archivage electronique et conformité réglementaire

Livre blanc

Octobre 2010

Archivage Electronique et Conformité

Réglementaire

Comprendre et mettre en œuvre des systèmes d’archivage électronique à

valeur probatoire

24, rue de Milan

75009 Paris - France

+33 (0)1 44 53 45 00

www.serda.com

17 quai Joseph Gillet

69004 Lyon - France

+33 (0)4 26 68 33 00

www.ever-team.com

Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SAW

2

1. A propos de cet ouvrage .......................................................................................................................... 3

2. Enjeux ...................................................................................................................................................... 4

3. Genèse du Système d’Archivage Electronique ......................................................................................... 5

4. SAE et systèmes de stockage ................................................................................................................... 8

5. Cadre juridique et légal associé au SAE .................................................................................................. 18

6. Cadre normatif associé au SAE ............................................................................................................... 20

7. Mise en place d’un SAE : un projet à plusieurs étapes. .......................................................................... 25

8. Bénéfices et Perspectives ....................................................................................................................... 28

9. Les contributeurs ................................................................................................................................... 29

Livre blanc : Archivage Electronique et Conformité Réglementaire ©EVER TEAM SA

3

1. A PROPOS DE CET OUVRAGE

Ce document s’adresse à tous ceux qui doivent mettre en place un Système d’Archivage

Electronique (SAE). Il sera très utile pour ceux qui mènent des missions de conseil et de

prévention et qui doivent s’assurer de la maîtrise du risque de non-conformité, risque pouvant

entraîner des sanctions pénales et financières et une atteinte à l'image de l'entreprise et de ses

dirigeants. En plus des responsables conformité (Compliance Officer), ce document s’adresse aux

DSI qui devront mettre en place le SAE.

Ce document souligne les points essentiels pour concevoir, mettre en place et exploiter un

système d’archivage électronique conforme à la réglementation, avec une vision juridique,

organisationnelle et technique, apportée par Philippe Ballet, avocat chez Alain Bensoussan

Avocats, Michel Thomas, consultant expert chez Serda, Christian Dubourg, Directeur chez EVER

TEAM Software. Une partie des textes composant ce document est issue d’un article intitulé

«SPECIFICATIONS JURIDIQUES ET TECHNIQUES DES SYSTEMES D’ARCHIVAGE ELECTRONIQUE »

publié le 5 février 2010 et rédigé par Philippe Ballet et Michel Thomas.


4

2. ENJEUX

Depuis que les entreprises ou les collectivités échangent des informations avec des tiers, il est

indispensable pour certaines catégories de documents de mettre en place des systèmes afin de

conserver les documents qui revêtissent une valeur légale opposable à un tiers. Cette valeur ne

s’applique qu’aux documents originaux. La loi définit précisément les obligations et les durées de

conservation ainsi que les risques financiers voir pénaux associés au non respect de ces

obligations.

Les normes et réglementations ont été modifiées durant ces dix dernières années pour s’adapter

au nouveau contexte d’une gestion des données et des documents dématérialisés. La crise

financière va accroître cette pression réglementaire. La Commission européenne a récemment

publié une proposition de directive visant à harmoniser la réglementation du secteur financier.

En France, les prestataires de services d’investissement (PSI) sont soumis au Code monétaire et

financier ainsi qu’au Règlement général de l’Autorité des Marchés Financiers. Ces dispositions

leur impose la mise en place d’un système d’archivage électronique, lequel participe directement

au contrôle permanent interne, en particulier la sécurité de l’information, comme l’intégrité et,

par conséquent, à la maîtrise du risque opérationnel.

Le recours aux normes, telle que la norme NF Z42-013 sur l’archivage électronique, s’il est

nécessaire, ne dispense pas d’une réflexion approfondie pour en faire un outil de conformité

avec une approche des coûts et des risques.

Au-delà des risques économiques liés à la non conformité, notamment le pouvoir de sanctions

de l’Autorité des marchés financiers, la croissance non contrôlée de la volumétrie des données

milite également pour la mise en place d’un système d’archivage électronique permettant de

gérer les durées de conservation et de désengorger les serveurs de production.


5

3. GENESE DU SYSTEME D’ARCHIVAGE ELECTRONIQUE

Du Papier au

fichier

Les documents sont des flux d’informations qui entrent ou qui sortent des

organismes ou des entreprises depuis toujours. Ces documents contiennent des

informations plus ou moins importantes et plus ou moins précieuses pour

l’entreprise. Il s’agit souvent d’informations échangées avec des tiers via des

moyens technologiques même anciens tels que le papier qui permettent de

fixer les mots et de les transporter. Avant les années 1960, le support papier a

été en majorité utilisé pour transporter les informations échangées. Ainsi, le

document est devenu un support de contenu créé par un tiers à destination

d’un autre tiers. Les moyens d’acheminement de ces documents

correspondaient au déplacement physique du papier d’un émetteur vers un

destinataire. Pour ce faire, les entreprises utilisaient les services de tiers de

confiance comme ceux proposés par La Poste en France. Pour les documents

jugés importants, ces tiers de confiance offraient également des services plus

ou moins couteux pour permettre d’apporter la preuve à l’émetteur que le

document avait bien été reçu par le destinataire (recommandé avec AR).

Comme les possibilités de perte des documents existaient pendant la phase de

transport, il était coutume de réaliser une copie papier du document avant de

le confier au tiers de confiance. Ainsi, il était toujours possible de renouveler

l’envoi en cas de défaillance du tiers de confiance.

Dans les années 1970, l’arrivée de nouveaux moyens de communication a

changé la manière dont les entreprises échangeaient les documents. L’arrivée

des télécopieurs apportait de véritables nouvelles possibilités technologiques

pour simplifier l’échange de copie de documents papiers entre tiers sans

déplacer physiquement le support papier. Les défauts du télex étaient

entièrement gommés par ce nouveau moyen de communication basé sur des

normes d’échange internationales (CCITT) et permettant de reproduire à

l’identique sur le terminal papier du destinataire, le document envoyé par

l’émetteur. Toutes les informations visuelles (logo, signature, …) étaient

reproduites par ce nouveau procédé technologique mais avec quelques

dégradations du fait de la perte de qualité et de l’appauvrissement réalisé par la

transformation des couleurs en points noirs et blancs.

L’arrivée des serveurs fax, puis de la messagerie électronique a facilité encore

les échanges de copie de documents papiers entre tiers tout en conservant les

principes initiaux du télécopieur. Les copies de documents sont transmises sous

la forme de fichiers électroniques comportant l’image des documents papiers.

Il n’est dès lors plus nécessaire d’imprimer le fichier pour visualiser et exploiter

le document électronique.


6

Malgré la facilité de transport des copies de document via la messagerie ou

tout autre moyen, la majorité des documents échangés entre tiers doit être

conservée à fin de preuve. Comme le mentionne la loi du 13 mars 20001

précisant l’usage d’un procédé fiable d’identification garantissant son lien avec

l’acte auquel elle s’attache, la copie électronique dépourvue d’une

identification intègre du signataire ne suffit pas à donner à ce document

électronique une valeur identique au document original. La conservation de

certaines catégories de documents papiers est donc toujours nécessaire même

si la loi facilite l’utilisation des copies électroniques. Pour exemple, depuis 2001,

les services administratifs, les entreprises, ne peuvent plus dans leurs

demandes, exiger la production d'une copie certifiée conforme à l'original d'un

document administratif. La production d'une photocopie simple du document

original, dés lors qu'il est lisible, doit être acceptée. Cependant, en cas de

doute sur la validité de la copie produite ou envoyée, ces administrations ou

autres organismes peuvent demander de manière motivée, par lettre

recommandée avec demande d'avis de réception, la production de l'original.

Documents

électroniques :

cycle sans

papier

Depuis quelques années, la législation a évolué afin de permettre aux

entreprises de dématérialiser dès l’origine certains documents et de passer

dans un cycle sans papier. Avec cette approche, il n’est plus nécessaire de

générer une forme papier du document. C’est par exemple le cas pour la

facture électronique. Pour ce type de document, trois possibilités sont

offertes :

� La dématérialisation simple: la facture papier est numérisée pour un usage

propre à l’entreprise (service comptable, commerciale, marketing, etc.).

Avec cette approche, les « informations » de la facture sont disponibles

sous forme électronique mais la « facture-papier » reste nécessaire d’un

point de vue fiscal.

� La dématérialisation fiscale sous forme de flux EDI : la facture papier

n’existe plus. Les informations contenues dans la facture sont structurés

sous forme de données informatique et échangées entre système

informatique via l’EDI. Ce moyen d’échange reste cependant couteux à

mettre en place pour les PME.

� La dématérialisation fiscale sous forme de fichier : L'article 289-V du CGI4 2

fixe la possibilité d'une dématérialisation fiscale de la facture sous la forme

1 Loi n°2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information

et relative à la signature électronique.

2 Code Général des impôts : Article 289 modifié par LOI n°2010-237 du 9 mars 2010 - art. 16


7

d’un fichier qu’il est alors possible de véhiculer simplement. « Les factures

peuvent, sous réserve de l'acceptation du destinataire, être transmises par

voie électronique dès lors que l'authenticité de leur origine et l'intégrité de

leur contenu sont garanties au moyen d'une signature électronique. Les

factures ainsi transmises tiennent lieu de facture d'origine pour

l'application de l'article 286 et du présent article.». Les modes

d’implémentation de cet article peuvent être mis en oeuvre à l’aide de

fichiers non structurées ou semi-structurées (facture au format PDF, …),

comme à des fichiers structurés (fichiers xml, ebXML par exemple). Pour

faciliter les échanges électroniques, l’administration fiscale a précisé que la

signature électronique pouvait émaner d’une personne morale et non pas

uniquement d’une personne physique.

Plus récemment, Le Code du travail modifié par la Loi du 12 mai 2009 donne la

possibilité aux employeurs de remettre un bulletin de paie aux salariés sous

forme électronique. Il devient donc important de pouvoir mettre en place un

moyen pour conserver les documents électroniques et les mettre à disposition

pour des tiers (salariés par exemple) mais également pour pouvoir conserver

les fichiers électroniques envoyés par des tiers.

La conservation

du document

numérique :

naissance du

SAE

De part l’ensemble des avantages qu’apportent le document numérique,

l’usage du document papier diminue très rapidement et d’une manière

inexorable. Le document original numérique devient donc un ensemble

d’octets qu’il convient de conserver aussi longtemps et d’une manière aussi

adaptée que ce qui était mis en place pour les documents papiers. Les

obligations et les risques associés à la non conservation des documents

électroniques originaux sont les mêmes que ceux qui existent vis-à-vis des

originaux papiers. Comme pour les documents papiers, il ne doit exister qu’un

seul original. Celui qui à une valeur légale. Les autres documents peuvent être

considérés comme des copies. Une impression papier d’un document

électronique n’a pas de valeur légale même si on pourrait peut-être arriver à

lui donner une certaine valeur probatoire à l’aide d’éléments de preuve

associés à la copie papier. La conservation des documents papiers à valeur

légale est assurée par la mise en place d’un système d’archivage où les

documents sont classés dans des boîtes d’archives, elles mêmes rangées dans

des rayonnages. Parfois, pour faciliter l’accessibilité à certaines catégories de

documents, des moyens de reproduction sont mis en place par ces services. Il

peut s’agir de techniques de micrographie ou de numérisation. Le système

d’archivage papier peut être interne à l’entreprise, ou externalisé chez un tiers

archiveur spécialisé dans la gestion des documents papiers. Dans le cadre de la

numérisation, les images des documents peuvent être versées dans le système

d’archivage électronique afin de leur donner une valeur de copie. Pour assurer

la conservation des documents électroniques, le système d’archivage papier

doit être remplacé ou complété par Le SAE (Système d’Archivage Electronique).


8

4. SAE ET SYSTEMES DE STOCKAGE

Principes

fondamentaux

Avec l’arrivée des documents électroniques à valeur légale, les nouveaux enjeux

pour les entreprises et les tiers archiveurs consistent à assurer la valeur

probatoire dans le « temps probant » pour ces nouveaux types de documents.

La difficulté liée à la volatilité des documents électroniques est réelle et

nécessite de mettre en place un système performant apportant de véritables

solutions liées aux contraintes imposés par un SAE:

� La prise en charge et la maitrise des versements des documents

électroniques dans le SAE.

� L’intégrité des documents versés dans le SAE.

� La traçabilité des actions réalisées sur les documents électroniques et aux

opérations réalisées au sein du SAE.

� La pérennité des documents électroniques et des traces associées au

regard du temps pour permettre la lisibilité et l’audit des contenus.

� La réversibilité des contenus archivés dans le SAE

� La sécurité des documents électroniques et du SAE.

Le SAE gère les documents électroniques qui lui sont confiés par des

applications externes. Pour le stockage des fichiers, il peut s’appuyer sur un

« coffre-fort numérique » ou gérer directement le stockage sur des ressources

disques qu’il pilotera. Les outils et mécanismes de stockage, qu’il soit mis en

œuvre par le SAE ou par le « coffre-fort numérique » piloté par le SAE, doivent

respecter les standards et ne pas utiliser des principes de chiffrement ou tout

autre mécanisme propriétaire de gestion des fichiers.

Les documents électroniques qui doivent être conservés pendant plusieurs

dizaines d’années doivent être stockés de manière à ce qu’il soit facilement

possible de les déplacer sur de nouveaux supports de stockage au bout de

quelques années du fait de l’obsolescence rapide (moins de 10 ans) des

technologies de stockage. Le SAE doit donc être le plus indépendant que

possible du matériel utilisé pour le stockage afin de pouvoir facilement en

changer lorsque ce matériel devient obsolète. Pour ce faire, le SAE doit être

régulièrement contrôlés afin de vérifier que les technologies qu’il utilise restent

pertinentes au regard des évolutions technologiques. Il doit permettre

d’anticiper l’obsolescence afin de gérer le changement dans des conditions

organisationnelles et financières optimales.

Dans tous les cas, le SAE a la responsabilité des documents électroniques qui lui

sont confiés et doit mettre en œuvre l’ensemble des moyens techniques et

technologiques nécessaires pour répondre aux contraintes exposées ci –dessus.


9

Architecture

d’un SAE et

enjeux

stratégiques

dans le système

d’information

Le SAE dans le SI

Les applications métiers qui génèrent des documents papiers pour des tiers

(rentrant dans le cadre des catégories de documents qu’il faut conserver) sont

amenées à évoluer. Actuellement, ces applications utilisent en majorité des

services d’impression et de mise sous pli des documents pour imprimer puis

envoyer par courrier les documents aux tiers. Une copie est alors conservée

dans le service d’archive ou directement aspirée par un outil de GED (Gestion

Electronique de Documents) de type COLD.

Les nouvelles générations d’application métiers permettent déjà pour certaines

et vont permettre pour les autres, de générer des documents électroniques, de

les signer pour en assurer l’authentification, et de les déposer sur des serveurs

sécurisés pour que les destinataires puissent les récupérer. Certaines

applications vont jusqu’à gérer l’envoi des données électroniques (EDI) vers les

systèmes tiers.

Cependant, ces applications métiers n’offrent pas la possibilité de gérer la

valeur probatoire des documents électroniques car cette préoccupation est

éloignée du cœur de l’application. De plus, les échanges multi latérales

s’intensifient, et les entreprises reçoivent de plus en plus de documents

électroniques par des canaux aussi difficiles à maitriser que la messagerie

d’entreprise.

Afin de gérer les documents électroniques entrants et sortants qu’il convient de

conserver au regard de la politique d’archivage de chaque entreprise, il devient

nécessaire de mettre en place au service du système d’information de chaque

entreprise, un SAE capable de gérer les documents électroniques en

provenance des différents canaux et progiciels qui peuvent fournir ce type de

document. Pour permettre aux applications du SI de déposer des documents

électroniques dans le SAE d’entreprise, il est nécessaire de mettre en place des

mécanismes de versements universels que toutes les applications existantes ou

à venir dans le SI pourront utiliser afin de confier leurs documents.

ECM - GED - SAE

Le système d’archivage électronique (SAE) est un sous ensemble des

technologies de la gestion de contenu (ECM). La gestion électronique des

documents (GED) est également un sous ensemble de la gestion de contenu

(ECM). Les deux types d’application (GED et SAE) gèrent des documents

électroniques.

Il semble donc à priori étonnant de devoir mettre en œuvre un SAE lorsqu’une

GED est en place ou de mettre une GED en place lorsqu’un SAE est en place.

Pourtant le périmètre d’un SAE est totalement différent de celui d’une GED.


10

Un document électronique possède une durée de vie globale souvent qualifié

dans les normes de durée administrative (DUA). Cette durée de vie est elle-

même constituée de deux périodes différentes. La durée d’utilité courante et la

durée d’utilité intermédiaire. La durée d’utilité courante est la durée durant

laquelle l’accès au document est souvent fréquent du fait des actions à réaliser

liées au document et au contenu qu’il porte. Les systèmes de GED sont souvent

mis en œuvre pour gérer les documents pendant cette période du cycle de vie

du document. Le temps moyen de cette durée est très variable selon le type de

document. Il peut s’agir de quelques jours jusqu’à quelques années.

Une fois la durée d’utilité courante passée, le document entre dans sa période

appelée durée d’utilité intermédiaire. Il s’agit alors de préserver le document

tant qu’il est nécessaire de le conserver par rapport aux obligations légales.

Bien souvent, cette durée est importante, et il devient inutile de saturer les

systèmes de GED avec ces documents puisqu’ils n’ont plus aucune utilité.

Le SAE doit être utilisé dès le début du cycle de vie du document électronique

et donc le plus tôt possible après sa création. Plus le SAE prend en charge le

document rapidement, meilleur est sa valeur probatoire. Il ne faut pas attendre

la fin de la durée utile du document pour le verser dans le SAE mais il faut le

verser dès sa création.

Bien entendu, une copie électronique peut vivre en même temps dans un

système de GED. Mais le document original doit être déposé au plutôt dans le

SAE qui reste le garant de son intégrité. Dans le cas de la mise en œuvre d’une

GED qui produit des documents à valeur probatoire comme un courrier

électronique signé, il est alors important que la GED puisse verser le document

dans le SAE après signature du document par son auteur. Une copie du

document peut néanmoins rester dans la GED pendant sa durée de vie utile.


11

Eléments d’une

solution

d’Archivage

Electronique

Conformité aux spécifications normatives et aux exigences

Toute solution technologique complète pour mettre en place un SAE doit être

conforme aux spécifications techniques de la norme NF Z42-013:2009 en

appliquant toutes les exigences techniques minimales de la norme

conformément aux principes exposés dans le paragraphe 8.2 de ce document.

Du fait de sa capacité à gérer des documents électroniques mais également des

« records », la solution ES-Compliance, lorsqu’elle est couplée avec un système

informatique de gestion des transactions financières est parfaitement conforme

à l’article 313-50 de l’AMF puisqu’elle permet facilement de reconstituer

chaque étape clé du traitement de toutes les transactions dont la trace est

versée dans le SAE qui en assure alors l’intégrité, la sécurité et la pérennité en

dehors de l’application métier.

Un SAE s’intégrant au SI

Quelque soit le Système d’information et le schéma d’architecture en place ou

souhaité,

La solution d’Archivage Electronique doit s’intégrer au SI comme un simple

service complémentaire à la disposition des applications de l’entreprise.

Les documents électroniques à valeur probatoire de l’entreprise peuvent être

envoyés dans un coffre-fort électronique externe (tiers-archiveur) ou dans le

coffre-fort électronique de l’entreprise (système de stockage propre à

l’entreprise piloté par le SAE).

LA solution d’Archivage Electronique doit être positionnée au sein du SI comme

une solution transverse du système d’information qui permet à toutes les

applications de l’entreprise de déposer des documents électroniques. Mais il

est également possible de positionner ES-Compliance comme une solution

dédiée à l’archivage des documents électroniques d’une application particulière

du SI.

Dans tous les cas, le SAE est le garant de la sécurité, de l’intégrité et de la

pérennité des documents archivés. Il est également le responsable de la

constitution des journaux liés au cycle de vie des documents et aux évènements

d’exploitation du système.


12

Capture des documents et flux électroniques

La solution doit permettre d’assurer la capture des documents papiers (fichiers

numérisés) ou électroniques (fichiers électroniques ou messages électroniques

avec ou sans fichiers attachés). Pour la capture des documents électroniques,

La solution doit permettre de déclarer des flux d’archivage. Il s’agit pour chaque

type de flux candidat de paramétrer ses caractéristiques et de définir les règles

d’import qui lui seront associées. D’une manière standard, le SAE est en mesure

de capturer des flux déposés par des applications tiers dans des répertoires

disques dédiés mais également de capturer des flux arrivant sur des serveurs de

messagerie électronique. Son interface de capture extrêmement paramétrable

permet lorsque c’est nécessaire de développer spécifiquement des mécanismes

de capture différents.

� Capture des métadonnées associées aux documents électronique : Pour

pouvoir intégrer un document électronique dans le SAE, il est obligatoire de

le décrire préalablement avec des métas-données associées conformément

aux exigences des normes en vigueur. Selon le cas, les métadonnées

peuvent se trouver directement intégrées dans le document électronique

ou se trouver dans une structure XML accompagnant le document

électronique à archiver. Lorsqu’un fichier porte ses métadonnées en son

seing, la fonction de capture du SAE peut extraire ces données s’il s’agit

d’informations structurées au format XMP (eXtensible Metadata Platform).

Cette technologie permet d'ajouter des données relatives à un fichier

directement dans le fichier lui-même, et ce sous forme de balise XML.

L’avantage de cette technologie spécifiée par Adobe est de rendre

indissociable le fichier et ses métadonnées. De nombreux formats de

fichiers supportent les balises XMP (PDF, TIFF, JPEG, GIG, PNG, HTML, AI,

SVG, PSD, EPS, AVI, MOV, MP4, WMA, …).

� Vérification du format de fichier : Conformément à la norme NF Z42-013, le

SAE doit posséder une table des formats de fichiers électroniques qu’il

accepte de prendre en charge. Cette table évolutive permet de limiter

volontairement l’import de documents électroniques ayant des formats

standards et de refuser les fichiers dont le format ne serait pas accepté par

le SAE.


13

� Conversion de format en entrée : Bien que pas toujours souhaitable, Le SAE

peut être en mesure de convertir des documents électroniques lors de leur

import. Cependant, la norme NFZ 42-013 préconise dans ses exigences

minimales liées à la pérennité d’utiliser des « formats normalisés ou

standardisés et utilisable librement ». Si à l’origine, les documents

électroniques versés n’utilisent pas ce type de format, la norme permet au

travers des exigences complémentaires liée à la pérennité, de réaliser des

« conversions des formats à l’entrée ». Le choix du nouveau format de

conservation et les modalités de conversion doivent en tout état de cause

éviter la perte involontaire d’informations significatives. La réalisation et les

caractéristiques de la conversion sont contrôlées et enregistrées par le SAE

dans son journal des évènements.

� Contrôle d’unicité des métadonnées dans le SAE : Afin d’éviter les doublons

involontaires, le SAE doit mettre à disposition un mécanisme de contrôle

de doublons basé sur les métadonnées associées aux documents versés.

� Numériser les documents papiers : Très souvent, l’image numérique

imprimée des documents papiers associée aux informations de traçabilité

démontrant l’intégrité de ces documents sera suffisante en cas de besoin

de fourniture de justificatif. En effet, pour plus de 80% des cas, la fourniture

d’une copie d’un document papier est suffisante en cas de litige. Il n’est que

très rarement nécessaire de devoir produire un document original. De ce

fait, la numérisation des documents papiers pour en réaliser une archive

électronique tout en conservant l’original papier est une solution très

économique et profitable. Le classement à moindre frais chez un tiers ou

dans des emplacements peu couteux remplaceront avantageusement un

classement interne et méticuleux des documents papiers à conserver sur

des périodes plus ou moins longues. La conservation numérique assurera

également une préservation de la qualité du document. Même si l’image

numérique d’un document papier à valeur légale ne peut donner qu’une

valeur de preuve limitée, la mise en place d’un SAE apporte un véritable

gain organisationnel suffisant à économiser les coûts associés à la

préservation des documents papiers dans des conditions suffisantes à leur

exploitation.

Profils d’archivage

Conformément à la norme NF Z42-013, il est nécessaire de définir, au moment

de chaque dépôt, l’ensemble des règles applicables à celui-ci. Pour ce faire, le

SAE permet de définir des profils d’archivage. Comme le mentionne le

paragraphe 5.1 de la norme, « Un profil d’archivage est un ensemble de règles

applicables à des documents partageant les mêmes critères de confidentialité,

de durée de conservation, de destruction et de droits d’accès pour déposer,

consulter ou détruire. »


14

Profils Utilisateurs

Des droits d’accès doivent permettre de définir les fonctionnalités accessibles

dans le SAE pour chaque catégorie d’utilisateur. A minima, un « auditeur » doit

avoir la possibilité de rechercher et consulter les archives ainsi que d’accéder à

l’ensemble des journaux associés aux documents et à l’ensemble des traces

soigneusement conservées par le SAE. Le « record manager » doit avoir les

mêmes possibilités que l’auditeur mais doit pouvoir également paramétrer et

gérer les profils de documents. L’administrateur technique doit pouvoir se

charger du suivi des jobs de capture et du suivi du système.

Stockage des documents électroniques et des données associées

Le SAE dépose les informations et les fichiers qu’il prend en charge dans son

système de stockage.

L’évolution des solutions d’archivage électronique, à l’instar des modifications

apportées à la norme française sur l’archivage électronique, permet de

substituer aux traditionnels supports physiques non réinscriptibles (Worm3

physique), des supports logiques non réinscriptibles (Worm logique) voire des

supports réinscriptibles. L’emploi de supports Worm logique, dont le caractère

non réinscriptible est assuré par des dispositifs matériel et/ou logiciel

intrinsèques a pour avantage de répondre aux besoins fonctionnels d’un

système d’archivage électronique tout en interdisant la destruction, l’altération

ou la modification de l’information. Ces supports réinscriptibles non amovibles,

compte tenu des dispositifs de protection embarqués, y compris contre la

suppression, paraissent donc admissibles au même titre que le Worm physique,

d’autant que, à la différence de ces derniers, le Worm logique permet de gérer

l’exigence du droit à l’oubli, imposée par la loi Informatique et libertés, passée

la durée de conservation initialement assignée4. Le recours aux supports dits

réinscriptibles non Worm, au regard de la norme précitée, permet d’établir,

sous réserve de se conformer à un ensemble d’exigences supplémentaires, la

traçabilité de toute modification, c’est à dire l’intégrité des enregistrements,

dès lors que la notion d’intégrité se limite à l’altération ou la modification mais

non la suppression, intentionnelle ou non, d’une information. Le choix du

support de stockage peut être également guidé par d’autres considérations,

comme les temps d’accès ou le coût total de possession (« Total cost of

ownership » ou « TCO », en anglais). L’exigence d’intégrité pourrait être

appréciée par l’Autorité au cas par cas dans le cadre des enquêtes et ce, par

3 Write Once, Read Many.

4 En cas de recours au Worm logique, une attention particulière devra être apportée aux paramétrages de la

solution de stockage, de sorte que l’enregistrement des données soit effectivement irréversible, même par le

« super administrateur ».


15

application du principe de proportionnalité excipé du Règlement général de

l’Autorité. Dès lors, il pourrait être envisagé le recours à des supports de

stockage réinscriptibles non Worm, sous réserve de répondre aux exigences de

la norme NF Z 42-013 :2009, c’est à dire de mettre en œuvre les moyens

cryptographiques, qui y sont exigés, tout en précisant le niveau de sécurité

acceptable au regard des exigences du Règlement général de l’Autorité.

Relevons néanmoins que la SEC5 a, dès 2003, explicitement exclut le recours

aux supports réinscriptibles. Quoiqu’il en soit, il serait erroné de penser que la

conformité d’un système d’archivage électronique dépend uniquement des

supports de stockage.

Dans tous les cas, le SAE doit assurer le pilotage et l’intégration des événements

d’exploitation des systèmes de stockage. L’ensemble des opérations qui sont

réalisées au sein des systèmes de stockage sont capturées par le SAE afin

d’assurer une parfaite traçabilité de toutes les opérations critiques.

Afin d’être conforme à la norme et pour sécuriser le stockage, Le SAE doit

utiliser un mécanisme d’archivage en Y (archivage en miroir). Chaque document

électronique doit être stocké dans deux espaces situés dans deux lieus

géographiquement différents. Ainsi, à tout moment, il doit toujours exister au

moins deux copies de chaque fichier. Le SAE doit vérifier régulièrement

l’intégrité des deux copies en comparant les empreintes des copies. Au

moment de la prise en charge des documents électroniques par le SAE, chaque

fichier fait l'objet d'une prise d’empreinte et d’une signature par le SAE. Cette

empreinte qui est unique pour chaque fichier peut permettre également le dé-

doublonnage des fichiers lors de la capture des documents.

Lors de l’enregistrement des métadonnées de description d’un document dans

la base de données du SAE (création d’un record), une signature est également

générée sur les données qui constituent le record, soit sur l’ensemble des

métadonnées associées. Enfin, pour permettre de conserver l’association

« document – métadonnées », le couple « signature du document - signature

de l’enregistrement» est pris en compte afin de générer une troisième

signature (signature globale).

La vérification des signatures porte sur la signature de chaque élément,

documents attachés et métadonnées, et sur la signature globale. Ces

signatures permettent d'assurer l'intégrité des données lors de toute demande

d'affichage des documents.

Chaque fichier stocké dans le SAE est accompagné d’un fichier XML comportant

l’ensemble des métadonnées associé au document ainsi que les trois signatures

associé à chaque document.

5 17 CFR Part 241 34-47806 SEC interpretation Electronic Storage of Broker-Dealer Records.


16

Traçabilité et journaux quotidiens

Toutes les actions faites sur les archives et tous les évènements d’exploitation

du SAE doivent être enregistrés. Il faut donc être en mesure de produire les

types de journaux suivants :

� un journal quotidien des évènements du SAE, qui est archivé,

� un journal quotidien du cycle de vie des archives, qui est archivé,

� un journal d’archive par document archivé, qui est généré ponctuellement

par l’utilisateur et n’est pas archivé en tant que tel,

� un journal des logs des systèmes de stockage.

Le processus de journalisation peut reposer sur l'enregistrement en base de

données de certains évènements et la génération de listing de ces évènements

selon un critère de date (quotidien) ou sur un objet précis (document ou type

d'évènement). Le SAE doit générer automatiquement et quotidiennement un

journal des évènements qui peut être au format PDF/A-1 et qui comporte une

ligne chronologique et horodatée par évènement décrivant l’opération réalisée.

Lorsqu’une ligne du journal concerne une archive, l’identifiant unique et

chronologique de l’archive concernée par l’opération doit être mentionnée.

Le journal (fichier PDF/A-1) doit être lui-même archivé au sein du SAE

accompagné de trois autres fichiers :

� Fichier des métadonnées techniques concernant l'archivage du journal,

� Fichier des métadonnées de description du journal, issues de

l’enregistrement dans la table des journaux,

� Fichier des métadonnées techniques concernant l'archivage des

métadonnées de description du journal.

Les mécanismes d’empreintes et de signature mis en œuvre pour assurer la

vérification d’intégrité des fichiers stockés dans le SAE doivent également

s’appliquer aux journaux archivés.

Le mécanisme d'horodatage utilisé par le SAE dans le cadre de l’enregistrement

des événements se produisant dans le SAE, doit répondre aux exigences de la

norme NF Z42-013:2009. La norme reprend les éléments de la norme ISO

8601:2004 concernant la représentation des dates et des heures. Cet

horodatage est effectué sur la base du Temps Universel Coordonné. Les

différentes horloges du réseau, et par conséquent les composants du système,

doivent être synchronisés via un serveur de temps (NTP par exemple).


17

Audit et contrôle d’intégrité

A tout moment, il doit être possible de rechercher des documents dans le SAE

et de vérifier leur intégrité ainsi que celle des métadonnées associées et des

journaux.

Processus de destruction

Le SAE doit être livré avec une documentation du processus de destruction des

archives qui doit décrire le mécanisme de destruction des documents du SAE.

La suppression des documents archivés dans le cadre de l'application

résulte de plusieurs processus.

� Destruction des métadonnées dans la base de données du SAE

� Destruction des documents archivés au niveau des deux supports

d’archivage (archivage en Y).

Conformément à la norme, la destruction ne doit pas être automatique et doit

nécessiter une validation externe d’un utilisateur habilité. Le processus de

destruction se déroule donc en deux étapes, la première automatique

(transfert des documents à éliminer vers un profil adapté), la seconde manuelle

( validation externe après vérification de la liste des documents à éliminer).

Chaque destruction entraine un ensemble de traces complémentaires dans les

journaux quotidiens (attestation de destruction). Les journaux associés aux

documents détruits ne doivent jamais être détruits.

Réversibilité des systèmes de stockage

Le SAE doit être livré avec une documentation de réversibilité afin de permettre

d’extraire des systèmes de stockage du SAE tous les documents qui y sont

archivés ainsi que toutes les métadonnées associées. La réversibilité permet

d’éviter la dépendance du client par rapport à la solution d’archivage en lui

permettant de migrer l’ensemble des archives d’une SAE vers un autre.


18

5. CADRE JURIDIQUE ET LEGAL ASSOCIE AU SAE

Afin d’encadrer les fonctionnalités d’un SAE, des normes et recommandations ont vu le jour

depuis quelques années. En Europe, les états membres de l’Union Européenne bénéficient des

directives que chaque Etat doit ensuite faire appliquer dans son pays. Dans ce paragraphe,

Philippe Ballet, avocat chez Alain Bensoussan Avocats, vous donne les clés de lecture sur le cadre

juridique et légal associé au SAE.

Copie fidèle

et durable

La destruction de l’originale est encadrée par la loi depuis le 12 juillet 1980.

L’article 1348 al. 2 du code civil donne la faculté de produire en justice la copie

fidèle et durable au lieu et place de l’original.

La preuve

électronique

La première directive européenne importante pour la mise en œuvre d’un SAE

et celle qui remonte au 13 décembre 1999 et qui fixe le cadre juridique de la

signature électronique applicable aux états membres de l’Union Européenne.

Cette directive avait pour objectif de permettre l'utilisation de la signature

électronique en contribuant à sa reconnaissance juridique au sein des états

membres. En France, cette directive a été appliquée via la loi du 13 mars 2000

article 1316 du code civil en donnant à la signature électronique la même

valeur juridique que la signature manuscrite sous réserve que le procédé de

signature électronique soit fiable.

Afin de préciser la présomption de fiabilité d’un procédé de signature

électronique, un décret N° 2001-272 daté du 30 mars 2001 fut publié.

Le droit à

l’oubli

La loi informatique et libertés encadre le droit à l’oubli par la loi du 6 janvier

1978, article 6.5. Cette loi fait exception pour les archives définitives. Dans le

cadre des documents électroniques, cette loi impose donc des purges

impératives des données et documents associés. Au niveau du code monétaire,

le droit à l’oubli impose de faire disparaître l’identification des investisseurs

après 5 ans à compter de la clôture des comptes ou de la cessation des

relations contractuelles (article L561-12). En ce qui concerne l’autorité des

marchés financiers, le droit à l’oubli s’exerce après 5 ans, puisqu’il convient de

conserver les informations pendant une durée de 5 années minimum (art. 313-

49) et entre 6 mois et 5 ans pour les enregistrements téléphoniques (art.313-

52).

La

prescription

Les durées de prescription du droit commun sont très variées puisqu’il existe

250 délais différents. Dans la majorité des cas, les délais sont raccourcis à 5 ans.

De nombreux délais de prescriptions sont spécifiques pour la fiscalité, la

comptabilité, … D’autres phénomènes chronologiques comme la suspension ou

l’interruption de la prescription (litiges) peuvent rallonger la durée de

prescription jusqu’à 20 ans. A noter qu’une durée peut en cacher une autre :


19

prescription civile et commerciale : 5 ans, pièces comptables (pièces

justificatives) 10 ans.

Autorité des

Marchés

Financiers

(AMF)

Les prestataires de services d’investissement doivent conserver les

informations pertinentes relatives à toutes transactions sur instruments

financiers qu’ils ont conclues, dans les conditions fixées par le règlement

général de l’Autorité des marchés financiers.

Compte tenu de la généralisation des échanges sous forme électronique, les

prestataires de services d’investissement doivent se doter d’un système

d’archivage électronique répondant aux exigences posées dans le règlement

général de l’Autorité des marchés financiers.

L’article 313-50 du Règlement général de l’Autorité des marchés financiers

dispose que les enregistrements des prestataires de services d’investissement

doivent être conservés sur un support qui permet le stockage d'informations de

telle façon qu'ils puissent être consultés par l'Autorité des marchés financiers,

sous une forme et d'une manière qui satisfont à un ensemble de conditions :

� l’Autorité des marchés financiers doit pouvoir y accéder facilement et

reconstituer chaque étape clé du traitement de toutes les transactions ;

� il doit être possible de vérifier aisément le contenu de toute correction ou

autre modification, ou l'état des enregistrements antérieurs à ces

corrections ou modifications ;

� il ne doit pas être possible de manipuler ou altérer les enregistrements de

quelque façon que ce soit.


20

6. CADRE NORMATIF ASSOCIE AU SAE

La conformité d’un système d’archivage électronique aux exigences réglementaires nécessite, en

pratique, d’avoir recours aux normes, d’application volontaire, en particulier la norme française

sur l’archivage électronique. Les normes permettent d’assurer une passerelle entre les exigences

réglementaires et l’état de l’art. Le respect de la norme NF Z 42-013 s’impose désormais à

l’externalisation des archives publiques électroniques. Toutefois, l’application des normes

n’emporte pas présomption de conformité à la réglementation, sauf exception. Christian

Dubourg, membre de la commission de normalisation 171 à l’AFNOR et contributeur dans le

groupe de travail qui a révisé la norme NF Z 42-013 vous guide dans la lecture du texte normatif.

Norme NF

Z42-013

En parallèle de l’ajustement législatif, un cadre normatif a été mis en place en

France par l’AFNOR. Une norme Française connue sous le sigle « NF Z42-013 »

a été publiée en 1999 puis révisée une première fois en décembre 2001 et une

seconde fois en mars 2009. Initialement, cette norme avait pour objet de

définir un ensemble de recommandations pour la conception et l'exploitation

des systèmes informatiques afin d'assurer la conservation et l'intégrité des

documents stockés. Jusqu’à la révision de mars 2009, cette norme n’était

utilisable que pour des systèmes d’archivage basés sur des supports de

stockage WORM physique.

Depuis mars 2009, et après 3 ans de travail, cette norme Française a

entièrement été révisée et son orientation a été revue puisqu’elle est passée

d’une norme contenant des recommandations, à une norme contenant des

spécifications. Le nouveau titre de la norme est : « Spécifications relatives à la

conception et à l’exploitation de systèmes informatiques en vue d’assurer la

conservation et l’intégrité des documents stockés dans ces systèmes ».

La norme NF Z42-013 :2009 a été écrite par un groupe de travail de la

Commission de normalisation 171 de l’AFNOR. La société EVER TEAM, membre

de la CN 171, a participé à la rédaction de la révision 2009 et a mis en œuvre

dans sa solution ES-Compliance les spécifications de la norme rendant ainsi

tous les SAE basés sur sa solution conforment aux spécifications techniques

décrites dans la norme. EVER TEAM a également participé au groupe de

travail qui a réalisé le guide d’application de la nouvelle révision de la norme

qui sera prochainement publié par l’AFNOR afin d’aider les sociétés à mettre

en œuvre les spécifications techniques et organisationnelles.


21

La « Z42-013 :2009 » est basé sur différents niveaux d’exigences. La conformité

d’un SAE est donc appréciée au regard des exigences minimales et

complémentaires le caractérisant. Les différentes exigences sont classées en

trois grandes catégories :

� Exigences relatives à la pérennité.

� Exigences relatives à l’intégrité.

� Exigences relatives à la sécurité.

Les exigences minimales relatives à la pérennité concernent :

� l’usage de formats normalisés ou standardisés et utilisable librement.

� la nécessité de décrire les documents électroniques au moyen de

métadonnées.

� la nécessité de maitriser la migration des supports de stockage pour

permettre un déplacement des fichiers d’un support vers un autre afin

d’anticiper l’obsolescence des supports dans le temps.

� la nécessité de gérer la conversion des formats lors de leur entrée dans

le SAE ou plus tard lorsque les formats évoluent et qu’il est estimé

nécessaire de convertir un document électronique d’un format vers un

autre pour éviter son obsolescence technologique.

� La nécessité d’anticiper l’obsolescence du SAE par la surveillance et le

remplacement maitrisé des technologies utilisés par le SAE.

Les exigences minimales relatives à l’intégrité concernent :

� Le processus de capture des documents électroniques. Il doit assurer

dès le début l’intégrité des documents versés. En particulier, si le

document versé est transformé par le processus de capture

(conversion, numérisation, …) le format des documents stockés dans le

SAE diffère du format d’origine. C’est le cas par exemple lorsqu’un SAE

doit gérer des documents papiers sous forme électronique à des fin de

valeur probatoire. Il convient alors de mettre en place une procédure

de numérisation suffisamment maitrisée afin de s’assurer de l’intégrité

du document électronique issue du processus de numérisation. Dans ce

cas, l’intégrité est relative à la non perte d’informations significatives

entre le document papier et l’image qui en a été réalisée par la

numérisation.

� La nécessité d’utiliser des supports de stockage aptes à garantir

l’intégrité des fichiers stockés. En langage courant, cela signifie qu’un

fichier déposé sur un support de stockage ne doit pas pouvoir être

modifié ni supprimé par accident voir même volontairement. De ce fait,

les supports magnétiques couramment utilisés sont à priori des


22

mauvais candidats pour gérer les documents électroniques. Seuls les

disques physiquement non réinscriptibles comme les DVD-R ou autres

supports optiques connus sous l’acronyme WORM (Write Once Read

Many) permettent d’assurer cette intégrité d’une manière intrinsèque.

Afin de ne pas interdire le stockage sur d’autres types de support que

les supports WORM, la norme donne la possibilité d’utiliser des WORM

logiques fixes ou amovibles ainsi que des disques réinscriptibles.

Comme ces supports sont logiquement effaçables, l’intégrité des

documents stockés pourrait être mise en cause. Avec ces technologies,

il est nécessaire de mettre en places des moyens techniques

complémentaires mentionnés par des exigences minimales

complémentaires.

� La nécessité de maitriser le cycle de destruction des archives par la

mise en place d’alertes avant destruction et l’utilisation d’un processus

maitrisé pour parvenir à supprimer les documents électroniques.

Les exigences minimales relatives à la sécurité concernent :

� L’organisation à mettre en place pour assurer l’identification des

personnes et des processus qui doivent accéder au SAE et à ses

documents électroniques.

� La sécurisation des documents électroniques par la mise en place

systématique et dès le début du cycle de vie dans le SAE de copies des

documents électroniques tout en assurant l’intégrité des copies par

rapport au document original.

� L’horodatage de l’ensemble des actions du SAE.

� La tenue d’un journal du cycle de vie des archives et d’un journal des

évènements qui doivent être alimentés par les informations liées à la

traçabilité horodatée des actions menées sur les documents

électroniques et sur l’exploitation du SAE. Les moyens utilisés dans le

SAE doivent permettre d’assurer également l’intégrité, la pérennité et

la sécurité des journaux.

� La tenue d’un dossier technique complet du SAE décrivant tous les

composants et tous les processus mis en œuvre dans le SAE. Ce dossier

doit permettre régulièrement d’auditer le SAE afin de pouvoir vérifier

sa conformité aux éléments décrits dans le dossier technique.

� Le maintien en condition opérationnel (MCO) du SAE

Avec cette révision de la norme NF Z42-013, les entreprises et les collectivités

Françaises possèdent enfin un outil de qualité pour permettre de mettre en

place un Système d’Archivage Electronique pérenne capable d’assurer la

sécurité et l’intégrité des documents électroniques qu’il gère.


23

Certification

NF Z 42-013

Les organismes et entreprises qui mettent en œuvre les spécifications de la

norme NF Z42-013 pourront faire certifier leur solution (fin 2010). Un

référentiel de certification est en cours d’élaboration. La certification sera

proposée aux organismes et entreprises, aux sociétés de services informatiques

et éditeurs de logiciels de SAE ainsi qu’aux sociétés qui proposent des services

de tiers archivage.

MoReq : un

modèle

Anglo-Saxon

pour

l’Europe

Le MoReq (Model Requirements for the Management of Electronic Documents

and Records) est un recueil d'exigences pour l'organisation de l'archivage

électronique qui a été élaboré dans le cadre de l'Union européenne afin de

tenter d’uniformiser entre les pays de la CEE les usages par rapport aux

politiques d’archivage. Initialement édité en anglais en 2001 et traduit en

français en 2004, la première version du MoReq a été remplacée en 2008 par le

MoReq2 dont la traduction Française est disponible depuis fin 2009. Cette

seconde version reprend l’ensemble des exigences initiales et corrige, renforce

ou complète certaines exigences du fait des évolutions technologiques et

réglementaires.

Le MoReq est basé sur le modèle du « Record Management » décrit dans la

norme IS0 15489. Ce modèle est appliqué d’avantage dans les pays anglo-saxon

qu’en France ou le mot « Record Management» n’a pas étonnamment trouvé

de traduction. Tout cela tient au fait que le modèle véhiculé par le « record

Management » intègre essentiellement la conservation de la qualité de la

preuve d’un document alors que l’archivage des documents en France est

souvent plus orienté autour de la valeur patrimoniale du document en

particulier dans le domaine des Archivistes.

Actuellement, ce recueil d’exigences est souvent utilisé par les responsables de

projet d’archivage dans le secteur privé. La révision 2009 de la norme NF Z42-

013 contribue au niveau national à reprendre certaines notions du « record

management » spécifiées dans le MoReq2 et dans la norme ISO 15489. La NF

Z42-013 limite cependant à l’essentiel les exigences mentionnées sous forme de

différentes options dans le MOREQ2. Elle est ainsi plus pragmatique et donc

basée sur des spécifications applicables plus rapidement et à moindre coût que

se soit pour le secteur privé comme pour le secteur public.

Du fait de la difficulté de mise en œuvre de MoReq2, le DLM Forum, en charge

des spécifications MoReq a décidé en mars 2010 de travailler sur une nouvelle

version des spécifications MoReq. La nouvelle version intitulée MoReq2010

devrait voir le jour en fin d’année 2010 avec comme objectif de simplifier et

rendre plus modulaire l’ensemble des recommandations.


24

Autres

normes

dans le

monde

D’autres normes liées à l’archivage des documents électroniques ont été

publiés dans différents pays d’Europe comme la norme néerlandaise NEN 2082

ou aux USA comme la norme DoD 5015. Ces normes plus anciennes viennent

compléter le référentiel normatif sur lequel s’appuie les normes les plus

récentes comme la NF Z42013 :2009. Des normes plus techniques comme l’ISO

19005-1 (PDF/A-1) sont également utilisés dans le référentiel normatif des

dernières normes publiées. Enfin, de nouvelles normes dans le domaine du

Record Management sont au stade d’enquête comme la norme ISO 16175.


25

7. MISE EN PLACE D’UN SAE : UN PROJET A PLUSIEURS

ETAPES.

Même si c’est une obligation, la définition d’une politique d’archivage répertoriant les profils

d’archivages et le cycle de vie associé à chacun d’eux ne suffit plus. Il faut pouvoir appliquer cette

politique d’une manière maitrisée et sereine afin d’éviter les risques liés à l’incapacité de produire

une pièce électronique pour prouver sa bonne foi. La mise en place d’un SAE permet de manager le

risque et de l’assumer sans difficulté et correspond à la mise en place d’un véritable projet pour

l’entreprise. Ce projet comporte plusieurs phases. Dans ce paragraphe, Michel Thomas, consultant

expert chez Serda, vous donne les clés de lecture fonctionnelles, techniques et organisationnelles.

L’Analyse

initiale

La mise en place d’un SAE nécessite plusieurs étapes préalables. L’une des

premières étapes consiste à dresser un inventaire des systèmes et des données,

une cartographie réglementaire, fonctionnelle et technique, et une liste des

familles de documents. Il convient à cette phase de déterminer les exigences

archivistiques : durées de conservations et purge, sécurité (confidentialité et

intégrité). Il faut évaluer l’existant : écarts, analyse des risques à (ne pas)

conserver, déterminer le ROI. Enfin, il faut identifier la stratégie par

l’élaboration de tableaux de gestion, la définition de plan de classement et de

nommage, et définir la charte d’archivage.

L’expression

des besoins

Cette étape consiste à élaborer le cahier des charges du SAE. Celui ci doit faire

référence aux normes et aux exigences réglementaires. Cependant, la

conformité aux normes ne donne pas présomption de conformité à la

réglementation Il doit permettre de communiquer la politique d’archivage,

d’opter pour une solution interne ou externalisée ou une combinaison des

deux, indiquer les bénéfices attendus, formaliser les critères de choix (matrice

de conformité).

La contractuali-

sation

Cette troisième étape du SAE consiste à choisir entre une solution interne ou

une solution externalisée pour la mise en place du SAE.

Solution

interne

Dans le cas de la mise en place d’une solution interne, il faut définir les règles

liées aux licences du progiciel retenu en surveillant les points suivants :

indivisibilité contrats, dépôt des sources, modalités tarifaires (régularisation). Il

faut également définir les règles d’intégration de la solution (recette, reprise

des données) et traiter de la maintenance du SAE ( pérennité, compatibilité

ascendante, SLA).


26

Solution

externalisée

Dans le cas de la mise en place d’une solution externalisée, il convient

d’encadrer cette approche à l’aide des spécifications de la norme NF 42-

013 :2009 paragraphe 13 et 14. Il convient également de préciser les

instructions applicables entre sociétés mères et filiales :

� Plan de continuité d’activité « sur mesure »

� Réversibilité

� Changement de contrôle

� Accord de niveaux de services (« SLA »)

� Données personnelles (Art 34 & 35 I&L)

� Audit (y inclus sous traitant et « tutelle »)

� Sous-traitance (opposabilité des clauses)

Le suivi Cette phase du projet intègre la prise en charge du suivi contractuel. Il s’agit de

gérer les risques du projet en assurant un suivi rigoureux du calendrier, en

identifiant les écarts sur les différents livrables du projet par rapport au cahier

des charges, en participant activement à la validation des spécifications

fonctionnelles détaillées (SFD). Le suivi comporte également la validation des

comptes rendus de Comité de pilotage et la validation du procès verbal de

recette de l’application. Dans le cadre de la mise en œuvre de la norme NF-

Z42013 :2009, un suivi tout particulier doit être apportée à l’élaboration du

« dossier technique », véritable centre documentaire du SAE mis en place. Ce

dossier permettra en particulier d’effectuer des audits du SAE.

Conseils et

facteurs clefs

pour un projet

SAE

Un projet SAE est un projet structurant pour les entreprises. Pour une bonne

réussite du projet, cinq conseils peuvent être donnés et cinq facteurs

clefs doivent être suivis:

Les cinq

Conseils

� Associer conformité, juristes, IT et fonctionnels (gestion de projet)

� Définir un périmètre fonctionnel réaliste, mais représentatif (pilote)

� Définir ses objectifs et identifier ses contraintes (politique archivage)

� Formaliser ses exigences (cahier des charges)

� Assurer le suivi du projet (gestion post-contrat, audit)

Les cinq

Facteurs clefs

� Une analyse préalable exhaustive prenant en compte les risques

réglementaires, patrimoniaux, commerciaux… une analyse par activités :

données, documents et métadonnées nécessaires. Une définition des

processus d’alimentation, d’information, de contrôle, etc.

� Une méthodologie éprouvée basée sur la conduite de projet


27

rigoureusement cadrée, l’application des normes et réglementations, le

déploiement progressif, l’accompagnement aux changements.

� Des choix technologiques justes et cohérents fondés sur une architecture

ouverte, une forte intégration des applications dans le système

d’information, un choix judicieux des supports de stockage, de sauvegarde

et d’archivage.

� Une implication des différents métiers de l’entreprise au niveau

management (DG, DAF, Communication…) , au niveau des équipes

informatiques (DSI, RSSI, chef de projet…) et enfin au niveau des

opérationnels (Contrôleurs de gestion, Auditeurs, Knowledge Manager…) .

� Des choix d’organisation au niveau du service archives de l’entreprise, de

l’exploitation informatique, de la conception du centre de calcul, du centre

de numérisation (lorsqu’il y a lieu), du recours à des tiers.

Audit d’un SAE

La mise en place d’un SAE doit permettre de simplifier l’accessibilité aux

documents électroniques légaux archivés. En particulier, un SAE conforme à la

norme NF Z42-013 :2009 comme ES-Compliance permet à un auditeur

d’interroger le système d’archivage pour consulter aisément les documents

électroniques archivés et obtenir l’ensemble des traces associées aux actions et

événements intervenus durant le cycle de vie du document électronique. Il

n’est pas nécessaire de faire appel à un expert technique pour sortir du système

les éléments indispensables à la production de la preuve. En cas de besoin, une

expertise technique du système peut être réalisée en s’appuyant sur le dossier

technique qui recense l’ensemble des composants et des processus utilisés par

le SAE.


28

8. BENEFICES ET PERSPECTIVES

Les bénéfices organisationnels liés à la mise en place d’un SAE sont très nombreux et ont été

explorés tout au long de ce document. Cependant, les deux principaux bénéfices stratégiques de la

mise en place d’un SAE sont la conformité de l’entreprise par rapport à ses contraintes

réglementaires et la sécurité et la pérennité des informations archivés.

La maitrise des

risques

financiers

Les conséquences financières d’un archivage déficient peuvent être

importantes voir désastreuses comme l’ont montré certaines grandes affaires

récentes. La mise en place d’un outil de gestion des « records » et des

documents électroniques est devenue une nécessité primordiale pour

permettre de répondre sans risque au moindre audit.

La disparition

des risques de

catastrophes

L’archivage électronique s’il est mis en œuvre réglementairement et

conformément aux spécifications des normes en vigueur permet de sécuriser

les informations de l’entreprise via un stockage dans des lieux

géographiquement différents assurant ainsi une pérennisation du capital de

l’entreprise.


29

9. LES CONTRIBUTEURS

Christian Dubourg est directeur dans le groupe EVER TEAM. L’un des pionniers des systèmes

d’archivage sur Disque Optique en France avec la conception en 1990 de la solution d’archivage

électronique sur DON WORM Archiv’2000, il crée également la solution de Gestion Electronique de

Documents MAXIM intégrée dans de nombreuses solutions du marché. Il est membre actif de la

Commission de normalisation 171 à l’AFNOR et contributeur régulier aux travaux des groupes de

travail de cette commission. Il a participé récemment activement à la révision de la norme NF Z42-013

parue en mars 2009.

Michel Thomas, ingénieur ENS Télécom, connaît parfaitement l’environnement bancaire, ayant conçu,

mis en place et/ou audité des systèmes d’archivage pour un grand nombre de banques. Expert auprès

de la CN171 de l’AFNOR et du TC171 de l’ISO, qui traitent les questions applicatives de la gestion

électronique de documents (normes PDF, micrographiques, implémentation de SAE, …), il possède une

expertise reconnue de l’environnement technique, organisationnel et réglementaire des systèmes

d’archivage et a conduit de nombreux projets de dématérialisation et de systèmes d’archivage

électronique dans le domaine financier.

Spécialiste de l’organisation de la mémoire et du savoir, le groupe SERDA-ARCHIMAG met

depuis plus de 25 ans ses métiers (Maîtrise, Formation et Édition) au service des grandes

entreprises du secteur privé ainsi que d'administrations et de collectivités territoriales, sur

une approche globale des problématiques telles que la gestion documentaire, la gestion de

contenu, le management des connaissances, l'archivage papier et électronique, la veille et

l'intelligence économique.

AUTRE SOURCE

Philippe Ballet est avocat à la Cour d'appel de Paris et directeur du département « Dématérialisation

& Archivage électronique » chez Alain Bensoussan Avocats. Il intervient en particulier auprès des

autorités administratives, assurances, banques, entreprises d’investissement ou prestataires

techniques. Il bénéficie d’une compétence juridique, normative voire technique acquise en Cabinet,

mais également chez des prestataires et organismes de normalisation. Il est expert auprès de l’AFNOR.

Il réalise de nombreuses publications, articles de doctrine, analyses de jurisprudence, veilles, études,

guides et conférences sur la dématérialisation ou l’archivage électronique.

EVER TEAM est le 1er éditeur européen de solutions intégrées de gestion de contenu d’entreprise

(ECM) et le 1er éditeur français à entrer dans le « Magic Quadrant » des solutions ECM, publié

par le Gartner. EVER TEAM aide les organisations, quelle que soit leur taille, à mettre en œuvre

leur système de gestion de contenu pour mieux gérer, utiliser, protéger et partager l’information.