu’il est préférabled’avoir prévu ce type de traitement dès le départ si l’on veut s’éviter de fortesdéconvenues comme la remise en cause d’une information quant à son identifica-tion ou son intégrité, lui retirant du même coup toute sa valeur de preuve.
Contexte
La question de l’ a ss u ra n ce estessentielle à tout système d’archivage.En effet, un dysfonctionnement du sys-tème peut déclencher de graves préju-dices pour l’entreprise utilisatrice. Laperte d’informations constitue un ris-que vraisemblable et souvent peu prisen compte dans le cadre de systèmesd ’ i n formation (exe m p le : pertes desadresses mail des clients ou de l’en-semble des données clients). Le sys-tème d’archivage devra donc être ana-lysé pour déterminer l’impact d’un dys-fonctionnement en terme de risques.
Il est aujourd’hui possible de s’assu-rer contre les atteintes aux informa-tions (couverture de l’information elle-même et des pertes résultant de cettealtération). Une assurance des supportsdes données et de la reconstitution encas de dommages aux supports ou uneassurance de la reconstitution des don-nées altérées ou perdues pour une rai-son quelconque semble indispensabledans le cadre de l’archivage.
Les risques peuvent également êtreconstitués par les dommages immaté-riels, relatifs aux valeurs incorporelles,tels que la destruction volontaire ouinvolontaire des données, la divulgationd’informations, la mauvaise qualité desprogrammes, du fait d’une altérationvo lo n ta i re ou par simple négligence ,l’exploitation ou l’utilisation anormaledes données archivées.
Il est donc indispensable d’avoir uneévaluation précise des risques, effec-tuée à partir d’un « audit des risquesi n formatiques ». Il ex i ste plusieursméthodes dont les plus connues et lesplus pratiquées sont les suivantes :
- MEHARI (MEthode Harmoniséed'Analyse de RIsques), mise au pointpar le CLUSIF (Club de la sécurité dess y stèmes d'information fra n ça i s ) .Elle succède en quelque sorte, quatorzeans après, à la méthode MARION( M é t h o d o logie d'Analyse de RisquesInformatiques Orientée par Niveaux). Laca ra c t é r i stique intrinsèque de la méthodeMEHARI est de permettre, non seule-ment l'évaluation réaliste des risquesmais également le contrôle et la gestionde la sécurité de l'entreprise sur court,moyen et long termes, quelle que soit la
répartition géographique du syst è m ed ' i n formation. https://www. c l u s i f. a sso.fr/
- EBIOS (Expression des Besoins etIdentification des Objectifs de Sécurité),conçue par la DCSSI (Direction Centralede la Sécurité des Systèmes d'Info r m a t i o n ) ,p l a cée sous l’ a u torité du SGDN (Secré ta r i a tGénéral de la Défense Nationale), quidépend lui-même du Premier ministre.EBIOS est une méthode d'appréciationet de traitement des risques relatifs à lasécurité des systèmes d'info r m a t i o n .http://www.ssi.gouv.fr/
- COBIT (Control Objectives fo rI n formation and re l a ted Te c h n o lo g y ) ,créée en 1996 par l’ISACA (InformationSystem Audit & Control Association),diffusée en Fra n ce par l'AFAI (Ass o c i a t i o nFra n çaise de l’Audit et du ConseilI n formatique). La méthode déco m p o s etout système informatique en 34 pro ce s-sus re g roupés en 4 grands domaines.h t t p : / / w w w. i s a ca . o rg/, http://www. a fa i . f r /
- FISCAM (Fe d e ral Info r m a t i o nSystem Controls Audit Manual), rédigéen 1999 par l’AIMD (Accounting andI n formation Management Division)dépendant du GAO (General AccountingOffice). http://www.gao.gov/
- CISA (Certified Information Syste m sA u d i tor), re connu par l’ I S ACA (vo i rC O B I T ) .
Signalons que certains courtiers oucompagnies d’ass u ra n ce pro p o s e n tégalement leur propre système d’éva-luation des risques comme par exemplele « Netscoring » mis en place parMARSH.
23
6Enjeux
Dans le ca d re de l’ e n t reprise, il se peutqu’une perte d’information se pro d u i s e ,due à des erre u rs de saisie, de tra n s m i ss i o n ,d’utilisation des informations, des erre u rsd ’ ex p lo i tation, de manipulation du syst è m eou des supports. Se pose ainsi la quest i o nde savoir dans quelle mesure les police sd ’ a ss u ra n ces co u v rent ce type de dommagesimmatériels indire c t s .
Ces derniers sont garantis par unco n t rat connu sous le nom d’« ex tension desrisques informatiques ». Une simple « ass u-ra n ce bureautique », visant à couvrir le sp e r tes matérielles dire c tes (dest r u c t i o n ,d é t é r i o ration, incendie, ex p losion, dégât deseaux…) subies par l’ a ss u ré ne jouera pasdans le ca d re d’une perte de données.
En effet, les juges ont une co n ce p t i o nt rès précise de la perte de données. Ainsia-t-il été jugé qu’une police d’ass u ra n cea yant pour objet de ne ré p a rer que le sdommages matériels directs n’avait pasvo cation à couvrir les pertes de données( CA Paris, Sté CPP c/ Compagnie ZurichA ss u ra n ces, 2 nov. 2003).
Il convient donc de fa i re particulière m e n ta t tention au choix de la police d’ass u ra n ce ,en prenant garde de bien préciser dansq u e l le mesure les dommages immatérielsi n d i rects sont pris en co m p te dans le co n t ra t .
Dans le domaine des pre stations info r m a-tiques de tiers arc h i vage, deux ass u ra n ce ss e m b lent particulièrement adaptées :
- l’ a ss u ra n ce responsabilité civile pro fe s-s i o n n e l le co u v re les dommages que peutsubir le client dans le ca d re de l’ exécution d’unco n t rat de pre stations de services à la suited’une fa u te commise par le tiers arc h i veur, surdeux plan :
• délictuel ou quasi délictuel, lo rsque le sdommages causés sont le fait des pré p o-sés, des matériels ou de l’ i n stallation ;
• co n t ractuel, lo rsque les dommagessont la co n s é q u e n ce d’un manquementà une obligation co n t ra c t u e l le .
E l le a pour objet de couvrir la re s p o n-sabilité de l’ a ss u ré à l’ é g a rd des tiers vic-times. Dans ce sens, une ass u ra n ce co n t reles risques pro fe ssionnels permet aup re sta ta i re, dans le ca d re d’un co n t rat dep re stations informatiques, d’être co u ve r tdans les limites prévues par la police desco n s é q u e n ces des dommages causés àl’ o ccasion de l’ exe rc i ce de ce t te activité det i e rs arc h i vage. Ainsi, les polices de typeresponsabilité civile d’ex p lo i tation, re l a t i ve saux dommages causés du fait du pers o n n e lou du fait des lo caux semblent appro p r i é e spour couvrir ce type de risque.
- l’ a ss u ra n ce de responsabilité du Synte ci n formatique (Chambre syndica le desSSII et des édite u rs de logiciels) est des-tinée aux sociétés de services info r m a t i-ques adhére n tes. Il s’agit d’une police detype co o p é ra t i f. Elle permet de gara n t i rles co n s é q u e n ces financières suppor-tées par un client de l’ a ss u ré à la suite dedommages dont il serait re s p o n s a b le .
C e t te ass u ra n ce est adaptée à la pro b l é-matique de l’ a rc h i vage dans la mesure oùe l le prend en co m p te les dommages ca u s é saux matériels et documents dive rs néce ss a i-res à l’activité de l’ a ss u ré qui lui sont co n f i é spour exe rcer son activité pro fe ss i o n n e l le .Sont notamment garantis les dommages quisont la co n s é q u e n ce dire c te d’une fa u te demanipulation des préposés de l’ a ss u ré .
Les dommages co u verts peuvent êtrematériels ou immatériels. Les dommagesmatériels ré s u l tent de la destruction oude l’endommagement des matériels info r-matiques ou de l’ a t te i n te co r p o re l le subiepar une personne physique. Les dommagesimmatériels peuvent co n s i ster en desp e r tes de ré s u l tat d’ex p lo i tation co n s é c u-t i ves à une perte du chiffre d’affa i res, declient ou de déficit d’image, par exe m p le .Pour l’ a rc h i vage, la perte de données re l a t i veà la co m p tabilité pourrait causer d’unepart, la perte d’une pre u ve amenée à êtreutilisée en just i ce, d’autre part, un fo r tcoup financier dans le ca d re d’un re d re s-sement fiscal par exe m p le.
Audit indispensable
Assurance internede perte de données
Assurance du tiers
Valeur del’information
Un audit des risques informatiques est incontournable aux fins de choisir lapolice d’assurance la mieux adaptée.
La perte de données en interne doit fa i re l’objet d’une ass u ra n ce particulière ,car elle n’a pas vo cation à être co u ve r te par les polices généra l i ste s .
La responsabilité vis-à-vis des tiers, enjeu particulièrement important dans le ca d rede l’ a rc h i vage, doit être, elle aussi, co u ve r te par une police d’ass u ra n ce spéciale .
Il faudra également être attentif au fait que dans le cadre d’un service de tiersa rc h i vage, le client vo u d ra co n n a î t re au pré a l a b le le montant de son indemnisationen cas de sinistre de son prestataire. Savoir à ce niveau que des assurancesspécifiques existent permettant de couvrir la valeur désirée par le client.
Recommandations
Contexte
Les données archivées dans l’entre-prise co n stituent un ensemble co m-plexe dont le volume ne cesse de croî-tre. Cet ensemble se présente sous desformes et des supports variés (y com-pris papier), selon des flux très diversdoit pouvoir être re stitué dans unco n tex te juridique ou utilisé par le séquipes métiers pendant une duré eparfois longue et enfin se voit rapide-ment confronté à l’obsolescence tech-nologique.
Bien sûr, l’archivage vise plutôt la findu cycle de vie des données mais ils’avère que la maintenance des don-nées tout au long du cycle de vie dépendaussi bien de la gestion après la capturedans le système d’archivage que de laqualité des données arc h i vées aumoment de cette capture.
Un bon archivage fait intervenir deschoix à plusieurs niveaux : critères desélection des données, choix des for-mats et supports, règles et mesures desécurité, mise à disposition et droitsd’accès, outils de recherche, matérielset logiciels de stockage, gestion interneou externalisée, règles et procéduresde destruction, compétences et coûts degestion.
On peut donc véritablement parlerde « st ratégie d’arc h i vage » car ladirection de l’entreprise doit arbitrerplusieurs options de gestion, selon lesrisques et les coûts identifiés.
Enjeux
La st ratégie d’arc h i vage de l’ e n t re-prise doit anticiper les co n s é q u e n ces de lanon disponibilité de l’ i n formation, auss ibien dans un environnement ré g le m e n-ta i re ou juridique, que dans le ca d re d’uneg e stion saine du patrimoine info r m a t i o n-nel de l’ e n t re p r i s e .
La st ratégie d’arc h i vage doit ainsi êtreg lo b a le et :
- adaptée aux besoins de l’ e n t reprise :si elle est sous-dimensionnée, les besoinsfo n d a m e n taux de re stitution de l’ i n fo r m a-tion risquent de ne pas être satisfaits ; sie l le est surdimensionnée, elle sera tro pco n t ra i g n a n te pour les utilisate u rs et tro pco û teuse ; de même les enjeux sont diffé-rents selon les activités de l’ e n t re p r i s e ,son ancienneté, la ta i l le et le flux des don-nées et leur criticité ;
- co h é re n te avec la politique généra lede l’ e n t reprise : une politique de sécuritét rès rigoureuse ou une démarche qualitét rès poussée ne peuvent donner to u sle u rs fruits sans une politique d’arc h i va g ede même niveau ; si l’ e n t reprise a un sys-tème de gestion des co n n a i ss a n ces trè sd éve loppé, il est logique d’avoir un sys-tème d’arc h i vage en co n s é q u e n ce pourp é renniser ces co n n a i ss a n ce s .
25
7Recommandations
Pour définir et pro m o u voir une st ra t é g i eg lo b a le d’arc h i vage dans l’ e n t reprise, on peuté n o n cer les re commandations suiva n tes :
Elaborationet diffusiond’un documentstratégique
Groupe de travailpluridisciplinaire
Risques
Archives papier
Qualité des données
Responsabilités
Externalisation
Réorganisationde l’entreprise
Procédures
Il est important que les grands principes d’organisation de l’archivage soit mis par écrit etvalidés par la direction générale. Il est même souhaitable que ce document soit opposableaux collaborateurs de l’entreprise. Ce document sera préparé par un groupe de travail quiétudiera et proposera à la direction générale des choix sur les aspects présentés dans lasuite du tableau. Ce document s’intitulera de préférence « politique d’archivage », maispourrait également s’appeler « charte d’archivage », etc.
L’ a rc h i vage co n cerne plusieurs acte u rs dans l’ e n t reprise. En co n s é q u e n ce la définition d’unest ratégie co h é re n te d’arc h i vage suggère de solliciter les différents acte u rs en pré s e n ce :
• direction de systèmes d’information ;• juriste ;• équipes métiers ;• archiviste, responsable documentaire ou records manager.
Ce groupe de tra vail tiendra co m p te des documents de ré f é re n ce déjà ex i stant sur la sécurité,la qualité, les co n t ra i n tes juridiques, l’ a ccès à l’ i n formation, les rè g les de co n s e r vation, etc .pour élaborer le document à soumettre à la direction généra le .
A p rès avoir identifié les co n t ra i n tes ré g le m e n ta i res en vigueur, au plan national et le ca séchéant international il s’ a g i ra d’évaluer les risques qu’il y a à arc h i ver ou à ne pas arc h i ve r.Il sera également utile d’analyser les incidents qui ont pu avoir lieu en lien avec des dys-fonctionnements d’archivage : données perdues, données indûment détruites, donnéesconfidentielles divulguées, document introuvable car non indexé ou mal décrit, donnéesanciennes illisibles, etc.
Même si l’archivage électronique se développe, il reste qu’un certain nombre de documentscontinuent d’être produits, archivés et conservés sous forme papier. Or il convient bien évi-demment de gérer les stocks d’archives papier pour les durées requises, parfois pluridécennales sachant que le support n’est pas discriminant pour la définition de la valeurd ’ a rc h i ve dans la mesure où les données de l’ e n t reprise, quel que soit leur support, fo r m e n tun to u t .La stratégie d’archivage doit être globale. Il est ainsi recommandé que les principes définispour l’archivage électronique s’appliquent aux archives papier dans le sens où il est impor-tant pour l’entreprise d’avoir une visibilité globale de toute son information archivée.
Les données et documents à arc h i ver doivent être créés de manière à ce qu’ils soient arc h i va b les :i n formations co m p l è tes, ré f é re n cées, validées et datées.Il faut par aille u rs ve i l ler à ne pas créer des informations confuses, fa u sses ou non auto r i s é e s ,notamment en poliçant l’utilisation de la messagerie électronique.La qualité touche aussi le problème de la fiabilité des données et de la redondance. Ainsipour les données produites en interne, le principe de l’archivage effectué par l’émetteurpeut être avantageusement retenu.
Plusieurs niveaux de responsabilité existent dans la gestion du cycle de vie de l’informationarchivée et ils doivent être identifiés et décrits :
• producteur de l’information ;• pro p r i é ta i re (qui a la maîtrise du co n tenu et valide la durée de co n s e r vation) ;• gestionnaire de l’information ;• utilisateur ;• administrateur du système d’archivage.
La question de l’externalisation de l’archivage se pose pour l’archivage électronique commepour l’ a rc h i vage papier. Les principaux critères de l’ ex ternalisation sont la qualité du service( co m p é te n ces et systèmes spécifiques disponibles ou non en interne), le coût global de l’ a rc h i va g e ,le rôle joué par un tiers dans le dispositif (voir la fiche « tiers archiveur »)
La politique d’arc h i vage doit être suffisamment généra le pour ne pas être remise en cause lo rsdes inév i ta b les ré o rganisations de l’ e n t reprise : re st r u c t u ration, fusion, rachat, suppre ss i o nd ’ e n t i t é s .Le devenir des données arc h i vées des entités qui changent de statut doit être anticipé,notamment la responsabilité du stockage et les incompatibilités éventuelles des systèmesd’archivage électronique des différentes entités.
La st ratégie d’arc h i vage doit être déclinée par un ce r tain nombre de pro cé d u res d’org a n i s a t i o ncomme ce l les de la sélection des données, de la mainte n a n ce au plan technique, de l’ a ccès etde la destruction (voir outils méthodologiques, fiche n°10)
Contexte
Dans un environnement où les te c h n o lo-gies ne ce ssent d’évoluer et de gagner enp e r fo r m a n ce ex t rêmement ra p i d e m e n t ,il semble tout à fait para d oxal de re c h e r-cher un système destiné ess e n t i e l le m e n tau moyen et au long terme, rô le pourta n ta ssigné à l’ a rc h i vage. A l’ i n ve rse le fa i tque les te c h n o logies évoluent laisse àpenser que l’on dev rait être ca p a b le det ro u ver la réponse aux besoins dese n t reprises qui sont pour le moins va r i é squant aux différents types de données àco n s e r ver, sur quelle durée et avec desvolumétries très va r i a b le s .Sur ce dernier point nous sommesa u j o u rd’hui largement familiarisé avec lanotion de gigaoctets (Go) et les mégaocte t s(Mo) sont pratiquement oubliés ; ra p p e-lons tout de même que 100 mégaocte t s(Mo) re p ré s e n tent le co n tenu d’une pile del i v res de 1 mètre de haut. On parle mêmede plus en plus de téra o c tets (To 1012 octe t s ),vo i re de péta o c tets ( Po 1015 octets) et pour-quoi pas bientôt d’hex a o c tets (Ho 1018 octe t s )et autre zetta o c tets (Zo 1021 octets) ou yo t-ta o c tets (Yo 1024 octets). A titre indicatif 2t é ra o c tets (To) co r respondent à tous le so u v rages d’une bibliothèque unive rs i ta i reet 2 péta o c tets (Po) aux fonds de to u tes le sbibliothèques unive rs i ta i res des EtatsUnis !En ce qui concerne les différentes tech-nologies disponibles à ce jour disonsqu’il existe en fait deux grands types desupports : magnétiques et optiques.Pour ce qui est de l’utilisation des holo-grammes ou des nano technologies ilfaudra encore attendre un peu avant dep o u voir disposer de supports vé r i ta b le-ment ex p lo i ta b les et pré s e n tant une nettea m é l i o ration tant en capacité qu’en te m p sd ’ a ccès par rapport à ceux ex i sta n t s .
Les supports magnétiques : d’un point devue technique, s’ a g i ssant d’info r m a t i q u eet donc d’un environnement binaire, ilfaut être ca p a b le de re p é rer deux éta t sre p ré s e n tants re s p e c t i vement le 0 et le 1.Ceci est obtenu sous l’effet d’un champmagnétique, par polarisation dans unsens ou dans l’ a u t re des particule sd’oxyde de fer présentes à la surface dusupport. L’on distingue essentiellementdeux grandes fa m i l les de supportsmagnétiques, les bandes magnétiqueset les disques.
Les bandes se pré s e n tent sous plu-sieurs formats DAT (Digital Audio Tape),
DLT (Digital Linear Tape), LTO (LinearTape-Open), AIT (Advanced IntelligentTape) pour ne citer que les plus connus.Les différe n ces sont dire c tement fo n c t i o ndes capacités, des débits ainsi que de lalongévité annoncée par les fabricants.Une bande au format ultrium LTO3 permetpar exemple d’atteindre des capacitésde quelque 400 Go. Quoiqu’il en soitl’usage de juke box est néanmoinsi n d i s p e n s a b le lo rsqu’il s’agit d’arc h i va g eafin de pouvoir atte i n d re des ca p a c i t é sde l’ o rd re du To .En ce qui co n cerne les disques plusieurstechnologies existent qui sont plus par-ticulièrement dédiées à l’archivage dufait de la conjonction de deux phénomènes.Le premier est incontestablement uneréduction drastique des coûts grâce àl’utilisation de la norme SATA (SerialAdvanced Technology Attachment) dis-posant d’une connectique simplifiée.Le second phénomène résulte de l’évo-lution de la notion même de WORM( W r i te Once Read Many) initiale m e n tpurement physique, vers un aspect pluslogique. Sans vo u loir être ex h a u stif nousp o u vons citer différents co n st r u c te u rset te c h n o logies associées : EMC (Cente ra ) ,HP (RISS pour Refe re n ce Info r m a t i o nS to rage System), HITACHI (Data Rete n t i o nUtility), IBM (To ta l S to rage Data R e te n t i o nx50), Network Appliance (Snap Lock). Ceste c h n o logies à base de disques permette n td ’ a t te i n d re des capacités de l’ o rd re du Po .
Les supports optiques : par rapport à late c h n o logie magnétique la différe n ceentre le 1 et le 0 se fait en réalité sur lap ré s e n ce ou l'absence d'un « trou » dansle support. Au moment de la le c t u re lerayon laser traverse donc plus ou moinsde matière et génère du même coup uncourant plus ou moins fort. Tout commepour les supports magnétiques l’on dis-tingue deux grandes fa m i l les de supportsoptiques, celle des CD et DVD et lafamille des disques magnéto optiques(MO) et UDO (Ultra Density Optical).
La différence entre ces supports résidedans le fait qu’ils sont ou non réinscrip-tibles et dans leur capacité de 700 Mopour un simple CD à plus de 30 Go pourun disque UDO. Cette dernière te c h n o lo g i eo f f re la perfo r m a n ce du disque magnétooptique de 5,25", la lo n g évité des disquesnon ré i n s c r i p t i b les de 12" et la re n ta b i l i t édu DVD. Tout comme pour les bandes ilex i ste des juke - b ox destinés ess e n t i e l le m e n t
27
8aux MO et UDO pouvant atteindre plu-sieurs To lorsqu’ils sont utilisés avecdes disques UDO.
Enjeux
Le choix d’une solution technique d’arc h i-vage co m p o r te ess e n t i e l lement deux enjeux:
1. le premier des enjeux co n s i ste àt ro u ver la te c h n o logie la mieux adaptée àses besoins. En effet, ainsi que nousl’ a vons évoqué pré cédemment les entre-prises sont loin d’avoir to u tes les mêmesbesoins en matière de volumétrie, d’ac-ce ssibilité et de durée de co n s e r vation desdonnées arc h i vé e s .
2. le second des enjeux sera ess e n t i e l le-ment d’ord re économique afin de bien pre n-d re en co m p te les aspects opérationnels dus y stème sous l’ a n g le de son ex p lo i ta t i o n .En effet à quoi servirait de re tenir parexe m p le une te c h n o logie sur bandes, apriori la moins chère au gigaoctet sto c ké ,si cela néce ss i te par aille u rs et co m p tetenu de la durée envisagée, de nombre u s e so p é rations en matière de te sts de re le c t u re ,vo i re de migrations qui auront pour principalm é r i te d’augmenter très fo r tement le co û tg lobal de l’ a rc h i va g e .
Recommandations
Pour choisir une te c h n o logie d’arc h i va g e ,p l u s i e u rs points dev ront être étudiés :
Evaluer les besoinsd’archivage identifiés
Evaluationdes systèmesexistants
Interopérabilitéet partagede ressources
Mutualisation
Temps d’accès
Montée en chargeet volumétrie
Stockage
Coûts directset coûts associés
Autres coûts
Pérennité duconstructeur/éditeur
Réorganisations del’entreprise
La première chose à faire consiste à bien définir ses besoins : • volumes de données ;• types de données (entre autres données à valeur légale ou non) ;• durée de conservation des données ;• fonctionnalités de gestion et de co n s u l tation, ex i g e n ces de tra çabilité et
de destruction ;• etc.
A partir des besoins, il est important d’évaluer en quoi les systèmes existants yrépondent ou n’y répondent pas. Il est recommandé de prendre en considération lefait que très souvent existent des pratiques d’archivage sur des systèmes parallèles(disques partagés, disques personnels).
La question de l’interopérabilité est fondamentale afin de ne pas s’enfermer dans unsystème « propriétaire », si performant soit-il d’autant que le plus souvent, l’outildevra pouvoir communiquer avec les autres composantes du système d’informationou partager des ressources.
Il peut être intéressant dans le cadre d’une première implémentation d’un systèmed’archivage électronique de le considérer comme un véritable backbone d’archivagedestiné à être mutualisé avec d’autres besoins déjà identifiés ou à venir et de prévoirainsi son évolutivité.
Le temps d’accès à l’information est un critère important qui dépend largement dubesoin de chaque entreprise : soit l’accès à l’information archivée est toujours urgentde l’ordre de la seconde, soit il peut attendre plusieurs minutes voire davantage. D’oùl’importance de bien définir ses besoins avant d’entamer la recherche de la solutionla mieux adaptée.
C’est un point difficile à évaluer réellement lors d’une simple présentation. Dans lamesure où la question de la volumétrie est importante et doit être assortie de perfor-mances constantes en matière d’accès, il faudra obtenir des garanties du fournisseur.La visite d’un site en exploitation chez un de ses clients est également fortementconseillée.
Vérifier si les modalités de stockage co r respondent aux besoins et aux souhaits de l’ e n-t reprise, à savoir en ligne (on line), en différé (off line) ou en léger différé (near line).
Plutôt que de considérer un simple prix d’achat de matériel et des supports il estrecommandé de faire une simulation d’exploitation sur au moins trois ans sansoublier d’y inclure les coûts associés comme celui de la maintenance.
Afin d’éviter toute surprise il est également prudent de prendre en compte d’autrescoûts comme :
• administration du système ;• migration des données et améliorations du matériel ;• besoin d’entretien et manutention des supports ;• copie de sécurité ;• autres facteurs propres à l’installation.
La pérennité du constructeur est à prendre en considération même si effectivementrien ne peut la garantir à 100 %. Ainsi la reprise ou le transfert des données, doiventêtre précisément envisagés (modalités et coût).
Les réorganisations (y compris les fusions et acquisitions) font partie des événe-ments courants de la vie des entreprises. Il est ainsi préférable que les systèmesd’archivage soient compatibles ou du moins qu’on puisse mutualiser les outils derecherche.
29
9Contexte
Le marché propose aujourd’hui unpanel assez large et dive rsifié de solutionsd ’ a rc h i vage qui se précise et se co m p l è ted’année en année. La typologie des pro-duits va du co f f re - fort à la solution géné-ra le qui englobe l’ a rc h i vage dans la ges-tion du cyc le de vie co m p let des données(ILM). Les produits du marché mette n ttantôt l’ a ccent sur la gestion de co n te n u ,tantôt sur l’ a rc h i vage légal (l’ ex p re ss i o ne st répandue mais il serait plus exact ded i re « arc h i vage à des fins de pre u ve »). Ilsvisent tantôt l’ e n s e m b le des données del’ e n t reprise (incluant parfois les donnéessur les arc h i ves papier), tantôt un typed ’ i n formation ou un format de documentbien spécifique, tel que les mess a g e sé le c t ro n i q u e s .
De même, les entreprises clientes ontdes besoins et des atte n tes variés :
- données à arc h i ver ess e n t i e l le m e n tsur le court ou moyen terme, ou auco n t ra i re sur le long terme ;
- p e ta o c tets (Po) de données scientifi-ques ou gigaoctets (Go)de docu-ments à va leur pro b a n te ;
- e n t reprise ré g i o n a le ou inte r n a t i o-n a le avec de nombreuses filiales ;
- etc .
La re c h e rche d’un logiciel co r re s p o n dà la meille u re relation entre son besoin etl’ o f f re du marché. To u te fois tous le sbesoins identifiés n’ont pas enco re tro u véleur solution d’arc h i vage idéale. Pa rexe m p le, l’ ex t raction de données des ERPpour les arc h i ver en fonction de leur duré ede co n s e r vation re s p e c t i ves re ste un pro-blème non ré s o l u .
Enjeux
On peut dire que le choix d’une solutiond ’ a rc h i vage co m p o r te deux enjeux princi-paux :
1. le premier est de sélectionner l’ o u t i lle mieux adapté à sa situation. En effet, le se n t reprises n’ont pas les mêmes besoinsdu fait d’un ce r tain nombre de ca ra c t é r i s-tiques : ta i l le et ancienneté de l’ e n t re-prise, types de données et de pro ce ss u s ,volumes en cause, ava n tages et inco n vé-nients des systèmes ex i stants, ex i g e n ce sp a r t i c u l i è res de sécurité, fré q u e n ce desco n s u l tations, part ré c i p roque de la ges-tion de la tra çabilité (intégrité, suivi desm o d i f i cations, pérennité) et de la gest i o ndes co n n a i ss a n ces (ex p lo i tations desco n tenus), etc ;
2. le second est de ne pas minimiserles aspects organisationnels de l’ a rc h i-vage, avant et à côté des aspects te c h n i-ques. Il arrive que des pro ce ssus bienrôdés tro u vent fa c i lement un logiciel d’ar-c h i vage ; dans d’autres cas, ce ne sont pastant les logiciels qui ne sont pas adaptésaux pro ce ssus et aux données que l’ i n-ve rse ! Il n’est pas ra re en effet que le sp ro ce ssus doivent être repensés pour quela solution technique pro c u re to u te sone f f i cacité. En amont, le pro ce ssus et le sdonnées doivent être « lissés » pour év i te rde co m p lexifier inutilement les fo n c t i o n-nalités de l’outil. Par exe m p le, le fait deco n s e r ver un raisonnement « papier » enc h o i s i ssant un outil, ou le fait de fa i re desd éve loppements en dehors des besoinsréels des utilisate u rs, peuvent co n d u i re àdes lo u rd e u rs dommageables qui ne sontpas le fait de l’outil au départ. En aval, il nefa u d ra pas négliger l’ a ccompagnement duchangement pour les utilisate u rs, defa çon à ce que des systèmes para l l è les nes u b s i stent pas, ou pire, ne se créent pas,sous pré tex te que le logiciel ne ré p o n d ra i tpas à ce r tains besoins des utilisate u rs, ouque ceux-ci cro i raient qu’il n’y répond pas.
Recommandations
Pour l’acquisition d’un logiciel d’arc h i va g e ,p l u s i e u rs points dev ront être étudiés :Chiffrer les besoinsd’archivage
La première étape est de définir ses besoins : • gestion du cycle de vie des données y compris la phase d’archivage, gestion du
cycle d’archivage dès la création (à partir du moment où les données ne sontplus modifiées) ou archivage secondaire (après une phase d’archivage actif) ;
• volumes et types de données ;• fonctionnalités de gestion et consultation, exigences de traçabilité
et de destruction ;• etc.
Evaluationdes systèmesexistants
Solution du marché,logiciel libre oudéveloppement spécifique ?
Interopérabilitéet partage deressources
Facilités d’indexation
Accès (temps)
Accès (sécurité)
Montée en chargeet volumétrie
Stockage
Coût du logiciel
Coûts associés
Pérennité dufournisseur/éditeur
Réorganisationsde l’entreprise
Unicité du logicield’archivage
Le besoin une fois défini, il est important d’évaluer en quoi les systèmes existants yrépondent ou n’y répondent pas. Il est recommandé de prendre en considération lefait que très souvent, à côté des systèmes « officiels » gérés par la direction des sys-tèmes d’information, il existe des pratiques d’archivage sur des systèmes parallèles(disques partagés, disques personnels, gravage de CD, etc.).
Chacune de ces approches a ses partisans. L’essentiel est de bien prendre la mesurede ses choix, étant entendu que les changements de politique auront un coût qu’ilvaut mieux connaître et si possible éviter. On trouve dans la presse spécialisée uncertain nombre de témoignages d’abandon du marché vers le libre et du libre pourrevenir au marché. Dans les deux cas, il est souhaitable de prendre en compte lesquestions techniques de récupération des données et de maintenance.Il est recommandé de limiter le développement spécifique à des projets eux-mêmestrès spécifiques pour lesquels, même après reconfiguration des processus (cf ci-des-sus enjeu n° 2), le marché ou le libre n’offre aucune solution satisfaisante.
La question de l’interopérabilité est fondamentale sauf dans les cas particuliers où lacommunauté d’utilisateurs serait par définition limitée et fermée.Le plus souvent, l’outil devra pouvoir communiquer avec les autres composantes dusystème d’information ou partager des ressources telles qu’une base de données ouun thésaurus avec d’autres applications. L’interopérabilité avec l’extérieur, mêmepour un outil d’archivage, peut être un besoin fort et doit être étudiée.
Vérifier les facilités d’indexation automatique et d’indexation par mots-clés et sur-tout la complémentarité ou la co-existence des deux systèmes, en fonction desbesoins exprimés par les utilisateurs. Garder à l’esprit le fait que l’offre technologi-que accroît les besoins des utilisateurs.Vérifier éventuellement que l’outil permet de hiérarchiser les résultats de rechercheet de faire des recherches en cascade.
Le temps d’accès à l’information est un critère de choix mais qui dépend largementdu besoin de chaque entreprise : soit l’accès à l’information archivée est toujoursurgent (besoins de chercheurs ou de juristes par exemple), soit il peut attendre plu-sieurs minutes voire davantage. Là encore, il est préférable d’avoir défini ses besoinsavant la recherche de la solution satisfaisante.
De la même façon, les données archivées peuvent être hautement confidentielles(données commerciales) ou en partie publiques (certaines données administrativesou documentaires). Cet aspect devra être évalué en fonction du besoin identifié.
C’est un point qui ne peut être évalué lors d’une simple démonstration. Si la questionde la volumétrie est importante, il faut obtenir des garanties de l’éditeur et unedémonstration grandeur réelle sur site de l’éditeur ou chez un de ses clients.
Vérifier si les modalités de stockage correspondent aux besoins et aux souhaits del’entreprise : en ligne (on line), en différé (off line) ou en léger différé (near line).
Analyser l’ensemble des éléments de facturation : serveur, client, microprocesseur.Il est fortement recommandé de faire une simulation d’exploitation sur trois ans.
Dans cette simulation d’exploitation, il ne faudra pas oublier d’inclure les coûts asso-ciés de maintenance (évolutive ou corrective) voire d’autres types de coûts.
La pérennité du fournisseur est à prendre en compte même si rien ne peut la garan-tir à 100 %. Ainsi la reprise ou le transfert des données, la récupération des codessources doivent être précisément envisagés (modalités et coût).
Les ré o rganisations (y compris les fusions et acquisitions) font partie des évé n e m e n t sco u rants de la vie des entreprises. Il est pré f é ra b le que les systèmes d’arc h i va g esoient co m p a t i b les ou du moins qu’on puisse mutualiser les outils de re c h e rche. Ceciplaide aussi pour des solutions modérément sophistiquées et des pro cé d u res unifiées.
L’unicité du logiciel d’archivage pour l’ensemble de l’entreprise ou du groupe n’estpas systématiquement l’idéal. Plusieurs logiciels peuvent ainsi cohabiter si cela estjustifié par un partage des périmètres et des fonctionnalités (dans l’espace ou dansle temps) d’où l’importance de l’interopérabilité.
31
1 0Contexte
Les solutions techniques ne suffisentpas à gérer l’ a rc h i vage. Une part nonn é g l i g e a b le du pro ce ssus d’arc h i va g es’appuie sur des outils méthodolo g i q u e squi aident à clarifier les besoins, à org a n i s e rle périmètre documenta i re et à acco m p a g n e rle cyc le de vie des informations arc h i vé e s .
On connaît les problèmes posés parl’ a cc ro i ssement exponentiel du volume desdonnées (notamment pour la mess a g e r i eé le c t ronique) de même que les pro b l è m e sposés par l’ o b s o le s ce n ce des fo r m a t s ,des supports et des outils de le c t u re. Maisl’ h é t é rogénéité des données est un défitout aussi difficile à re leve r.
En effet, on co n sta te que l’ i n fo r m a t i o ne st variée, pléthorique, re d o n d a n te (re co-pie des données ou re co u v rement de l’ i n-formation), pas to u j o u rs finalisée ni va l i-dée ou, du moins, pas tra cée comme ellele dev rait. De fait, les questions queposent de plus en plus les décideurs et le su t i l i s a te u rs sont :q u e l les données et quels documentsa rc h i ver ? à quel moment ? pendant co m-bien de temps ? comment les re t ro u ve rquand j’en aurai besoin ? fe ront-ils fo ifa ce un à audit ou lo rs d’un co n tentieux ?
Il n’est pas poss i b le de tra n s p o s e rdans le monde numérique des pro ce ss u sé l a b o rés naguère dans un enviro n n e m e n tco n t raint par la matérialité du papier.L’ i n formatique permet plus et exige plus.Il faut donner plus d’attention à la gra n u-larité de la donnée et à la tra çabilité del’ i n fo r m a t i o n .
D i ve rses initiatives ont été prises aun i veau national et international pour ré p o n d reà ces nouveaux défis. Des normes ex i ste n tdont il est utile de s’ i n s p i rer pour gagner dutemps, fiabiliser l’ a rc h i vage et optimiser lag e stion de l’ i n fo r m a t i o n .
Enjeux
L’enjeu de l’ a rc h i vage « méthodique »e st de maîtriser non seulement la fo r m emais aussi le co n tenu de ce que l’ o na rc h i ve. Si on ne peut re t ro u ver l’ i n fo r m a-tion ou que ce t te information n’est pas fia-b le, l’ a rc h i vage n’a tout bonnement servi àr i e n .
On le voit bien pour la mess a g e r i eé le c t ronique : arc h i ver des mess a g e si n co m p lets ou inco m p ré h e n s i b les parceque rédigés en st y le télégraphique ave cdes allusions équivoques, pré s e n te uni n t é rêt limité. Ainsi sto c ker pendant desannées des giga ou te ra o c tets de mailsdont on sait pertinemment que plus de 90% sont périmés et ne produisent que dubruit dans les re q u ê tes est inutile m e n tco û teux. Et pourtant, les quelques pour-cents de mails « arc h i va b les » doive n tp o u voir être traités pendant leur duré ed’utilité, qui peut atte i n d re 10 ans ou plus.Il est vrai que si la création des mess a g e sé tait soumise à des rè g les de gestion plusr i g o u reuses, les mails sensibles sera i e n tplus fa c i les à identifier et leur arc h i va g eplus fa c i le à auto m a t i s e r.
Recommandations
On peut distinguer trois outils métho-d o logiques majeurs pour un bon syst è m ed ’ a rc h i vage :
1. l’ é n o n cé par la direction généra ledes principes dire c te u rs ou politique d’ar-c h i vage (policy) au niveau global de l’ e n-t reprise : définition des données docu-ments de l’ e n t reprise (par opposition auxdocuments de ca ra c t è re privé), énoncédes responsabilités de chacun dans lac réation, la co n s e r vation et la dest r u c t i o ndes données. Un tel document est parfo i sappelé « charte d’arc h i vage » ;
2. un ré f é rentiel de co n s e r vation, leplus souvent sous forme de ta b leau, quiindique pour chaque type ou catégorie dedonnées/documents, les rè g les de class e-ment et d’arc h i vage : quelle durée deco n s e r vation (motivée), quel support d’ar-c h i vage, quels droits d’accès ;
3. des pro cé d u res : comment opére rco n c rè tement, qui fait quoi, quand et où ?
L’outil ré f é rentiel de co n s e r va t i o nco n s i ste à st r u c t u rer les données et le sdocuments et à les qualifier de manière àp e r m e t t re leur mainte n a n ce et le u rex p lo i tation pendant to u te la périoderequise. Le plan de classement le pluse f f i ca ce est celui qui s’appuie sur les acti-vités pérennes de l’ e n t reprise plutôt quesur l’ o rg a n i g ramme dans la mesure oùcelui-ci n’est pas sta b le .
Pour chaque activité ou pro ce ssus, ondécrit les données ré s u l tant de ce t te acti-vité ou de ce pro ce ssus, co n stituées enséries ou en doss i e rs, eux-mêmes co n st i-tués de documents auxquels sont atta-chés des pièces just i f i ca t i ves ou des info r-mations te m p o ra i re s .
Chaque catégorie de données este n s u i te qualifiée par rapport à :
- sa durée de co n s e r vation et le motifde ce t te durée (ré f é re n ce légale, éva l u a-tion d’un risque de non disponibilité, uti-lité documenta i re interne) ;
- son degré de confidentialité ;- son support d’arc h i va g e .Quelques pages suffisent généra le-
ment à décrire, de fa çon à la fois synthéti-que et efficiente, l’ e n s e m b le de l’ i n fo r m a-tion arc h i va b le de l’ e n t reprise. Il est indis-p e n s a b le de réviser le ré f é rentiel deco n s e r vation chaque année, afin d’y inté-
g rer les évolutions ré g le m e n ta i res, org a-n i s a t i o n n e l les et te c h n o logiques impac-tant la production de l’ i n formation : nou-ve l les durées de co n s e r vation, nouve a u xtypes de données, changements des outilsde production des données.
Les éléments à arc h i ver sont en géné-ral co n stitués de leur co n tenu auquel ona ssocie des données co m p l é m e n ta i re sre l a t i ves au co n tex te (descriptives : ori-gine, auteur,… ou administ ra t i ves : dro i t s ,d u rée,…), à la st r u c t u ration de l’ i n fo r m a-tion, vo i re à la pré s e n tation de la donnée.L’ e n s e m b le de ces données co m p l é m e n-ta i res co n stitue les métadonnées eng é n é ral re p résentées grâce au langageXML. XML ou eXte n s i b le MarkupLanguage est donc un langage à balisesqui permet de mettre en forme un docu-ment et de définir ses pro p res balisesco n t ra i rement au HTML (HyperText Mark-Up Language). Afin de vérifier qu’un docu-ment XML est co n forme à une synta xedonnée on peut utiliser un document typeou Document Type Definition (DT D ) .
L’ a rc h i vage exige par aille u rs des pro-cé d u res pour que cré a te u rs, gest i o n n a i-res et utilisate u rs co n n a i ssent le u rs re s-ponsabilités et les tâches co n c rè tes quileur inco m b e n t .
Les pro ce ssus d’arc h i vage, déclinés enp ro cé d u res plus détaillées sont au nom-b re de trois :
1. identification et ca p t u re :• identifier les données et les documents
à arc h i ver par rapport à l’ e n s e m b le desdonnées et documents produits ;
• év i ter l’ a rc h i vage en multiples exe m-p l a i res en désignant un re s p o n s a b lede l’ a rc h i vage (souvent l’ é m e t te u rpour les documents produits mais pasn é ce ss a i rement) ;
• fa c i l i ter la ca p t u re automatique desdonnées par des rè g les de nommageet de classement ;
• vérifier la qualité des données arc h i vé e s( i n formation co m p l è te, co h é re n te etré - ex p lo i ta b le) ;
• définir les métadonnées néce ss a i re set suffisantes pour gérer chaquecatégorie de données : prove n a n ce(activité, auteur, dest i n a ta i re, co n tex te ) ,mots-clés, ra t tachement à un doss i e r ,documents liés, format, applica t i o nd’origine, support, indice de sécurité,d roits d’accès ;
33
• a ss u rer l’intégrité et donc la tra ça b i l i t é ,dès la validation du document, c’est - à -d i re depuis le moment où il acquiert sava leur de pre u ve et de témoignage.
2. Conservation et destruction :• a ss u rer la pérennisation des données
pendant leur cyc le de vie ; déte c ter lad é g radation des formats et des supports.Le cas échéant, pro g rammer et effe c t u e rles migrations ;
• t ra cer tous les éléments qui affe c te n tla vie de l’archive : consultation,m o d i f i cations de métadonnées, re -s i g n a t u re, migration, etc. ;
• o rganiser la destruction des donnéespérimées, pour des raisons de bonneg e stion (coût et risque du sto c k a g ei n u t i le), d’obligation légale (cas desdonnées pers o n n e l les) et de fiabilitédu fonds d’arc h i ves (to u tes les info r m a-tions sto c kées doivent être pertinente s ) .
3. Accès :• p e r m e t t re de savoir rapidement et ave c
certitude si l’ i n formation re c h e rc h é eex i ste, est arc h i vée et où elle se tro u ve ;
• fournir l’ i n formation à l’ u t i l i s a te u rdans les délais demandés ;
• ne donner accès qu’aux pers o n n e shabilitées mais s’ a ss u rer que le sh a b i l i tations sont à jour (à voir ave cl’ a n n u a i re d’entreprise et éve n t u e l le-ment d’autres applica t i o n s ) .
Bien évidemment, il est pré f é ra b le dedisposer de l’ e n s e m b le de ces outilsm é t h o d o logiques avant de choisir un lo g i-ciel d’arc h i vage (voir fiche 9)
On peut citer un quatrième outil,ré s e r vé à l’ a d m i n i st ra teur général de l’ a r-c h i vage (re co rds manager), qui est unta b leau de bord des données arc h i vé e s ,afin de pouvoir dire à tout moment si te ltype de données ou de documents ex i ste ,si tout ce qui devait être arc h i vé l’a été, quien est le re s p o n s a b le juridique, qui en estle gest i o n n a i re, avec quel outil, où se tro u-vent les données, si elles ont été détrui-tes,… Les entreprises ont de plus en plusbesoin d’un tel outil qui pro c u re une visibi-lité glo b a le sur une question souvent elle -même glo b a le .
Les principales normes ou guides pourl’ a rc h i vage :- guide de l’ a rc h i vage éle c t ro n i q u e
sécurisé, Association Ialta Fra n ce ,2000 : re commandations pour lamise en œuvre d’un système d’arc h i-vage interne ou ex terne utilisant destechniques de sce l lement aux fins deg a rantir l’intégrité, la pérennité et lare stitution des informations, ouvra g eco l lectif sous la direction de MichelL e s o u rd, juillet 2000 ;
- norme fra n çaise NF Z42-013 :re commandations re l a t i ves à laco n ception et à l’ ex p lo i tation de sys-tèmes informatiques en vue d’ass u-rer la co n s e r vation et l’intégrité desdocuments sto c kés dans ces syst è-mes, 2001 ;
- norme inte r n a t i o n a le ISO 19005-1sur le format PDF/A (“A” co m m e“ a rc h i ve”), appro u vée de fa çon una-nime en juin 2005, dev rait êtrepubliée en septe m b re 2005 ;
- ISO 15489 associée à la méthodolo g i eDIRKS (Design and Imple m e n ta t i o nof Reco rd keeping Systems) d’implé-m e n tation en 8 étapes d’un syst è m eg lobal d’arc h i vage :
1. enquête pré l i m i n a i re ;2. analyse des activités ;3. i d e n t i f i cation des ex i g e n ce s
a rc h i v i stiques ;4. évaluation des systèmes ex i stants ;5. i d e n t i f i cation de la st ra t é g i e
pour la satisfaction des ex i g e n ces ;6. co n ception d’un système d’arc h i vage ;7. mise en œuvre ;8. co n t rô le .- le modèle MoReq (Model Require m e n t s
for the Management of Ele c t ro n i cR e co rds / Modèle d’ex i g e n ces pour l’ o r-ganisation de l’ a rc h i vage éle c t ro n i q u e ) ,publié par la Commission Euro p é e n n een 2001 : http://www. co r n we l l . co . u k /m o req.html et http://www. a rc h i ve 1 7 . f r /M o R e q _ e n _ f ra n cais.pdf, en co u rs derévision MoReq2 ;
- m o d è le OAIS (système ouvert d’arc h i va g ed ’ i n formations), devenu la normei n te r n a t i o n a le ISO 14721 : descriptionde l’ o rganisation et du fo n c t i o n n e m e n td’un ce n t re d’arc h i vage pour la pére n-nisation des données numériques :h t t p : / / v d s . c n e s . f r / p i n / d o c u m e n t s /p ro j e t _ n o r m e _ o a i s _ ve rs i o n _ f ra n ca i s e . p d f.
1 0
Contexte
Les arc h i ves co n stituent « l’ e n s e m b ledes documents, quelles que soient le u rd a te, leur forme et leur support matériel,p roduits ou reçus par to u te personne physiqueou mora le et par tout service ou org a n i s m epublic ou privé dans l’ exe rc i ce de le u rsactivités » (article L. 211-1 du Code dup a t r i m o i n e ) .
Il ex i ste quelques risques afférents àl’ a rc h i vage interne (effectué au seinmême de l’ e n t reprise) en matière dep re u ve. L’ a rc h i vage ex terne est ainsi pré-f é ra b le pour deux raisons :
- la mutualisation et donc le parta g edes coûts ;
- le pro fe ssionnalisme de la solution,gage supplémenta i re de la fo rce pro-b a n te des éléments arc h i vé s .
To u te fois, un arc h i vage interne estp a r fois obligato i re par exe m p le pour le sco l lectivités te r r i to r i a le s .
Le tiers arc h i veur est une pers o n n ephysique ou mora le qui est en charg e ,pour le co m p te du client, de la ré ce p t i o n ,de la co n s e r vation et de la re stitution dedocuments éle c t roniques (écrit, signature ,ce r t i f i cat, jetons d’horo d a tage, donnéesde co n n exion, etc.) et des données qui ysont jointe s .
Dans un environnement info r m a t i q u e ,on a fréquemment re co u rs à un pre sta-ta i re ASP (Application Service Prov i d e r ) ,en fra n çais FAH. (Fo u r n i sseur d’A p p l i ca t i o n sH é b e rgées). Le co n cept ASP prend la fo r m ed’une mise à disposition de pro g ra m m e si n formatiques et de services auxquelsl’ e n t reprise peut accéder à dista n ce( i n ternet, VPN ou réseaux privés), moye n n a n tle ve rsement d’une re d eva n ce. Ce modèleASP est amené à se déve lopper en matièred ’ a rc h i va g e .
Le Contrat d’arc h i vage ex terne (ASP)e st un co n t rat par lequel un client pass epar un tiers disposant d’une plate - fo r m ei n formatique pour effectuer les pre sta t i o n sd ’ a rc h i vage auxquelles il est légale m e n ttenu ou non. Le tiers arc h i veur agit pour leco m p te du client et en son nom (article1984 Code civil). On est donc en pré s e n ced’un co n t rat de mandat. En matière d’ar-c h i vage éle c t ronique, le tiers arc h i veur ala possibilité de changer le support ou leformat physique de l’ a rc h i ve. C’est d’aille u rsun des intérêts de passer par un pre sta-ta i re de services d’arc h i vage ex terne quiutilise des moyens permettant de gara n t i rl’intégrité du document arc h i vé et ainsi safo rce pro b a n te vo i re sa va l i d i t é .
Enjeux
Il est néce ss a i re de mettre en place unco n t rat re p renant les fo n c t i o n n a l i t é sa t tendues du service d’arc h i vage ex te r n e .Les obligations et les responsabilités dut i e rs arc h i veur dev ront être pré c i s é e s .A titre indicatif nous cite rons les obligationss u i va n tes auxquelles est soumis le tiersa rc h i veur :
- obligations de fiabilité : un arc h i va g eà vo cation pro b a to i re doit être fiableet sécurisé ;
- obligation d’intégrité et de pré s e r va-tion des données : le tiers arc h i ve u rdoit ainsi garantir le maintien desdonnées inta c tes et les pré s e r ver deto u te altération, modification ou des-truction (prise en co m p te du parta g ede responsabilité en cas de virusi n formatiques, par exe m p le) ;
- re s p e c ter les conditions tenant à laréve rsibilité : hypothèse du changementde pre sta ta i re ou de l’ a r rêt de l’activité ;
- a ss u rer la sauve g a rde des donnéesqui lui sont confiées : sur un autres i te d’arc h i vage par exe m p le ;
- p e r m e t t re la re stitution des documentsa rc h i vés : sur tout type de support, deformat, etc. défini avec le client ;
- obligation d’information : le tiers arc h i-ve u r i n fo r m e ra le client à chaquem o d i f i cation du service d’arc h i va g e .
Il en sera ainsi notamment pour :• L’ajout d’une nouve l le applica t i o n
i n formatique ;• La modification substa n t i e l le d’une
de ses applications ;• Le changement de système d’ex p lo i-
tation ou de système de gestion desbases de données ;
• Le changement de pre sta ta i re d’ex-p lo i tation informatique. Même ave cl’ a u torisation du client, le tiers arc h i-veur est alo rs tenu d’une obligation des u r ve i l l a n ce du pre sta ta i re subst i t u é( B u l letin des arrêts Cour de Cass a t i o n ,
1 1
35
C h a m b re civile 1, n°163, audience du2 9 / 5 / 1 9 8 0 ) .
D ’ a u t res obligations à la charge du tiersa rc h i veur sont liées à l’ exécution de la pre s-tation. Le tiers arc h i veur doit notamment :
- disposer d’une capacité de sto c k a g es u f f i s a n te pour pouvoir ass u rer sansd i s continuité la prise en charge desdocuments ;
- mettre en place un niveau de sécuritéphysique et logique suffisant. Lesmesures de sécurité étant établies etdocumentées en fonction des besoins ;
- co n s e r ver l’ i n t é g ralité des élémentsqui lui ont été confiés ;
- ne communiquer les documents arc h i vé squ’aux dest i n a ta i res désignés dans leco n t rat, et cela même après que leco n t rat ait pris fin ;
- p e r m e t t re un accès direct et sécuriséau client pour co n s u l ter les arc h i ves ;
- d o c u m e n ter et permettre l’audit desp ro cé d u res d’arc h i vage, de migra t i o nde support et de re stitution ;
- p re n d re une ass u ra n ce co u v rant le srisques liés à l’ exécution du co n t rat ;
- détruire les éléments reçus à lademande du client et fournir à ce l u i - c iune atte station de dest r u c t i o n .
L’obligation qui pèse sur le tiers arc h i-veur est en général une obligation dem oyens mais elle peut être plus lo u rde enfonction de la qualification prévue pource l le-ci dans le co n t rat. L’ i n t é rêt deco n n a î t re la nature des obligations prév u e sau co n t rat tient au régime de pre u ve qu’ilfa u d ra re s p e c ter en cas de litige.
Ainsi dans le ca d re d’une obligation dem oyens, la charge de la pre u ve repose surle client qui doit démontrer l’ ex i ste n ced’une fa u te, d’un pré j u d i ce et d’un lien decausalité. Alo rs que dans le ca d re d’uneobligation de ré s u l tat, la fa u te est pré s u m é epar la seule non réalisation des objectifs.La charge de la pre u ve repose par co n s é-quent sur le tiers arc h i veur qui doitd é m o n t rer l’ a b s e n ce de fa u te de sa part.
A côté de ses obligations co n t ra c t u e l le s ,le tiers arc h i veur est également soumis àdes obligations de nature légale re l a t i ve sau co n tenu des arc h i ves. Celles-ci dépendentdes données faisant l’objet de l’ a rc h i va g e .Ainsi, le tiers arc h i veur est nota m m e n ttenu de re s p e c ter :
- les formalités pré a l a b les néce ss a i re sà la mise en place de tra i te m e n t s
a u tomatisés d’informations nominatives ;- l’obligation de confidentialité et de
p ro tection des données à ca ra c t è rep e rsonnel qu’il tra i te .
En revanche, le tiers arc h i veur n’estsoumis à aucune obligation généra le des u r ve i l ler les informations qu’il héberg equant à leur co n te n u .
Le tiers arc h i veur est susce p t i b le devoir sa responsabilité engagée tant sur leplan civil que sur le plan pénal. Po u rengager la responsabilité civile co n t ra c-t u e l le de l’ a rc h i veur, le client doit pro u ve rl’ ex i ste n ce des trois éléments suivants :
- une fa u te : il s’agit d’un manquementà une des obligations co n t ra c t u e l les ;
- un pré j u d i ce : celui-ci pourra êtreco n stitué par la perte ou enco re l’ a l t é-ration d’un document. Les dommagesdits « indirects » (les pertes d’ex p lo i ta t i o npar exe m p le) sont en général exclus ;
- un lien de causalité entre la fa u te etle pré j u d i ce sachant que le tiersa rc h i veur n’est pas re s p o n s a b le duco n tenu des documents arc h i vés etn o tamment de leur authenticité.
La responsabilité pénale du tiersa rc h i veur pourra notamment être engagéeen raison d’un manquement aux obligationsre l a t i ves à la mise en place de tra i te m e n t si n formatiques. Le tiers arc h i veur enco u r ta lo rs de nombreuses sanctions pénale s .On peut citer à titre d’exe m p le les infra c t i o n ss u i va n tes :
- le non respect des formalités pré a l a b le sn é ce ss a i res à la mise en place det ra i tements automatisés d’info r m a t i o n se st puni de 3 ans d’emprisonnementet de 45 000 Ä d’amende (article 226-16du Code pénal) ;
- un manquement à l’obligation de sécu-rité des informations ou de déto u r n e-ment de la finalité du tra i tement estpuni de 5 ans d’emprisonnement etde 300 000 Ä d’amende (article 226-17et suivants du Code pénal) ;
- la divulgation inte n t i o n n e l le d’info r-mations à des tiers est punie d’un and’emprisonnement et de 15 000 Ä
d’amende (article 226-22 du Code pénal).
Les personnes mora les peuvent êtred é c l a rées re s p o n s a b les pénalement deces infractions (article 226-24 du Codepénal) dans les conditions le l’ a r t i c le 121-2du Code pénal. Les peines encourues sont
les suiva n tes (articles 131-38 et 131-39 duCode pénal) :
- une amende d’un montant jusqu’à5 fois supérieur à celui prévu pour le sp e rsonnes physiques ;
- la dissolution, le placement souss u r ve i l l a n ce judiciaire, la fe r m e t u red ’ é ta b l i ssements, l’ exclusion desm a rchés publics, l’ i n te rdiction defa i re appel public à l’ é p a rgne, etc .
Recommandations
Les obligations enca d rant le co n t ra td ’ a rc h i vage ex terne sont nombreuses et ilfa u d ra pre n d re un soin particulier à larédaction des clauses. Cette ré d a c t i o na u ra, dans l’hypothèse de la surve n a n ced’un litige, une influence déte r m i n a n tesur les moyens pro b a to i res (exe m p le :c h a rge de la pre u ve, co n tenu de l’ o b l i g a-tion, etc.) qui selon les cas re p o s e ront surle client (obligation de moyens) ou sur let i e rs arc h i veur (obligation de ré s u l ta t ) .
37
1 2Contexte
Le coût de l’ a rc h i vage éle c t ro n i q u edans une entreprise n’est pas simple àévaluer dans la mesure où il se co m p o s ede plusieurs éléments. Les principauxp o stes de coûts directs sont :
- les matériels et logiciels d’arc h i va g eet plus glo b a lement tous les équipementsn é ce ss a i res au stockage (acquisition etm a i n te n a n ce) ;
- les re ss o u rces humaines néce ss a i re spour pré p a rer l’ a rc h i vage, gérer les don-nées arc h i vées et re stituer l’ i n fo r m a t i o naux utilisate u rs ; le co n stat a été fait que lecoût humain est to u j o u rs plus importa n tque le coût matériel.
Ces coûts sont à co m p a rer aux co û t si n d i rects du non-arc h i vage :
- temps perdu à re c h e rcher des info r-mations mal arc h i vées ;
- coût des solutions techniques maladaptées qui provoquent des syst è m e sp a ra l l è les ou imposent un re n o u ve l le-ment pré m a t u ré des matériels ;
- les amendes, sanctions et éve n t u e l sre d re ssements, co n s é q u e n ces de l’ i m p o s-sibilité pour l’ e n t reprise de pro d u i re ledocument exigé par les autorités ou dep ro u ver son authenticité, ou enco re pars u i te de la co n s e r vation de données per-s o n n e l les dont la destruction est ré g le-m e n ta i re. On a vu plus d’un cas où le co û td’un seul pro cès aurait financé unemagnifique solution d’arc h i vage gérée parune équipe de techniciens et d’arc h i v i ste sp ro fe ss i o n n e l s .
Tout ceci est également va l a b le pourl’ a rc h i vage papier mais avec l’ a rc h i va g eé le c t ronique, les coûts sont beaucoup plusé levés et les pro ce ssus plus co m p lexe s .L’ a rc h i vage éle c t ronique et son coût sontconditionnés par la qualité initiale desdonnées : on ne peut arc h i ver va l a b le m e n tdes données mal documentées car on nep o u r ra pas les ex p lo i ter ; pare i l lement, sil’intégrité des documents n’a pas été vé r i-fiée en amont (l’ a rc h i vage ne pourra quep é renniser le défaut d’intégrité).
L’ a rc h i vage apparaît donc comme unmétier à part entière qui néce ss i te desco m p é te n ces spécifiques dès que l’ o na t teint un seuil critique en volume de don-nées mais surtout en hétérogénéité desdonnées, des co n t ra i n tes et des usages.
Enjeux
Deux objectifs sont priorita i res dansl’ a p p roche du coût de l’ a rc h i vage éle c t ro-nique :
1. tro u ver le bon rapport coût / effica-cité : des solutions techniques et desoutils méthodologiques trop sophist i q u é sfe ront de l’ a rc h i vage une co n t ra i n te tro plo u rde pour les utilisate u rs qui seront te n-tés de co n tourner le système. De même,des outils sous-dimensionnés en te r m e sde volumes, de fonctionnalités ou depoints de co n t rô le pro d u i ront un arc h i va g equi ne sera pas fiable et qui pré s e n te radonc des risques plus ou moins élevé spour l’ e n t reprise ;
2. identifier et hiéra rchiser les risquesf i n a n c i e rs du non arc h i vage afin de définirles données ou services priorita i res et dep ro g rammer les dépenses en fonction deces risques.
Recommandations
En matière de coût d’arc h i vage éle c-t ronique, il n’y a pas de re co m m a n d a t i o n sabsolues. Il est important que chaquee n t reprise analyse ses coûts par rapport àses besoins de co n s u l tation de l’ i n fo r m a-tion arc h i vée et par rapport à ses risquesp o te n t i e l s .
En revanche, une étude des coûts doitp re n d re en co m p te tous les aspects de lad é m a rche d’arc h i vage et nous ne saurionsque trop re commander une simulationd ’ ex p lo i tation co m p l è te sur au moins tro i sans afin d’être sûr de ne rien oublier.
Coût de l’ i n ve st i ss e m e n tde base
Coût d’exploitation
Autres coûts
Coûts amont induits
Coûts d’acco m p a g n e m e n td’une politique d’arc h i va g e
Mutualisation des coûts
Risque financier etvaleur de l’information
Mesurer l’archivage
Faire ou faire faire
Les coûts directs co n cernent d’abord les matériels informatiques et télécoms, les lo g i c i e l s ,et les prestations de mise en place. L’amortissement de ces coûts se fait en général sur trois ans.
L’exploitation regroupe des postes de coût assez variés : locaux sécurisés, personnel affecté à la gestionde l’archivage, maintenance des matériels et logiciels, télécommunications.
D’autres coûts ponctuels viennent s’ajouter à l’investissement initial et au budget d’exploitation :investissement complémentaire pour augmenter la capacité de base, coût de migration (pérennisation),coût de restitution, coût de l’assurance, reprise des données, sauvegarde.
On ne peut exclure de l’archivage les coûts d’implémentation et de fonctionnement des systèmes dep roduction des données dans la mesure où ceux-ci conditionnent la qualité et « l’ a rc h i vabilité » des données.Par exe m p le, la ca p t u re automatique des métadonnées allégera d’autant le tra vail du personnel d’arc h i va g e .De même, l’ i n te ro p é rabilité des différents systèmes en place ré d u i ra le coût des flux de données.
Enfin, le coût de l’archivage comprend aussi le coût de la gestion d’un projet autour de la définition d’unepolitique d’archivage au niveau de l’entreprise :• communication sur le sens et les conséquences de l’archivage ou du non archivage au niveau global de
l’entreprise ;• prise en compte des exigences d’archivage par l’ensemble des métiers et fonctions de l’entreprise ;• actions de sensibilisation et de formation de l’ e n s e m b le des co l l a b o ra te u rs, moins pour « bien arc h i ver »
que pour « créer une bonne information ».Ces opérations constituent un véritable investissement (prévenir plutôt que guérir) dont l’entrepriserécoltera les premiers fruits en un ou deux ans.
Un bon archivage exige des équipements qui ne seront pas nécessairement rentabilisés, ou des compé-tences spécifiques qui seront sous-employées. Afin d’y remédier, on peut par exemple :• regrouper l’organisation de l’archivage électronique, l’archivage papier et la documentation pour
mutualiser les compétences méthodologiques : expertise des documents, techniques de recherchedocumentaire, logistique de l’information ;
• partager un équipement ou sous-traiter ponctuellement une tâche particulière dans l’ensemble de ladémarche d’archivage, par exemple la migration de données.
Les coûts sont liés au volume de données archivées et à la fréquence de consultation mais aussi aux exi-gences de sécurité et à la finesse du traitement de l’information (indexation, métadonnées). Il est recom-mandé d’attribuer une valeur à l’information en fonction des risques financiers encourus par la non dis-ponibilité des données. En fonction de cette valeur, on pourra définir des niveaux d’archivage plus oumoins élaborés donc plus ou moins onéreux. Ainsi la gestion des archives vitales (voir fiche 1) coûteralégitimement plus cher que celle de données de moindre valeur.
Il n’existe pas à ce jour d’indicateurs de référence pour l’évaluation de la performance de l’archivage. Ilest recommandé à chaque entreprise de mesurer son propre archivage en sélectionnant un jeu de docu-ments ou de données représentatifs et en calculant le coût annuel d’archivage comprenant la création,l’identification, la capture, la gestion, la maintenance, l’accès et la destruction, ainsi que l’évolution de cecoût au fil des ans. On pourra ainsi évaluer et suivre par exemple le coût moyen annuel : d’une facture,d’un e-mail, d’un contrat, d’un dossier de personnel, d’une étude, etc. Attention à prendre en compte,dans le calcul des coûts, la gestion des copies.
Comme on l’a déjà vu, la réponse à la question de l’externalisation n’est pas absolue mais relative à unesituation d’entreprise. Elle n’est pas non plus monolithique, c’est-à-dire que la meilleure solution peuts’avérer un panachage de plusieurs solutions articulées en fonction de la nature des données et desclasses de services recherchés. Chaque entreprise doit bâtir et chiffrer deux ou trois scenarii en fonctiondes outils existants, des compétences internes, des risques, de sa politique vis-à-vis de son cœur demétier, des avantages et garanties apportés respectivement par la solution interne et la solutionexterne. Dans tous les cas de figure, l’important reste d’avoir une vision globale des solutions, outils etéquipes d’archivage pour connaître le coût global de l’archivage pour l’entreprise.
39
L’ensemble des mots-clésde l’archivage utilisé dansl’ouvrage est repris ici dansl’ordre alphabétique.Les références indiquéesrenvoient aux numéros desfiches, suivi le cas échéantde la lettre C pour la partie« Contexte », E pour « Enjeux »ou R pour « Recommandations».
Aaccès, 1 R, 2 R, 5, 7 R, 8 C, 8 R, 9 R, 10 R,11 E, 12 Raccessibilité, 2 E, 5 R, 8 Eaccompagnement, 9 E, 12 Raccords Bâle II, 4 Eacquisition, 2 R, 8 R, 9 R, 12 Cacte dématérialisé, 2 Eacte juridique, 3 C Administration des archives, 2 EAFAI (Association Française de l’auditet du Conseil Informatique), 6 CAIMD (Accounting and informationManagement Division), 6 CAIT (Advanced Intelligent Tape), 8 Canticipation, 5 E, 5 Rarchives, 2 C, 2 R, 10 R, 11 C, 11 Earchives papier, 7 R, 9 C, 12 C, 12 Rarchives privées, 2 Carchives publiques, 2 Carchives vitales, 1 R, 12 Rarchiviste, 7 R, 12 Carrêté du 31 mars 2005, 4 EASP (Application Service Provider), 11 Cassurance, 5 R, 6, 11 E, 12 Rassurance responsabilité civileprofessionnelle, 6 Eattestation de destruction, 11 Eaudit, 1, 4 E, 6 C, 6 R, 10 C, 11 Eauthenticité, 1 E, 3 C, 3 E, 11 E, 12 Cautorités, 4 E, 12 Cautorités de tutelle, 1 C
Bbackbone, 8 RBâle II, 4 Ebande magnétique, 8 C
CCADA (Commission d’Accès auxDocuments Administratifs), 2 Rcapture, 1 R, 7 C, 10 R, 12 Rcatégorie, 10 RCD, 8 C, 9 RCECEI, voir Comité des Etablissementsde Crédit et des Entreprisesd’Investissements, 4 ECentera, 8 Ccharge de la preuve, 11 charte d’archivage, 7 R, 10 RCISA (Certified information Systemsauditor), 6 Cclassement, 10 Rclause, 11 RCLUSIF (Club de la sécurité des systè-mes d'information, 6 CCNIL, 5 ECNUDCI (Commission des Nations Uniespour le droit Commercial International), 3CCOBIT (Control Objectives for informa-tion and related Technology), 6 Ccode civil, 3 C, 11 Ccode de commerce, 3 C, 3 E, 4 Ecode de la consommation, 3 Ecode du patrimoine, 11 C, 2 C code du travail, 3 Ecode pénal, 11 Ecode source, 9 Rcoffre-fort, 9 Ccollectivité territoriale, 2 R, 11 CComité des Etablissements de Crédit etdes Entreprises d’Investissements(CECEI), 4 Ecommencement de preuve, 3 C commerce électronique, 3 C Commission bancaire, 4 ECommission d’Accès aux DocumentsAdministratifs), voir CADA, 2 RCommission des Nations Unies pourle droit Commercial International,voir CNUDCICommission Européenne, 10 Rconfidentialité, 3 E, 5 E, 5 R, 10 R, 11 Econsultation, 1 R, 8 R, 9 E, 9 R, 10 R, 12 Rcontentieux, 1 C, 1 R, 10 C convention de preuve, 3 C copie, 4 E, 4 R, 8 R, 12 Rcourrier électronique, 1 R, 3 E, 3 R, 4 R,6 C, 9 C, 10 E, 12 R
coût, 1 C, 1 E, 4 C, 5, 7, 8, 9 R, 10 E, 10 R,11 C, 12 criticité, 1 R, 5 R, 7 Ecryptographie, 5 Rcycle de vie, 1 R, 7 C, 7 R, 9 C, 9 R, 10 C, 10R
DDAT (Digital Audio Tape), 8 CData Retention Utility, 8 CDCSSI (Direction Centrale de la sécuritédes Systèmes d'information, 6 Cdégradation, 10 Rdélai de conservation, 3 E, 3 Rdélai de prescription, 3 E, 3 Rdémarche qualité, 7 E, 7 Rdématérialisation, 2 Rdestruction, 1 R, 6 C, 6 E, 7 C, 7 R, 8 R, 9R, 10 R, 11 E, 12 C, 12 Rdirective 2001/115/CE du Conseil du 20décembre 2001, 3 C directive 2002/65/CE du Parlement euro-péen et du Conseil du 23 septembre 2002,3 Cdirective 97/7/CE du Parlement euro-péen et du Conseil du 20 mai 1997, 3 C directive européennes, 3 C DIRKS (Design and Implementation ofRecordkeeping Systems), 10 Rdisponibilité, 4 E, 4 Rdisque, 8 Cdisque partagé, 9 Rdisque personnel, 9 Rdivulgation, 1 E, 3 E, 6 C, 7 R, 11 EDLT (Digital Linear Tape), 8 Cdommage, 6 C, 6 E, 9 E, 11 Edonnées à caractère personnel, 1 R, 3 E,3 R, 10 R, 11 E, 12 Cdonnées de connexion, 11 Cdossier, 4 E, 10 R, 12 Rdroit administratif, 2 E, 2 Rdroit civil, 2 Edroit d’accès, 1 R, 3 E, 7 C, 10 Rdroit de préemption, 2 Rdroit international, 3 C droit privé, 2 C, 2 R, 3 C droit public, 2 E, 2 Rdurée d’utilité administrative, 2 Rdurée de conservation, 1 R, 3 E, 5 R, 7 R,8 E, 8 R, 9 C, 10 RDVD, 8 C
EEBIOS (Expression des Besoins etidentification des Objectifs de sécurité),6 CEchange de données informatisées,voir EDIécrit sous forme électronique, 2 E, 3 C EDI (Echange de données informatisées),3 C éditeur, 6 E, 8 R, 9 Reffet juridique, 3 Renregistrement, 4 E, 4 REnron, 4 CERP, 9 CEtats-Unis, 4 C, 4 Eévolutivité, 5 R, 8 Rexemplaire de référence, 2 Eexternalisation, 7 R, 10 R, 11, 12 R
Ffacture électronique, 3 C, 3 EFAH. (fournisseur d’ApplicationsHébergées), 11 Cfait juridique, 3 C falsification, 5 Rfiabilité, 2 E, 2 R, 3 C, 4 E, 4 R, 7 R, 10 R,11 Efiliale, 4 E, 9 C fisc, 1 R, 2 R, 3 C, 6 EFISCAM (Federal information SystemControls audit Manual), 6 Cfonctionnalité, 8 R, 9 E, 9 R, 11 E, 12 Eforce probante, 3 C, 11 C, 9 C format, 1 E, 5 C, 5 R, 7 C, 8 C, 9 C, 10 C,10 R, 11 C, 11 Eformat logique, 5 formation, 12 Rfournisseur, 8 R, 9 Rfusion, 7 R, 8 R, 9 R
GGAO (General Accounting Office), 6 Cgestion de contenu, 9 Cgestion des connaissances, 7 E, 9 Egigaoctet, 8 C, 8 E, 9 C granularité, 10 Cgravage, 9 R
Hhabilitation, 10 Rhologramme, 8 Chorodatage, 5 R, 11 CHTML, 10 R
IIalta France (association), 10 Ridentification, 3 C, 10 R, 5 R, 12 RILM, 9 Cimprescriptibilité, 2 Cimputabilité, 2 Eincident, 7 Rindexation, 1 R, 5 R, 9 R, 12 Rintégrité, 1 E, 1 R, 2 E, 3 C, 3 E, 5, 9 E, 10R, 11 C, 11 E, 12 Cintelligibilité, 2 E, 5 E, 5 Rinteropérabilité, 1 E, 8 R, 9 R, 12 Rinterpréteur, 5 RISACA (information System audit &Control Association), 6 CISO 14721, 10 RISO 15489, 10 RISO 19005-1, 10 R
Jjuke box, 8 Cjuriste, 7 R, 9 R
Lliberté de la preuve, 3 C lisibilité, 3 C logiciel, 5 R, 6 E, 7 C, 9, 10 R, 12 C, 12 Rlogiciel libre, 9 Rloi Sarbanes-Oxley, 4 Eloi de finance rectificative de 2002, 3 C loi du 12 avril 2000, 2 Rloi du 3 janvier 1979, 2 Cloi Informatique et Liberté du 6 janvier 1978,3 Rloi sur la sécurité financière du 1er août 2003(LSF), 4 ELTO (Linear Tape-Open), 8 C
Mmaintenance, 1 R, 4 E, 5 R, 7 C, 7 R, 8 R,9 R, 10 R, 12 C, 12 Rmarché public, 2 E, 2 R, 11 Ematériel, 2 C, 2 E, 3 C, 5 E, 5 R, 6 C, 6 E,7 C, 8 R, 11 C, 12 C, 12 RMEHARI (MEthode Harmoniséed'Analyse de risque), 6 Cmémoire, 1 Cmémoire historique, 1 Rm e ssagerie éle c t ronique, 3 C, 7 R, 10 C, 10 Emétadonnées, 10 R, 12 Rmigration, 5, 8 E, 8 R, 10 R, 11 E, 12 RMO (disque magnéto optique), 8 CMoReq (Modèle d’exigences pourl’ o rganisation de l’ a rc h i vage éle c t ro n i q u e ) ,10 Rmoteur de recherche, 1 E, 1 R, 5 Rmoyen de preuve, 2 E, 3 C mutualisation, 8 R, 9 R, 11 C, 12 R
Nnanotechnologies, 8 CNF Z42-013, 10 Rnon disponibilité, 5 R, 7 E, 10 R, 12 Rnon répudiation, 1 Enormes, 10 C
OOAIS (système ouvert d’archivaged’informations), 10 Robligations, 1 C, 2 E, 4 E, 6 E, 10 R, 11 E, 11 Robsolescence, 1 E, 5 C, 5 E, 7 C, 10 C organismes sociaux, 1 Roriginal, 3 C, 4 E, 4 Routil de recherche, 7 C, 8 R, 9 Routil méthodologique, 7 R, 10, 12 E
Ppassation de marché public, 2 Epatrimoine, 7 EPDF, 5 RPDF/A, 10 Rpérennisation, 10 R, 12 Rp é rennité, 1 E, 5 C, 5 R, 8 R, 9 E, 9 R, 10 Rperformance, 5 C, 5 R, 8 C, 8 R, 12 Rpérimètre documentaire, 10 Cpétaoctet, 8 Cpolice d’assurance, 6 E, 6 Rpolitique d’archivage, 3 R, 7 E, 7 R, 10 R,12 Rpolitique de sécurité, 7 Eprestataire, 2 R, 4 E, 6 E, 6 R, 11 C, 11 Ep re u ve, 3, 2 E, 2 R, 5 R, 6 E, 9 C, 10 R, 11 C,11 Eprocédures, 4 E, 4 R, 5 R, 7 C, 7 R, 9 R,10 R, 11 Eprocessus, 1 R, 4 R, 6 C, 9 E, 9 R, 10 C,10 R, 12 C propriétaire, 5 R, 7 R, 8 R
Qqualité des données, 7 C, 7 R, 10 R, 12 C, 12 R
Rrecevabilité, 2 R, 3 C, 3 R
recherche, 1 E, 4 E, 5 E, 5 R, 8 C, 8 R, 9C, 9 R, 12 C, 12 Rreconstitution, 6 Crecords manager, 7 R, 10 Rredondance, 5 E, 5 R, 7 Rréférentiel de conservation, 10 Rrègles de nommage, 10 Rréinscriptible, 4 E, 4 R, 8 C réorganisation, 7 R, 8 R, 9 Rre-signature, 5 R, 10 Rrespect de la vie privée, 3 Erestitution, 1 E, 4 E, 7 E, 10 R, 11 C, 11 E,12 Rréversibilité, 11 Erisque financier, 12 E, 12 Rrisque informatique, 6 risques, 1 E, 1 R, 4 E, 4 R, 5 R, 6 C, 6 E, 7C, 7 R, 10 R, 11 C, 11 E, 12 E, 12 RRule 17-CFR 270.17a-4, 4 E
SSarbanes-Oxley, 4 ESATA (Serial Advanced TechnologyAttachment), 8 Csauvegarde, 5 E, 5 R, 11 E, 12 RSEC, voir Securities and ExchangeCommission, 4 Esécurité, 1 R, 4 E, 4 R, 5 C, 5 R, 6 C, 7 C,7 R, 8 R, 9 E, 9 R, 10 R, 11 E, 12 Rsécurité financière, 4 Rsécurité juridique, 3 C, 3 RSecurities and Exchange Commission(SEC), 4 ESecurities Exchange Act, 4 Esérie, 10 RSGDN (Secrétariat Général de la DéfenseNationale), 6 Csignature électronique, 2 E, 3 C, 3 E, 5 C,5 Rsimulation, 8 R, 9 R, 12 Rsincérité, 4 Esinistre, 1 R, 5 R, 6 Rstockage, 1 R, 3 C, 7 C, 7 R, 8 R, 9 R, 10R, 11 E, 12 C stratégie, 3 R, 7, 10 Rsupport, 1 E, 1 R, 2 C, 3 C, 3 E, 4 E, 4 R, 5C, 5 R, 6 C, 6 E, 7 C, 7 R, 8 C, 8 R, 10 C,10 R, 11 C, 11 Esupport durable, 3 C support magnétique, 8 Csupport optique, 8 CSyntec informatique, 6 Esystème d’archivage, 1 R, 3 C, 3 R, 5, 6 C,7, 8 R, 10 R
Ttableau de bord, 10 Rtemps d’accès, 8 R, 9 Rtéraoctet, 8 Cthésaurus, 1 R, 9 Rtiers archiveur, 3 E, 6 E, 7 R, 11 TotalStorage DataRetention, 8 Ct ra çabilité, 4 E, 5 R, 8 R, 9 E, 9 R, 10 C, 10 RTXT, 5 R
UUDO (Ultra Density Optical)., 8 Cunion européenne, 3 C utilisateur, 1 R, 7 E, 7 R, 9 E, 9 R, 10 C,10 R, 12 C, 12 E
Vvaleur de l’information, 6 R, 7 R, 12 Rvalidité, 3 E, 11 Cvirus informatique, 11 Evisibilité, 7 R, 10 R, 12 RVivendi, 4 Cvolumétrie, 1 R, 5, 7 C, 8 R, 9 E, 9 R, 10 C,1 2
WWorldcom, 4 CWORM (Write Once Read Many), 8 C
XXML, 10 R
OFFRE SPECIALEOFFRE SPECIALEValable jusqu’au
31 Décembre 20052 Conférences et
5 Cahiers/livres blancspour 250€HT
UN Pass 2 jours à la conférence :« Nouvelles Technologies pourles Data Centers »Mardi 28 Février et Mercredi 1er Mars 2006(Palais des Congrès – Porte Maillot)Les thèmes : ILM , Archivage Réglementaire,Consolidation, Virtualisation, Provisioning,CDP,Linux, Dématérialisation, etc.… pouroffrir une amélioration de la qualité de serv i c e ,une réduction des couts et des risques lorsdes changements et être conforme avec laréglementation. Les thèmes sont traités sousl’angle légal, système d’information, organi-sationnel, budgétaire comme dans toutesles conférences ITIFORUMS.www.itiforums.com
UN Pass 2 jours à la conférence :« Business Continuity et Telecom »les 24 et 25 Octobre 2006(Palais des Congrès – Porte Maillot)
Les thèmes sont traités sous l’angle légal,système d’information, organisationnel,b u d g é t a i re comme dans toutes les confére n c e sITIFORUMSwww.itiforums.com
LE Cahier thématique de :la Conférence Business Continuity 2005Le cahier est un résumé écrit de toutesles présentations de la conférence -Business Continuity 2005
LE Livre Blanc :L’archivage électronique à l’usagedu dirigeantLe livre blanc de la Fedisa ( Fédérationpour l’ILM, le stockage et l’Archivage)publie un livre blanc sous forme de ficheécrit par Marie-Anne Chabin, Eric Caprioliet Jean-Marc Rietsch de la FEDisa( Fédération de l’ILM , du stockage et del’Archivage) www.fedisa.orgAdhésion à la FEDisa
LE Cahier thématique :ILM et Archivage Electronique 2005Le cahier est un résumé écrit de toutes les présentations de la conférence -ILM et Archivage 2005
LE Cahier thématique de :la Conférence Nouvelles Technologies 2006Le cahier est un résumé écrit de toutesles présentations de la conférence -Business Continuity 2006
LE Cahier thématique de :la Conférence Business Continuity 2006Le cahier est un résumé écrit de toutesles présentations de la conférence -Business Continuity 2006
Pour toute question complémentaire : [email protected]
Pour profiter de cette offreet en savoir plus www.itiforums.comOu merci de retourner le coupon au dos et de le renvoyer au numéro indiqué