le logiciel d’archivage électronique, le pilier de la
TRANSCRIPT
Le logiciel d’archivage électronique, le pilier de la confiance
[livre blanc]
L’Agence Digitale by serdaLAB & Archimag, créée en 2015, est spécialisée dans la mise en oeuvre de stratégies de communication multicanal.
Elle s’appuie sur le savoir-faire du laboratoire de veille, d’études et de prospective du groupe Serda et sur l’expertise sectorielle et cross-media d’Archimag (40 000 lecteurs pour le support papier, 70 000 visiteurs uniques pour le site Archimag.com). Depuis plus de 10 ans, serdaLAB analyse les enjeux et les tendances en Management de l’Information ; archivage électronique, dématérialisation, édition numérique professionnelle, documentation, bibliothèque, veille, moteurs de recherche, etc.
L’Agence Digitale by serdaLAB & Archimag répond ainsi à différents besoins :. lancement d’un nouveau service ou d’un nouveau produit. génération/acquisition de leads qualifiés. installation ou confirmation d’une marque. ouverture à de nouveaux marchés. conquête d’une nouvelle cible. stratégie de nurturing
Pour cela, l’Agence Digitale by serdaLAB & Archimag propose des prestations de conseil (audit, études, stratégie), de création et de valorisation de contenus (livres blancs, avis d’expert, infographies, tribunes), de relation presse, et d’accompagnement dans l’organisation d’évènements (focus de la rédaction, salon, présentation, tables rondes) et de campagnes online (emailing, social marketing, webinaires, tutoriels, vidéos).
www.serda.com - www.archimag.com
Á PROPOS DE L’AUTEUR
1
TABLE DES MATIERES
Introduction
Á propos de l’auteur
1. Pérennité, intégrité, confidentialité, accessibilité : les 4 grands principes de l’archivage électronique Retour d’expérience : Orange
2. Les 7 points différenciants du logiciel d’archivage électronique Retour d’expérience : Electricité de Strasbourg
3. Le logiciel, la brique centrale du SAE Se repérer parmi les normes
Conclusion
INTRODUCTIONParce qu’aujourd’hui, le document électronique a la même valeur juridique que le document papier, l’archivage électronique est devenu un enjeu stratégique pour bon nombre d’organisations. Mais pour qu’un document électronique puisse être utilisé comme preuve, il doit répondre à certains critères destinés à garantir sa pérennité, son intégrité et sa traçabilité. Sans cela, l’organisation ne sera pas en mesure de présenter les pièces justificatives en cas de contrôle fiscal par exemple, ni de se défendre en cas de litige. Elle s’expose alors à des sanctions.
Reste à savoir à quel saint se vouer en terme de référentiel. Se repérer parmi tous les textes concernant l’archivage et le records management est, en effet, compliqué. Normes, standards et certifications, françaises, européennes ou internationales, s’accumulent depuis des années et ne sont pas toujours bien compris.
D’autant qu’en matière d’archivage électronique, le logiciel a désormais un rôle central. Après plusieurs décennies passées à jongler avec différents supports d’archivage (disquettes, CD, DVD, Blu-ray, etc.) et à penser que l’information était liée à son support, les organisations se sont aperçues que ces supports n’étaient pas pérennes. Elles ont alors changé d’approche et ont commencé à concevoir des systèmes d’archivage électronique en faisant du logiciel l’élément prépondérant.
C’est à la fois pour faire toute la lumière sur le rôle crucial du logiciel dans l’archivage électronique et repositionner la norme à sa juste place, que ce livre blanc a été conçu.
2
1. PÉRENNITÉ, INTÉGRITÉ, CONFIDENTIALITÉ, ACCESSIBILITÉ
LES 4 GRANDS PRINCIPES DE L'ARCHIVAGE ÉLECTRONIQUE
Des données et des documents sous contrôle
L’archivage électronique se définit comme “la conservation à long terme et la gestion des actifs numériques d’une organisation”. Même si ces actifs numériques ne sont plus utiles aux opérations courantes, ils sont délibérément conservés en vue de répondre à d’éventuels besoins liés à la conformité réglementaire, à la gestion de contentieux, à la gouvernance de l’information ou encore en tant que patrimoine de l’entreprise.
L’archivage électronique n’est toutefois pas uniquement une obligation réglementaire. Il s’inscrit pleinement dans la gestion des actifs informationnels de l’organisation et peut ainsi contribuer à la mise en œuvre de nouveaux services (comme la possibilité pour les clients d’un opérateur d’accéder à l’historique de leurs factures en ligne) et optimiser le fonctionnement de l’organisation. L’archivage électronique est, en effet, un moyen de pérenniser son patrimoine documentaire et de faciliter son exploitation. Un accès rapide et aisé aux dossiers clients, par exemple, permet d’assurer un traitement optimal de leurs demandes.
Si les documents archivés ont aujourd’hui de plus en plus vocation à être diffusés, cette diffusion doit se faire de façon maîtrisée.
4 façons de lutter contre le vieillissement des formats
1. Enregistrer les documents dans un format normalisé, comme le PDF
2. Convertir régulièrement les fichiers dans un format plus récent afin de prolonger leur lisibilité
3. Á chaque conversion de fichier, vérifier que les nouveaux fichiers créés sont conformes aux fichiers d’origine afin de garantir leur intégrité, et recalculer leur empreinte pour enregistrer l'opération de conversion effectuée. Toutes les opérations de conversion (dans un autre format) et de migration (vers un autre dispositif de stockage) doivent d’ailleurs être notifiées ou notarisées dans les journaux.
4. Prendre toutes les dispositions pour garantir la lecture à la restitution.
3
4 niveaux de protection de
l’intégrité d’un document électronique
Calcul de l’empreinte du document lors de son versement
Scellement du document au moyen d’un cachet serveur et horodatage du dépôt
Enregistrement dans un journal sécurisé de l’opération de versement, puis de toutes les opérations concernant le document archivé
Contrôle régulier de l’empreinte par r e c a l c u l e t v é r i fi c a t i o n p a r comparaison à l’empreinte initiale
Le système d’archivage électronique doit, en effet, garantir :
• la pérennité. Ce qui revient à assurer leur conservation sur une longue durée et à garantir la possibilité de les relire et de les restituer. Une opération d’autant plus complexe qu’il n'existe une normalisation de formats de fichiers que pour le PDF et le XML. La lisibilité d'un fichier dépend donc du bon vouloir de l'éditeur du logiciel qui peut soit faire défaut (faillite, abandon du logiciel, etc.) ou imposer des évolutions technologiques (obligation d'installer la nouvelle version du logiciel).
On estime à 5 ans la durée de vie moyenne d’un fichier au format .doc ou .xls. Au-delà, pour éviter les problèmes de mise en page, de police de caractères et d’incompatibilités en tout genre, le fichier doit être converti. Et cette durée de vie est encore plus courte pour certains formats spécifiques, notamment ceux issus des logiciels de modélisation utilisés par les cabinets d'architecte par exemple, qui évoluent encore plus régulièrement.
Outre le format, l’infrastructure de stockage joue aussi un rôle prépondérant dans cette pérennité. Car tous les supports (disques optiques, disques durs, SSD, bandes magnétiques et autres) affichent, eux aussi, des cycles de remplacement très courts. Et même si dans un système d’archivage électronique idéal, le matériel doit se faire oublier au profit du logiciel, l’infrastructure de stockage doit être suffisamment solide, redondée et évolutive pour garantir elle aussi cette pérennité. D’où l’intérêt de migrer régulièrement les archives vers un nouveau système de stockage.
In fine, cette double obsolescence technologique crée un paradoxe temporel entre la durée de vie de l’écrit (souvent plusieurs décennies) et celle des technologies de l’information, qui se renouvellent beaucoup plus vite.
4
• l'intégrité. Pour maintenir la vocation probatoire d’un document numérique et ainsi réduire les risques juridiques, il est nécessaire de préserver son “intégrité”. Ce qui revient à pouvoir démontrer qu'il n'a pas été modifié ou corrompu.
Pour cela, on procède à un calcul d’empreinte. Ce mécanisme consiste à produire une chaîne de caractère propre à chaque document (à la manière d’une empreinte digitale) et de la contrôler régulièrement. Cette empreinte est scellée par l'apposition d'un cachet électronique puis elle est horodatée. Un journal sécurisé est utilisé pour enregistrer ce versement puis l'ensemble des opérations ultérieures relatives à ce document. Ce journal permet de garantir la traçabilité des opérations. C'est l'horodatage des événements enregistrés dans le journal qui permet d’établir la date et l’heure des évènements (déplacement de l’archive, consultation, etc.) dans le but de les prouver a posteriori.
« Plus de 75 % des fuites enregistrées proviennentdes collaborateurs même de l’entreprise »(Sources : Forrester et PwC)
• la confidentialité. Elle pose clairement la question des droits d'accès aux documents archivés, à plus forte raison s’il s’agit de données personnelles (d’autant qu’un nouveau règlement européen est entré en vigueur) ou de données sensibles (factures d’armement, données de santé, données bancaires, bulletins de salaire spécifiques, plans techniques de centrales nucléaires, etc.). Quels collaborateurs peuvent y accéder et pour quels motifs ?La confidentialité entend répondre à ces questions en limitant l'accès d'un document archivé aux seuls utilisateurs autorisés, en gérant leurs droits d'usage et en gardant en mémoire l'utilisation qu'ils en ont fait. Elle est identifiée dans la norme ISO 27001 (“Management de la sécurité de l’information”) comme un critère de sécurité au même titre que l’intégrité. Or, cette sécurité doit être assurée depuis l’émission de la donnée jusqu’au terme de l’archivage. Et différents outils techniques permettent d’assurer cette confidentialité des archives dont le contrôle d’accès, la traçabilité et le chiffrement.
Le chiffrement, garant de la
confidentialitéS’il renforce la confidentialité, le chiffrement ne constitue pourtant pas , à lui seul, un moyen suffisant pour sécuriser un fonds d’archives dans un environnement de conservation non maîtrisé.
D’autant qu’il est important de savoir où placer le chiffrement et qui détient les c lés de cryptage / décryptage ? L’utilisateur ? Un des composants (physiques ou applicatifs) du SAE ? Ou un tiers de confiance ?
Ce qui est sûr, en revanche, c’est que la confidentialité est d’autant plus renforcée que le secret est détenu par un minimum de personnes, voire par l’utilisateur uniquement. Or, dans ce cas, la c o n s e r v a t i o n d e s c l é s d e v i e n t particulièrement sensible.
5
Durées d’archivage, ce qu’il faut savoir
Bulletin de salaire : 5 ans
Facture : 10 ans
Contrat commercial : 10 ans après l'extinction des effets du contrat
Autorisation de mise sur le marché d'un médicament : 50 ans après la fin de la commercialisation…
Les affaires Prism et Snowden ont, en effet, rendu les organisations et les États plus vigilants quant à la sécurité de leurs données et documents archivés. Ils entendent les protéger des autres, mais aussi de leurs propres collaborateurs. Car contrairement aux idées reçues, les collaborateurs internes à l’entreprise constituent la cause majeure de fuite de données.
• l'accessibilité. Si les archives doivent évidemment rester facilement et rapidement accessibles, il convient malgré tout de se demander, en fonction de l’activité de l’organisation, quel est le délai raisonnable pour pouvoir accéder à un document archivé.
Prenons l'exemple du BTP. Une fois le bâtiment livré et les réserves levées, le constructeur fournit au client le livre des ouvrages exécutés. “Cela représente parfois 1m3 de papier” précise Jean-Louis Pascon, consultant et formateur en dématérialisation chez Demat-Conseil. L’ensemble peut alors être injecté dans un système d'archivage électronique, car on sait d’avance que personne n’y reviendra avant plusieurs années.
Si, 10 ans plus tard, le nouveau propriétaire décide de tout décloisonner et d'étendre la surface, il faut 1h pour restituer l’archive, c’est amplement suffisant, ajoute-t-il. En revanche, si vous êtes dans le domaine interbancaire et que l’objectif, c'est de traquer toutes les transactions sur différents marchés, là, le logiciel d’archivage doit être capable d'assurer une réponse beaucoup plus rapide ».
Le taux de disponibilité est donc à définir en fonction des risques que ferait courir à l'entreprise le fait de ne pas pouvoir disposer du document dans le délai fixé. Et dans certains cas, les documents doivent être consultables en temps réel, 24 heures sur 24 et 7 jours sur 7.
6
Orange utilise depuis plus de 10 ans un logiciel d’archivage électronique encapsulé dans une application baptisée ADF et dédiée à l’archivage des factures.
Au départ, seules les factures pour le monde fixe grand public de l’opérateur étaient concernées, mais rapidement d’autres types de factures ont été ajoutées (factures mobiles, factures groupe, etc.). Puis sont venus se greffer à cette augmentation de la volumétrie, des besoins de conformité plus forts. “Notre choix s’est porté sur un logiciel conforme à la norme NF Z42-013 intégrant le même noyau que celui que nous utilisions auparavant et qui répondait parfaitement à nos critères de performances” indique Stéphane Stragier, chef de projet MOE au sein de la DSI d’Orange.
Plusieurs logiciels concurrents avaient été pré-sélectionnés, mais la plupart n’a pas tenu la route. “Notre application doit supporter une très importante volumétrie en acquisition de données et une très forte sollicitation en terme de requêtes” ajoute Stéphane Stragier. De 1,5 à 2 millions de requêtes par jour sur des PDF. Une vraie contrainte. “Quand nous avons commencé à mettre en avant ces chiffres auprès des différents interlocuteurs, aucun n’a pu suivre. Personne n’avait dans son portefeuille client, une typologie client comme la nôtre. Sur la volumétrie en acquisition, pas de problème, mais personne ne pouvait répondre à ce besoin de requêtes” renchérit le chef de projet d’Orange.
Le logiciel a été retenu à la fois pour des raisons technique et stratégique. Technique, parce que ses composants
répondaient aux besoins et à toutes les normes concernant l’archivage légal. Et stratégique, “parce qu’il nous semblait plus facile de nous adresser à une petite structure”, surtout pour un groupe comme Orange, à la recherche de souplesse, de la réactivité et d’un suivi client optimal.
Aujourd’hui, le logiciel est utilisé pour l’archivage des factures PDF du groupe pour le fixe et le mobile, aussi bien pour le grand public que pour les entreprises. “Nous avons des portails internes (pour les conseillers et les commerciaux) et externes (pour les abonnés) qui vont requêter le logiciel en permanence” ajoute le responsable. En interne, l’interrogation du logiciel se fait en deux temps :
• un premier web service va récupérer des métadonnées (nom du client, numéro de facture, montant, etc.).
• un second web service retourne le PDF correspondant.
Le client peut aussi se connecter depuis chez lui sur le portail et récupérer sa facture. L’app mobile Orange & Moi permet même d’afficher ses métadonnées et de rapatrier la facture. Les accès sont évidemment sécurisés (protocoles de transport cryptés, accès à l’environnement technique machine sécurisé, double authentification login/mdp, etc.). Orange a même mis en place un boîtier HSM (Hardware Security Module). Les PDF sont ainsi composés sur une application d’éditique située en amont, puis envoyés vers la brique d’archivage, agrégés et transférés vers un boîtier HSM pour chiffrement et certification. Ce qui permet un renforcement de la sécurité du serveur et des données.
RETOUR D’EXPERIENCE : ORANGE
7
2. LES 7 POINTS DIFFÉRENCIANTSDU LOGICIEL D'ARCHIVAGE ÉLECTRONIQUE
Quels critères de choix ?
Pour bien choisir son logiciel d’archivage électronique, il faut d’abord se demander à quoi il va servir. Beaucoup d’organisations réfléchissent à l’archivage électronique parce que des textes les y incitent (loi Macron, Chorus Portail Pro 2017, etc.), sans toutefois se poser la bonne question : celle de leurs véritables besoins. De ce côté-là, la réflexion n'est pas encore mature.
Et pourtant, sans savoir quel type de documents l’organisation va archiver, impossible de faire un choix éclairé sur le logiciel. « Si l’archivage concerne des documents bureautiques ou des factures, la question peut être vite réglée, indique Jean-Louis Pascon. Mais s’il s’agit des plans d’un pont par exemple et de tout ce qui a servi à sa réalisation (calculs, analyses de sol, prélèvements faits sur les bétons, essais de traction sur le ferraillage, etc.) et que l’ensemble doit être conservé pendant 99 ans, c’est un peu plus compliqué ».
De quoi sont constituées mes archives ? Quels types de documents ai-je besoin d'archiver et pour combien de temps ? Mes documents sont-ils signés ou pas ? Est-ce que je suis opérateur pour le compte de l’État ? Une fois posée la question de ce que l'on veut faire, on peut alors se poser la question de l’outil.
« Beaucoup d’organisations réfléchissent à l’archivage
électronique parce que des textes les y incitent (loi Macron, Chorus Portail
Pro 2017, etc.), sans toutefois se poser la bonne question : celle de
leurs véritables besoins ».
8
Ensuite, d’autres éléments entrent en ligne de compte dans la sélection du logiciel dont :
• la volumétrie en conservation et en consultationIl s’agit là d’une question importante. Si la volumétrie est faible, l’organisation aura tout intérêt à s’orienter vers un prestataire de services, à plus forte raison lorsque le règlement eIDAS sera entièrement publié concernant les Trusted Services Provider, car l’offre sera européenne. En effet, avec moins de 3 000 documents par an, inutile de chercher un logiciel impliquant la mise en œuvre d’un système d'archivage électronique avec son environnement d'exploitation et ses équipes. En revanche, pour les grands comptes et tous les grands émetteurs de documents ayant d’importants besoins en conservation et en consultation, le choix du logiciel est déterminant.
• l'indépendance matérielleLa capacité du logiciel à fonctionner avec tout type de baies (WORM ou non) et à supporter les évolutions de l'infrastructure de stockage est aussi une donnée importante. L’idée étant de s’affranchir de toutes les contraintes matérielles pour se concentrer uniquement sur les fonctionnalités du logiciel. D’autant qu’aujourd’hui, toutes les organisations ne disposent pas forcément en interne d’une équipe informatique pour gérer ces ressources techniques. Avant de s’évertuer à chercher le logiciel, il convient donc d’être certain qu’au sein de l’organisation, les collaborateurs ont bien cerné les enjeux de l’archivage électronique et l’intérêt que le logiciel puisse être opérationnel quel que soit le support de stockage.
Coffre-fort électronique,un « composant » du SAE
L'archivage électronique et les coffres-forts sont parfois opposés, mais il s’agit en réalité d’un faux débat.
Comme la norme NF Z42-020 le démontre, le coffre-fort numérique est un « composant » ayant vocation à être intégré dans un système plus large qu'est un SAE.
Mais il peut aussi être intégré dans un système d'information RH ou un ERP pour conserver et communiquer de façon tracée des factures, des fiches de paye ou autres.
9
En cas de contentieux, quels sont les pré-requis au niveau de l'archivage électronique
pour que les documents produits par l'une des deux parties aient une valeur probante ?
La phase contentieuse se prépare toujours en amont, l’entreprise doit l’anticiper. En principe, on peut constater que la jurisprudence reconnaît la valeur juridique des documents électroniques, qui se présentent le plus souvent encore comme des copies numériques de documents originaux sur support papier. Mais les tribunaux ont également reconnu la valeur juridique des contrats signés électroniquement à de multiples occasions.
Ce qu’il faut, au regard de l’archivage, c’est être en mesure de restituer un original électronique, qui permette à la fois d’identifier le signataire et de démontrer l’intégrité de son contenu pendant tout son cycle de vie, de son établissement à la fin de la durée d’archivage, y compris en cas d’extraction en vue de le produire devant une juridiction.
Il est important de disposer de tous les documents techniques et sécurité qui contribuent au processus de contractualisation en ligne : spécialement les politiques de certification, d’horodatage, de gestion de preuve et d’archivage ainsi que les procédures associées et les différentes attestations de qualification ou certification comme par exemple aux standards et normes ETSI des services et/ou des prestataires de services de confiance.
Eric A. CAPRIOLI, Avocat à la Cour de Paris, Docteur en droit.
• l’intégration dans la GED. Beaucoup confondent “GED” et “archivage électronique”. Il s’agit pourtant de deux outils distincts, mais complémentaires. Ainsi, la GED permet de gérer les documents électroniques pour la conduite quotidienne des affaires (téléchargement, modifications, versioning, partage, suppression, etc.), mais elle n’assure par leur conservation avec des gages d’authenticité et de pérennité. C’est le rôle de l’archivage électronique d’intégrer les règles de records management définies par l’organisation (durée de conservation, typologie de document, niveau de confidentialité, etc.). Cette dernière devra se demander si elle veut une GED équipée d'un soubassement permettant de faire de l'archivage électronique, ou si elle veut bien distinguer les deux fonctions. En faisant clairement le distinguo entre les deux, l’organisation s’assure que personne n’accède directement au système d’archivage. L’utilisateur ne voit jamais en direct les documents, car il y a toujours un anté-serveur qui sert d’interface entre lui et les données archivées, ce qui renforce la sécurité. Dans le cas d'une GED, en revanche, un utilisateur peut ajouter un nouveau document, une nouvelle version, etc. « En dissociant les deux applicatifs, l’organisation peut gagner en performances et éviter les lenteurs du système d'archivage qui met du temps à vérifier son intégrité ». En embarquant l’archivage électronique à l’intérieur de la GED, il sera certainement moins bien fait.
• la présence d’une interface Web Services permettant au logiciel de s’intégrer aisément aux environnements existants (workflow, ERP, etc.).
• le caractère multi OS (Microsoft, Linux, Unix), multi base de données (PostgreSQL, SQL Server, etc.) et multilingue du logiciel.
10
• les fonctions d'indexation et de recherche. Le logiciel doit être capable d’archiver des fichiers structurés et non structurés, ainsi que des bases de données (en format .csv par exemple) et pouvoir effectuer des recherches. Il doit également pouvoir indexer plusieurs millions de lignes/transactions et permettre aux utilisateurs d’effectuer des recherches rapides et efficaces via des interfaces intuitives. Ceux-ci pourront ensuite, en fonction de leurs habilitations, accéder à la liste des résultats, consulter l’archive, l’imprimer, l’exporter ou la détruire (uniquement si la période de rétention est atteinte). Certains logiciels autorisent également les recherches en mode asynchrone (hors connexion et différé), ce qui constitue un plus pour les organisations ayant de fortes volumétries. Á cela s’ajoutent d’autres fonctionnalités comme le contrôle de l’intégrité, l’extraction des métadonnées, la définition de la période de rétention, l’indexation, la gestion des droits et des habilitations, l’administration des profils d’archivage ou encore la gestion du cycle de vie de l’archive.
• la conformité à la réglementation et aux normes. Sur le marché de la dématérialisation, c’est la norme AFNOR NF Z42-013 qui fait office de référence. Elle recense les mesures techniques et organisationnelles à respecter pour mettre en œuvre un archivage électronique, ce qui contribue à rassurer les organisations au moment du choix du logiciel. D’autres normes entrent également en jeu dont la norme AFNOR NF Z42-020 qui certifie l’une des briques du SAE, le composant “coffre-fort numérique”, destinée à la conservation d'informations numériques dans des conditions qui garantissent leur intégrité dans le temps.
Choisir le bon logiciel d'archivage implique de se poser plusieurs questions, chaque logiciel répondant à un besoin précis.
11
Si une des parties n'est pas capable de produire les originaux des contrats ou d'autres documents, la copie suffit-elle ?
L’analyse de la jurisprudence nous démontre que dès lors que l’une des parties ne peut pas produire le document original, elle peut utiliser devant la juridiction des copies numériques des documents. Cependant, la jurisprudence requiert que la copie soit fidèle et durable conformément à l’article 1348, al. 2 du code civil.
Dans une décision de la Cour d’appel de Lyon du 3 septembre 2015, en première instance, les juges avaient considéré de manière infondée que les copies des originaux fournies par la banque ne const i tuaient tout au plus que des commencement de preuve par écrit alors qu’elles étaient présumées fidèles et durables, et conformes à la norme AFNOR Z 42-013 répondant aux exigences de l’article 1348 al. 2 du Code civil.
Depuis le 1er octobre 2016, l’article 1379 du code civil précise : "est présumée fiable jusqu’à preuve du contraire toute copie résultant d’une reproduction à l’identique de la forme et du contenu de l’acte, et dont l’intégrité est garantie dans le temps par un procédé conforme à des conditions fixées par décret (…). Si l’original subsiste, sa présentation peut toujours être exigée ».
Eric A. CAPRIOLI, Avocat à la Cour de Paris,
Á l’heure de la dématérialisation des documents et des actes de signature, les commerciaux du Groupe Electricité de Strasbourg (ES) voulaient avoir à disposition les nouveaux contrats signés électroniquement par leurs clients. “Nous avions donc besoin de stocker ces documents et de conserver leur valeur probante” explique Sébastien Heitz, responsable Editique au sein du département Informatique du Groupe ES. Pour ce faire, un logiciel avait été identifié lors d’une première étude menée en 2012.
INSTALLATION, MIGRATION, COMPRESSIONEn 2015, le projet a été relancé afin de savoir si la dernière version de ce logiciel répondait toujours aux besoins. “Un consultant s’est donc déplacé, est venu installer le produit chez nous et a effectué un premier transfert de compétences, ajoute M. Heitz. Il nous a également fourni un outil de migration des données et nous a accompagné durant toute cette phase”. Concernant la durée de conservation, le fournisseur d’énergie a fait le choix de conserver l’intégralité des documents depuis 15 ans, ce qui représente 2 To de données. Ce volume devrait être réduit grâce aux algorithmes de compression du logiciel qui permettront de ramener l’ensemble des données à 1 To.
UNE SÉCURITÉ RENFORCÉELa sécurité ? Elle est assurée par l’architecture technique mise en place. “Pour cela, nous avons fait appel à des Web Services et nous avons placé le serveur hébergeant le logiciel en DMZ” précise M. Heitz. Autrement dit, dans un réseau physiquement séparé, appelé DMZ (ou zone démilitarisée). Avec le nouveau logiciel, il n’y a pas de
grand changement au niveau des processus, mais le fait de pouvoir conserver la “valeur probante” amène davantage de sécurité, en plus de la sécurité liée à l’architecture. Avec l’ancien logiciel, il était très facile de supprimer physiquement un fichier, alors qu’avec celui-ci, cela ne sera plus le cas. Une fois qu’un fichier est injecté dans le SAE (système d’archivage électronique), il est conservé pendant toute la durée paramétrée. “Nous l’avons calée sur 10 ans, pointe M. Heitz. Pendant ce laps de temps, il est uniquement possible de le consulter ou de le masquer. C’est un gage de sécurité”. Sans compter que ce logiciel est conforme à la norme NF Z42-013 (ce qui a été un élément déterminant dans le choix) et qu’il utilise des technologies plus récentes que le précédent (il s’appuie sur Java avec une base de données Oracle). “Il possède par ailleurs de nouvelles fonctionnalités que nous avons jugé intéressantes à mettre en oeuvre” ajoute l’intéressé.
UN LOGICIEL CONÇU COMME UN SIMPLE AJOUTUne fois le logiciel installé, l’entreprise a validé le fonctionnement d’accès aux documents avec les utilisateurs. “Nous voulions savoir s’ils n’étaient pas trop perturbés par ce changement d’outil et si nous allions devoir assurer des formations” précise M. Heitz. In fine, le logiciel couvre parfaitement le périmètre défini au départ et aucun problème n’a été rencontré lors des process d’archivage et de consultation. Autres avantages de l’outil : le fait qu’il puisse être personnalisé et qu’il puisse s’interconnecter simplement avec le SI existant. “L’installation et le paramétrage de l’outil se sont fait rapidement, le travail le plus important consiste à la migration des données” affirme M. Heitz qui a assuré le pilotage opérationnel du projet.
RETOUR D’EXPERIENCE : ELECTRICITE DE STRASBOURG
12
3. LE LOGICIEL, LA BRIQUE CENTRALE DU SAE
Pour construire un SAE, il faut un logiciel
Aussi bien dans la sphère publique que privée, le passage à l’archivage électronique est enclenché. Mais les projets ne s’improvisent pas et doivent obéir à des règles strictes. D’autant qu’aujourd’hui, la conception d’un système d’archivage électronique (SAE) a quelque peu évolué. On est passé de beaucoup de matériel et un peu de logiciel, à un substrat de matériel nécessaire et à un logiciel qui devient prépondérant. Sans logiciel donc, pas de SAE. La conception d’un SAE se fait désormais en partant du principe que la couche matérielle dédiée au stockage (SSD, Cloud, etc.) doit être transparente et se faire oublier au profit du logiciel de pilotage qui sait où sont les données, comment les récupérer, comment gérer leur intégrité, etc. Et à l’avenir, ce logiciel embarquera de plus en plus d'approches technologiques permettant de mieux gérer la disponibilité ou la traçabilité, et devrait être de plus en plus normé (au moins sur la traçabilité).
La multiplicité des normesSi au début des années 2000, il n’existait quasiment aucune norme relative à l’archivage, depuis, chaque année a apporté son lot de normes en provenance de telle ou telle commission de l’ISO, de l’Afnor, de communautés professionnelles, voire de l’Union Européenne. Résultat : on se retrouve face à un foisonnement de normes avec chacune son périmètre, sa stratégie, son vocabulaire et ce, au détriment des organisations qui ont du mal à y voir clair.
Repères
« L’archivage électronique en passe de devenir le principal s e g m e n t d u m a r c h é d e l'archivage dans sa globalité. En France, il avoisinait les 400 millions d’euros de chiffre d’affaires l’an dernier, après avoir atteint les 353 millions d’euros en 2014, +8% ».
(source étude SerdaLab 2016)
13
Entre la norme AFNOR NF Z44-022 (MEDONA pour Modélisation des échanges de données pour l’archivage), issue du Standard d’échange de données pour l’archivage (SEDA), qui apporte un cadre normatif pour les différents échanges d’informations (données comme métadonnées) entre l’utilisateur et ses partenaires archivage, la NF Z42-025 liée à la gestion des bulletins de paie électronique, la NF Z42-020 dédiée au composant “coffre-fort électronique”, la NF Z42-013 liée à l’archivage électronique ou la norme ISO 27001 identifiant la confidentialité comme un élément constitutif de la sécurité de l’archivage, plus d’une dizaine de référentiels sèment le trouble dans l’esprit des décideurs.
Conseillée, mais pas indispensable ?L’une d’elles sort toutefois du lot : la NF Z42-013. Elle s’avère très intéressante à appliquer pour un SAE complet, lorsque l'intégrité, la sécurité et la pérennité sont recherchées pour garantir les documents, mais elle n’est pas forcément indispensable. D'autant que s’y conformer coûte très cher et que les organisations ne sont pas forcément demandeuses. Beaucoup se contentent d'être au plus près de son cahier des charges.
Labels & bonnes pratiquesCette profusion de normes ne doit pas cacher le fait que cette question est souvent peu abordée dans les organisations et si elle l’est, la confusion entre sauvegarde, archivage ou stockage est fréquente. Certaines associations comme la Fédération des Tiers de Confiance (FNTC) peuvent également apporter leur aide, grâce aux labels qualitatifs (bonnes pratiques) qu’elles décernent à des services et à des solutions en matière de Tiers archivage et de Coffre fort électronique. Des labels qui font aussi partie des garanties de qualité mises à disposition d’organisation en quête de repères.
14
Trop de normes dans le domaine de l’archivage électronique ? Non, il n’y a pas trop de normes relatives à l’archivage, étant donné qu’il n’y en a pas beaucoup qui sont effectives sur le marché. Si l’on doit en retenir deux ou trois, je mentionnerai à titre principal, pour l’archivage, la norme AFNOR Z42-013, reprise à l’international avec la norme ISO 14641-1, ainsi que la Z42-020 pour le coffre-fort numérique.
Et pour une démarche générale, je citerai la norme ISO de la suite des 27001 qui peut être adaptée à la cible archivage en fonction de l’analyse de risques réalisée.
Eric A. CAPRIOLI, Avocat à la Cour de Paris,Docteur en droit.
Pourquoi respecter les normes ?Même si le sujet reste complexe, le respect des normes est malgré tout bénéfique à de nombreux points de vue : simplicité pour retrouver des documents grâce à la normalisation des descriptions documentaires, mise en confiance des utilisateurs ou clients par les archiveurs et services d’archives, ou encore garantie de l’intégrité des documents archivés. Cette conformité permet par ailleurs de s'affranchir des systèmes propriétaires qui lient la pérennité aux aléas économiques ou stratégiques de leurs promoteurs. Au-delà des choix techniques, la norme NF Z42-013 couvre les systèmes d’archivage électronique dans leur contexte quotidien d'utilisation. C'est ainsi que les aspects concernant la documentation technique du logiciel et du matériel mis en place, ainsi que la description précise de toutes les procédures d'exploitation y sont particulièrement développés pour assurer aux exploitants des connaissances techniques suffisantes pour gérer ou faire évoluer leur système d'archivage.
Archiver, c’est anticiperAlors, faut-il impérativement se conformer à la norme NF 42-013 (Iso 14641) ? Si oui, à quel niveau de conformité ? Faut-il sécuriser l’application de cette norme au sein de son Système d’Archivage Electronique jusqu’à obtenir la certification Afnor NF 461 ? Répondre à ces questions est loin d’être une sinécure. D’où l’intérêt de faire appel à des juristes et à des archivistes pour y voir clair et savoir à quels textes s’adosser pour mener à bien son projet. In fine, la mise en place d'une solution d'archivage électronique implique une forte imbrication des dimensions juridique, technique, fonctionnel et organisationnelle qui doivent être menées de concert en fonction des besoins. Sans oublier la dimension économique ni perdre de vue, le fait que même si la technique avance à pas de géant (les documents archivés ont vocation à être conservés plus longtemps que la durée de vie des technologies), le juridique ne suit pas forcément le même rythme et met un certain temps à s’adapter.
Les 15 questions à se poser pour mettre en place un logiciel
d'archivage électronique
Pourquoi archiver ?Vocation probatoire ou patrimoniale ? Archiver quoi ? Des documents numériques natifs ? Des documents numérisés ? Des documents entrants, sortants, produits par l'entreprise ? Quel volume ? Quelle durée de conservation ? Quel niveau de risque ? Quelle valeur ?Quelle sources ? Quel formats ? Quelles modalités de consultation ? Comment l'intégrer à l'architecture existante ? Comment procéder à la purge ?
15
NF Z42-013 Norme française (Afnor) précisant les mesures techniques et organisationnelles autour du fonctionnement d’un système d’archivage électronique (SAE). Cette norme déclarative met l’accent sur la traçabilité de tous les processus autour du SAE (dématérialisation, enregistrement, stockage, restitution de documents électroniques au sein du SAE…). L’objectif est de garantir l’intégrité des documents, autrement dit un archivage électronique à vocation probante.
ISO 14721 - OAISCette norme OAIS (système ouvert d’archivage de l’information) décrit la mise en place d’un SAE pour que ce dernier soit pérenne peu importe les évolutions numériques. Cette norme déclarative explique et décrit le modèle de structure de l’archivage et du fonctionnement d’un SAE. Elle propose un schéma conceptuel du SAE.
NF Z42-020Norme relative aux spécifications fonctionnelles d’un composant coffre-fort numérique (CCFN) destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps. Elle décrit les règles de l’Art à mettre en oeuvre afin qu’un SAE (Système d’Archivage Electronique) NF Z42-013 dialogue avec son CCFN.
Á cela, s’ajoutent les normes ISO 19005-1 (qui définit le format PDF/A-1 comme un format de fichier de documents électroniques placés dans un SAE devant être conservés sur du long terme), ISO 30300, ISO 30301 et ISO 30302 (2011 à 2014), Iso 15489-1 nouvelle version 2016, Iso 23081-1 et Iso 23081-2 (métadonnées), Iso TR 26122 (analyse des processus), ISO 16175-1 à 3 (orienté documents bureautique électroniques) liées au records management ou encore l’ISO 20652, norme fille de l’OAIS, PAIMAS pour Producer-Archive Interface Methodology Abstract Standard, exposant comment préparer et conduire dans les meilleures conditions les transferts d’objets numériques entre le producteur et « l’Archive », la norme ISO 15836 ou norme citée sous le nom de “Dublin Core” chargée de structurer les méta-données minimales descriptives quel que soit le type de document versé dans le SAE.
SE REPÉRER PARMI LES NORMES
ISO 14641-1 La norme Afnor NF Z42-013 est devenue en 2012 la base de la norme internationale ISO 14641-1. Bien que légèrement adaptée par rapport au texte original, la norme Iso détaille également de nombreuses spécifications pour la conception et l’exploitation d’un SAE. Comme la norme NF Z42-013, la norme déclarative ISO 14641-1 détaille tout le cheminement du document, soit son entrée, son stockage dans le SAE (format, durée, etc.) et sa sortie pour consultation par exemple.
16
ARCHIVISTE & ARCHIVEUR, AU COEUR DE LA CONFIANCE NUMÉRIQUE
Vecteurs de communication, moyens de preuve et outils de mémoire, les archives remplissent trois fonctions essentielles et sont liées à deux métiers voisins, mais, au fond, radicalement différents : l’archiviste d’un côté, dont la mission est de gérer toutes les étapes de la chaîne archivistique (la collecte et le classement des documents, leur traitement final, leur conservation et leur communication au public) et l’archiveur, de l’autre, un prestataire de services opérant comme tiers de confiance et se chargeant de la réception, de la conservation et de la restitution de documents électroniques (texte, signature, certificats, jetons d’horodatage, données de connexion, etc.) et des données qui y sont jointes. Gare à la confusion entre les deux termes et les deux métiers qui confrontent deux notions : le patrimoine informationnel (l’archiviste) et la preuve (l’archiveur).
Cela dit, l’avis de l’archiviste est éminemment important dans la conduite d’un projet d’archivage électronique. C’est souvent lui qui sensibilise les services de l’organisation à l’importance des archives. Car, même si elles ne sont plus utilisées, les archives ne sont pas inutiles pour autant, notamment en cas de contentieux, explique une archiviste en ajoutant, qu’il n’existe pas de solution unique et qu’il faut bien cerner le besoin et connaître l’organisation pour implanter le système efficace, dont le logiciel sera la pierre angulaire.
CONCLUSION
17
Cecurity.com est un Tiers de confiance, éditeur de logiciels pour l’échange sécurisé et l’archivage des originaux numériques. Les offres de Cecurity.com recouvrent les Systèmes d’Archivage Electronique (SAE), les coffres-forts numériques, les échanges électroniques certifiés et les prestations de dématérialisation avec respectivement ses logiciels PEA (Preuve Echange Archivage) et Coffre-fort électronique Communicant (CFEC).
En tant qu’éditeur, Cecurity.com propose ses licences sur site client ou en mode SaaS (Software as a Service). Ses logiciels sont conçus, développés et exploités en France.
Les échanges électroniques tracés, la protection des données et l'archivage des preuves numériques correspondent aux expertises de Cecurity.com avec des domaines d'applications tels que les factures électroniques, l'archivage des données comptables, la dématérialisation des bulletins de paie, la protection des données personnelles, la contractualisation en ligne,...
Cecurity.com est le seul en France à disposer du label CNIL coffre-fort numérique, de la certification NF Logiciel composant coffre-fort numérique d’AFNOR Certification, du label Coffre-fort électronique de la Fédération des Tiers de Confiance (FNTC) et de la certification CSPN de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).
18
EN PARTENARIAT AVEC