Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique

octobre 2008 par Jean-Marc Rietsch, FedISA

Si la dématérialisation correspond encore dans l’esprit de chacun à la numérisation de documents (papier) existants, il ne faudrait surtout pas la limiter à cela. En effet tous les bénéfices de la dématérialisation sont plutôt à rechercher du côté de la mise en œuvre de processus complets, sans aucun papier. Il en est déjà ainsi avec la déclaration d’impôt que nous pouvons tous effectuer directement sur internet. Au niveau des entreprises la même chose existe pour la déclaration de TVA mais au-delà avec les factures qui peuvent également être totalement dématérialisées de bout en bout de la chaîne, de leur création jusqu’à leur conservation avant destruction.

Les applications profitant de cette dématérialisation sont de plus en plus nombreuses, citons encore la dématérialisation des contrats à la consommation de certains organismes financiers sans oublier l’ensemble des réservations et des paiements sur internet. Compte tenu de ce qui précède, on se rend ainsi vite compte que cela doit permettre avant tout une plus grande efficacité des échanges mais aussi bien évidemment quelques contraintes supplémentaires.

Sur ce dernier point il ne faut surtout pas faire preuve de catastrophisme et tomber systématiquement dans un excès de peur face aux problèmes de sécurité qui certes sont sérieux mais parfaitement gérables et maîtrisables. Nous nous attacherons plus au problème posé par l’archivage électronique auquel nous sommes encore loin d’être habitué et sensibilisé alors qu’il s’agit en fait de trouver un remède face à ce que l’on pourrait appeler « l’Alzheimer des entreprises ». En effet, comment pourraient-elles fonctionner si elles perdent leur mémoire ?

Ainsi l’archivage électronique ne doit surtout pas être vu comme une simple transformation de l’archivage traditionnel papier en électronique. Il correspond en réalité à une nouvelle organisation des données dans l’entreprise et il est indispensable de prendre en compte l’ensemble du cycle de vie de ces données afin d’y apporter une réponse satisfaisante. L’archivage électronique ne doit surtout pas être vécu comme une contrainte mais au contraire doit favoriser une nouvelle organisation de l’information dans l’entreprise pour une plus grande efficacité. Ainsi on se rend compte qu’avec la dématérialisation et l’archivage électronique, les entreprises ont beaucoup à y gagner, car au-delà de l’information, il y a la connaissance, clé du succès pour faire face à la compétitivité de demain ainsi que le rappelle si justement Monsieur Alain Juillet (Haut Responsable à l’intelligence économique en France).

Une croissance des volumes de données à archiver

La croissance se retrouve sur plusieurs niveaux. Tout d’abord les volumes de données électroniques ne font qu’augmenter. Si l’on regarde simplement du côté des mails, selon le Gartner, l’ensemble des entreprises devrait archiver 7.000 pétaoctets de mails à horizon 2010. Au niveau professionnel nous devons en moyenne faire face à quelques 84 e-mails par jour et par personne qui occupent 10 Mo (Radica Group).

Quelques repères en matière de volume de données 100 mégaoctets (Mo) représentent le contenu d’une pile de livres de 1 mètre de haut, 2 téraoctets (1012 octets) correspondent à tous les ouvrages d’une bibliothèque universitaire et 2 pétaoctets (1015) aux fonds de toutes les bibliothèques universitaires des Etats-Unis !

Cette croissance se retrouve ensuite en matière d’exigences de conformité, la fameuse « compliance » au point que des postes se créent spécialement dans les entreprises pour y répondre. En effet, de plus en plus de lois et de réglementations imposent des obligations en ce qui concerne la dématérialisation le suivi des échanges et l’archivage électronique. Sans vouloir être exhaustif nous pouvons néanmoins citer SOX, Bales II, SEC 17a-4, Loi sur la Sécurité Financière (LSF), … en matière de finance ou encore HIPAA (Health Insurance Portability and Accountability Act), CFR 21 part 11,… au niveau de la santé, sans oublier les données personnelles avec la CNIL.

Face à cette évolution des obligations, une nouvelle notion est même apparue outre atlantique « electronic discovery » ou « ediscovery » qui correspond en fait à tout processus pour lequel une donnée électronique doit potentiellement être : cherchée, identifiée, trouvée, sécurisée, si l’on devait un jour la rechercher avec l’intention de l’utiliser comme un élément de preuve au cours d’un litige.

Enfin comme nous l’évoquions précédemment, la croissance se situe également au niveau des risques : perte d’information, usurpation d’identité, accès non autorisés, falsification de documents, destruction intempestive, …alors que l’information est la richesse même de l’entreprise, d’où la nécessité à bien se protéger sachant que les moyens existent et qu’il s’agit plus aujourd’hui d’une prise de conscience des entreprises en la matière.

La rupture du document électronique avec son support

Par ailleurs la notion même de document numérique marque toute l’importance du contenu informationnel et de cette notion d’information immatérielle. Il y a ainsi rupture entre le support et l’information. En effet pour un document traditionnel le support (en général papier) et l’inscription qui y est faite sont indissociables et directement perceptibles (intelligibles) par la lecture. A l’inverse un document numérique est en fait constitué à la fois d’une structure, de données et de la façon de les mettre en forme et de les présenter. On a ainsi toujours besoin d’un dispositif mais surtout d’un processus permettant l’interprétation des données qui ne sont plus intelligibles en lecture directe. La notion même de support se complexifie et devient ambiguë. S’agit-il du fichier, de l’outil matériel qui l’héberge, de la surface de l’écran où il s’affiche ? (voir à ce sujet le rapport Roger T. Pédauque, STIC-CNRS)

La nécessaire prise en compte de l’ensemble du cycle de vie de l’information

Un profond changement est à opérer quant à la façon de gérer l’information de telle sorte que dès sa création, un document soit assorti d’informations complémentaires (les métadonnées) destinées entre autre à permettre son évolution et son archivage en toute conformité. La législation impose en effet de pouvoir au besoin apporter la preuve de l’identification de l’auteur d’un document et ce dès sa création et pas seulement au moment de son archivage. En fait l’on peut distinguer trois grandes étapes dans la vie d’un document : de sa création jusqu’au moment où il est dit figé, toute la période de conservation dictée par des obligations légales, réglementaires voire internes et enfin l’archivage au sens patrimonial et historique du terme qui ne représente en fait que quelques pourcents de l’information initialement créée. Cette notion même de validation d’un document, moment à partir duquel il n’est plus modifié, revêt une importance capitale dans tous les processus de dématérialisation. Dès cet instant le document devient en effet archivable au sens électronique du terme, ce qui ne veut pas dire pour autant qu’il n’est plus utilisé, bien au contraire.

Contraintes de la dématérialisation et de l’archivage électronique

- Contraintes techniques

La première des contraintes concerne le format logique des documents. En effet, comme vu précédemment, un document électronique nécessite systématiquement un traitement de transcription de la suite d’octets enregistrée sur le support électronique (disque, bande, …) afin de le présenter de façon intelligible à l’utilisateur humain que nous sommes. Un tel traitement dépend essentiellement du format logique dans lequel sont enregistrés les documents électroniques. Il est ainsi fondamental d’utiliser des formats pérennes de telle sorte que l’on soit toujours capable au cours du temps d’effectuer la transcription évoquée précédemment permettant de rendre intelligible la suite d’octets conservées. On aura donc intérêt à privilégier des formats standards (normalisés, d’utilisation libre) à des formats fermés aux spécifications secrètes.

En complément direct à ce qui précède, se pose le choix du support. Il s’agit là du véritable paradoxe de l’archivage électronique qui consiste à devoir conserver pendant des périodes relativement longue voire ad vitam aeternam, des données en utilisant des supports dont l’obsolescence est extrêmement rapide. La seule solution est en réalité d’anticiper cette évolution et de prévoir systématiquement une migration des données d’un support à un autre de façon régulière. Néanmoins certains types de supports sont plus appropriés que d’autres lorsque l’on traite d’archivage électronique. Sans vouloir tous les citer, précisons que la notion fondamentale est ici celle du WORM (Write Once Read Many) consistant à protéger la donnée d’une modification ou d’une suppression intempestive et ainsi garantir son intégrité.

Si les migrations de support répondent au problème de l’obsolescence matérielle desdits supports, reste entier le problème lié au changement du format logique des données. En effet, compte tenu de l’évolution des technologies, nous avons aujourd’hui la quasi certitude que les formats utilisés de nos jours ne le seront plus dans quelques décennies, voire avant, du fait de l’arrivée de nouveaux types de supports. Il est donc indispensable de pouvoir anticiper ce genre de migration et prendre les précautions indispensables pour offrir toutes les garanties destinées à prouver que le contenu informationnel des données ne sera pas modifié au cours de telles migrations.

Enfin si la signature électronique apporte beaucoup de sécurisation à tout ce qui est dématérialisation dans la mesure où elle permet à la fois une bonne identification de l’auteur d’un document mais aussi le contrôle de l’intégrité dudit document, elle impose certaines précautions à prendre en matière de préservation. En effet, se pose à la fois la nécessité de pouvoir vérifier à tout moment les éléments de cette signature (intégrité mais aussi validité du certificat électronique utilisé pour signer) mais également le problème de l’obsolescence cryptographique du procédé de signature. La meilleure solution pour répondre à ce genre de problématique est sans aucun doute d’avoir recours à un tiers, en l’occurrence une autorité de gestion de preuve.

L’AGP (autorité de gestion de preuve)

Il s’agit d’une organisation permettant au propriétaire (physique ou moral) d’un document signé électroniquement, de pouvoir en garantir la source et son opposabilité dans le temps indépendamment de l’évolution technologique.

Par rapport à la signature électronique l’AGP la vérifie d’un point de vue technique et se porte garante de cette vérification au travers d’une attestation de preuve dont elle garde la trace. En matière de traçabilité l’AGP permet ainsi de donner une valeur juridique aux éléments techniques des journaux grâce à l’établissement de cette attestation de preuve.

L’AGP prend en charge et assure la validité des données par rapport aux vérifications effectuées (intégrité et validité du certificat électronique ayant permis de signer) mais non par rapport au contenu d’un document. L’AGP est par ailleurs responsable de la validité des attestations de preuve établies et se doit de les archiver pour son compte.

L’attestation de preuve établie constitue en fait un véritable engagement de l’AGP de la date et de la « validité » juridique des données au moment de leur vérification. Cette attestation est signée électroniquement par l’AGP.

- Contraintes légales et réglementaires

Comme évoqué précédemment les éléments de conformité pesant sur la dématérialisation sont de plus en plus nombreux et nous ne pourrons les détailler ici. Néanmoins il nous paraît important de préciser l’un des fondamentaux de ces exigences, à savoir la loi du 13 mars 2000 conférant une véritable reconnaissance de valeur probante à l’écrit sur support électronique au même titre que l’écrit sur support papier. Sans entrer dans les détails, les principales exigences à retenir sont les suivantes :
- Intelligibilité : peu importe la forme de l’information, l’essentiel est qu’elle soit restituée de façon compréhensible par l’homme et non par la machine ;
- Identification : l’écrit sous forme électronique doit permettre d’identifier la personne dont il émane ;
- Intégrité : cette garantie d’intégrité s’applique au contenu informationnel de l’écrit électronique et non seulement à son intégrité technique, limitée à la suite d’octets constituant le document ;
- Pérennité : permet de respecter les durées de conservation prescrites par les textes en fonction de la nature du document et des délais de prescription.
A ces quatre exigences s’ajoute également la notion importante de confidentialité et d’accès contrôlé à l’information, particulièrement sensible au niveau de la loi "Informatique et Libertés" dont la CNIL est chargée de veiller au respect.

Au sujet de l’intégrité juridique

Dans ses recommandations sur la « conservation électronique des documents », le Forum des Droits sur Internet propose en définitive, pour garantir l’intégrité d’un écrit, que trois critères soient cumulativement réunis par le processus de conservation :
- la lisibilité du document : désigne la possibilité d’avoir accès, au moment de la restitution du document, à l’ensemble des informations qu’il comporte. Cette démarche peut être grandement facilitée par les métadonnées à associer au document.
- la stabilité du contenu informationnel : désigne la nécessité de pouvoir garantir que les informations véhiculées par le document restent les mêmes depuis l’origine et qu’aucune n’est omise ou rajoutée au cours du processus de conservation. Le contenu informationnel s’entend de l’ensemble des informations, quelle que soit leur nature ou leur origine, issues du document et, le cas échéant, de sa mise en forme.
- la traçabilité des opérations sur le document : désigne la faculté de présenter et de vérifier l’ensemble des traitements, opérés sur le document lors du processus de conservation.

En matière de droit nous en profitons pour rappeler que seul le juge décide. Afin d’apprécier la conformité d’un système ce dernier dispose de plusieurs éléments :
- les conditions légales prescrites dans les textes et telles que nous venons de rapidement les détailler ;
- les normes techniques en vigueur sachant qu’il est toutefois important de préciser qu’elles n’ont pas de caractère obligatoire et ne constituent qu’un indice de la fiabilité du système dans la mesure où elles correspondent à la reconnaissance d’un certain « état de l’art » ;
- les systèmes de certification, de référencement ou de labellisation ;
- les experts informatiques.

- Contraintes sécuritaires

En matière de sécurité nous retrouvons bien évidemment l’ensemble des préoccupations en la matière, que nous rappellerons brièvement, à savoir :
- Identification, authentification (vérification de la réalité de l’identification)
- Confidentialité et contrôle d’accès, faire en sorte que les informations ne soient accessibles que par les personnes autorisées ;
- Disponibilité en matière de communication, définir un niveau de rapidité d’accès à l’information fonction du besoin des utilisateurs ;
- Accessibilité, habilitation (définition des droits d’accès) ;
- Intégrité technique (déjà largement évoquée) ;
- Pérennité, durée de conservation ;
- Traçabilité, conservation des actions, en complément de l’intégrité technique afin d’assurer l’intégrité juridique.

Nouvelle organisation

Face à toutes ses contraintes il existe fort heureusement des solutions que nous de détaillerons pas ici comme la façon de qualifier l’information et l’importance des métadonnées, la prise en compte de la notion de projet lorsque l’on aborde des problématiques de dématérialisation et d’archivage électronique, l’évolution des normes et autres interfaces plus techniques comme l’interface XAM pour eXtensible Access Method destinée à fournir une indépendance quasi-totale entre les applications, les logiciels d’administration et les systèmes de stockage.

- Les tiers de confiance

Nous nous attarderons néanmoins un peu plus sur la notion de tiers de confiance, présentée souvent comme une notion nouvelle alors qu’en réalité elle existe depuis fort longtemps. En effet les notaires ne représentent-ils pas un tiers de confiance par excellence tant sous l’aspect rédaction que conservation et horodatage. Les tiers de confiance sont très importants d’un point de vue « légal » dans la mesure où ils se portent garant d’une partie de la chaîne de confiance qui doit être maintenue tout au long des processus envisagés de dématérialisation. Nous citerons rapidement les quatre tiers que l’on retrouve le plus fréquemment, à savoir :
- Certificateurs (autorité, opérateur), agissent dans le domaine de la signature électronique et s’engagent quant à la validité du certificat au moment où il est utilisé ;
- Horodateurs, garantissent une date et une heure mais n’interviennent en aucune façon sur le contenu au sens informationnel ou intégrité ;
- Archiveurs, s’engagent à conserver les données qui leur sont confiées pendant toute la durée requise de façon intègre ;
- Autorité de gestion de preuve, établit une attestation de preuve témoignant de la validité de la signature électronique d’un document, tant sous son aspect intègre que sur la validité du certificat.

- Nouvelles applications

Comme évoqué précédemment, les notaires sont également de véritables tiers de confiance et participent dans ce sens au développement de la dématérialisation au sein de leur profession avec par exemple la mise en place de téléacte (échange dématérialisé avec le service des hypothèques) mais aussi et surtout par la naissance de nouveaux services comme celui du dépôt électronique notarial.

Le Service Notarial de Dépôt Electronique (proposée par la Chambre des Notaires de Paris)

Accessible exclusivement chez son notaire, ce service permet non seulement d’archiver des données à haute valeur ajoutée dans des conditions de sécurité juridiques et technologiques optimales, mais également de prouver de manière certaine leur origine, leur date de dépôt et leur intégrité.

Un patrimoine à protéger et à valoriser : Professionnel ou entreprise, leur activité est créatrice d’informations et de connaissances qui composent leur patrimoine informationnel. Ces données à haute valeur ajoutée pour leur activité sont d’autant plus vulnérables qu’elles sont aujourd’hui couramment exploitées, copiées et sauvegardées sur supports électroniques. Elles correspondent à des actifs immatériels auxquels il faut donner la protection juridique et technique qu’ils méritent.

Les huissiers de justice proposent également un service de dépôt mail tandis qu’au niveau européen une initiative démarre avec les notaires sous la forme d’un service générique baptisé eWitness ® (www.ewitness.eu) qui concerne :
- Les documents : Archivage et certification de documents électroniques pour le long terme ;
- Les mails : Enregistrement de services de mail (AR) ;
- Le téléphone : Archivage et certification du contenu de conversations téléphoniques sur IP ;
- Le web : Certification et authentification de transactions avec une véritable valeur légale.

Comme il est facile de le constater à la lecture de ce qui précède, la dématérialisation est donc loin d’un simple phénomène de mode et nous n’en sommes qu’à ses balbutiements et elle touche autant les entreprises que les particuliers. Nous sommes ainsi à l’aube d’une réorganisation profonde des flux d’information dans l’ensemble des organisations avec pour principal objectif de gagner en efficacité sans pour autant perdre en relationnel. Il faut donc y voir une formidable opportunité tant du côté des professionnels que du côté des simples utilisateurs citoyens que nous sommes, afin de nous permettre, au delà de l’information, d’accéder à plus de « connaissance ».


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants