Jean-Marc Rietsch, Président de FedISA, a introduit le sujet en rappelant qu’en matière d’archivage, il était important de séparer le contenu du contenant. Ainsi, la dématérialisation des documents fait apparaître un certain nombre de risques qui doivent être bien identifiés pour éviter des désagréments face à son assureur et/ou juge, le jour où des problèmes se posent. Ces risques sont multiples, de la perte de données à la non recevabilité du document produit devant le juge. Il est donc important de mesurer l’occurrence du risque et ses conséquence en termes financiers, mais aussi sécuritaire, de perte d’image… les réponses sont à la fois techniques par la définition de politique de sécurité et d’archivage mais aussi organisationnelles en mettant en place des processus bien audités et aussi financiers en souscrivant une assurance qui couvre les risques résiduels.

Maître Isabelle Renard a rappelé en préambule que le droit est un instrument de gestion du risque au service de l’entreprise. Dans un contexte de dématérialisation, il est important de mettre en place des processus précis de création des documents jusqu’à leur archivage, voire leur restitution. Ainsi, il est nécessaire pour les entreprises de procéder à un audit juridique afin de déterminer la valeur probante d’un processus de dématérialisation. Il devra prendre en compte :

– L’origine et l’intégrité du document tout au long de son cycle de vie,

– Les modalités de conservation de certaines catégories de données : factures, données comptables, financières, personnelles… et vérifier la conformité par rapport aux réglementations en vigueurs,

– Les durées de conservation en fonction des types de données,

– Les risques encourus en termes de pertes financières, juridiques…

Souvent dans les entreprises, on pratique des audits techniques et, a posteriori, suite à un problème, une analyse du risque juridique… A ce jour, Maître Isabelle Renard a rappelé qu’à sa connaissance, il n’y avait pas eu encore d’affaire suite à une remise en cause de preuve de documents dématérialisés… Pourtant plusieurs problèmes doivent être envisagés :

– Remise en cause d’un document par l’administration fiscale,

– Non reconnaissance d’un bulletin de salaire dématérialisé par une caisse de retraite,

– Contestation par un assuré de son contrat d’assurance souscrit par Internet, ou de toute preuve dématérialisée…

Les problèmes risquent de se poser de façon plus aigue dans le temps du fait de la lisibilité des preuves et de l’évolution des standards.

Les entreprises qui ont choisi d’internaliser tout le processus de dématérialisation doivent prendre en compte le fait qu’en cas de problèmes des expertises coûteuses pouvant aller jusqu’à 50.000 € pourront être demandées par le juge.

Les entreprises qui ont recours à un tiers archiveur doivent faire attention à sa légitimer dans le temps. Ainsi, Maître Renard estime que la CDC, l’Imprimerie Nationale, la Chambre des Notaires… sont des tiers archiveurs légitimes. Toutefois, la mise en place de processus légitimes n’élimine pas tous les aléas…

Pour Patrick Pouillot, ACE Europe, les assurances face aux risques informatiques sont confrontées au problème de la remise en cause de leur modèle de calcul de primes basé sur le calcul mathématique en fonction du rapport occurrence/coût des dommages. En effet, les risques virales et de DoS sont de plus en plus courants et peuvent avoir dans certains cas une occurrence rapide, voire même provoquer des dommages sur des tiers. Cette multiplicité des risques avec, de plus, une immatérialité des dommages causés et surtout de leur évaluation est donc particulièrement difficile à prendre en compte et donc à assurer. En effet, calculer le remboursement d’un PC, d’un serveur, d’une bande… est assez aisé par contre évaluer le coût d’une donnée, de la perte d’image, de l’impact de l’indisponibilité de l’accès à Internet du fait de l’opérateur Télécoms pour une entreprise… pose des problèmes.

Jean-Laurent Santoni, de chez MARSH a soulevé les 3 grands problèmes qui se posent actuellement :

– Le risque lié au projet d’archivage électronique

– Le risque de conservation des données d’archivages

– Le risque de non restauration des données.

Aujourd’hui, dans les entreprises on peut trouver trois grands systèmes les Mainframe avec des systèmes fermés et donc un archivage relativement aisé, les Client/Serveurs de type base données Oracle… système donc plus ouvert et les informations qui transitent via Internet où là la conservation des données est problématique. Avec l’ouverture du à l’Internet, on est confronté à des flux et des objets ce qui pose un problème pour cartographier les systèmes et les acteurs. Ainsi, il faut prendre en compte l’approche sauvegarde des données et cycle de vie de l’information. De plus, il est nécessaire de différencier la donnée de l’information. En effet, la donnée peut subir des transformations alors que l’information doit être probante, figée et intègre.

On est passé d’un monde où il fallait faire la démonstration de la faute, puis à la responsabilité. Par la suite, est venu le problème de l’évaluation des personnes physique et/ou morale lésées, pour arriver de nos jours à parler du défaut de conformité avec en regard la sanction du marché et/ou du régulateur.

Pour conclure, Jean-Laurent Santoni a rappelé que dans le cas d’un sinistre informatique, si le coût du matériel est de 1, la récupération des sauvegardes est de 10, par contre les pertes financières peuvent être de 100…