DÉMATÉRIALISATION ET ARCHIVAGE PROBANTgescco-management.com/documents_info/Livre_Blanc_FRANCE... · >être un document explicatif des aspects techniques et juridiques de la dématérialisation

DÉMATÉRIALISATION ET ARCHIVAGE PROBANTDES DOCUMENTS ÉLECTRONIQUES DANS LE CONTEXTE JURIDIQUE FRANÇAIS

Pour tout renseignement :EVERIAL DRM - 27, rue de la Villette / 69003 Lyon

N°AZUR : 0811 23 12 12Contact : [email protected]

1 2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 402 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

Augmentation exponentielle des volumes de données, optimisation dela gouvernance d’organisation, « risk management », judiciarisationcroissante des affaires, contraintes réglementaires et législatives deplus en plus fortes… la parfaite maîtrise de l’information et des documents produits et reçus dans le cadre de vos activités est de-venue un enjeu majeur.

La solution au problème de conservation et de gestion des donnéesn’est pas de démultiplier chaque année les capacités de stockagecomme cela est aujourd’hui le cas dans la plupart des organisations.

L’essentiel est de ne conserver que l’information utile et vitale,autant de temps que cela est nécessaire, et de la rendre facilementdisponible aux utilisateurs habilités, dans un environnement sécurisé.

Pour cela, il faut repenser les processus et les méthodes de gestionde l’information.

La mise en œuvre de votre système d’archivage électronique doit s’ap-puyer sur une démarche projet sans faille impliquant très en amontlles référents métiers, les records managers et les archivistes. Elledoit intégrer l’ensemble des facteurs clés suivants :> Les nouvelles obligations légales et réglementaires,> Les évolutions de vos processus internes, liées à la dématérialisationet à la place occupée par le numérique dans les échanges,

> L’obligation d’accéder de façon quasi instantanée à l’informationafin d’optimiser la relation client,

> L’évolution technologique permanente et rapide qui oblige à tenircompte le plus tôt possible des modalités d’archivage.

Il est essentiel de garder à l’esprit que les archives électroniquesrelèvent de la même autorité que les archives papier et que le support

Avant-propos

ou le format des documents ne change rien. En revanche, si les obli-gations et les objectifs sont identiques, les processus de gestionsont très différents. En particulier, les intervenants sont plus nombreuxet doivent travailler en concertation : archivistes, records managers,responsables organisation, juristes... .

Considéré comme une contrainte ou une mission annexe, l’archivagea longtemps été sous-estimé. Aujourd’hui, principalement grâce à ladématérialisation et à l'avènement du numérique, la maîtrise de l’information est au centre de nombreuses interrogations. Sa valeurdevient évidente. La mise en place d’une politique d’archivage pérenneest un élément essentiel d’optimisation et de réduction des coûts.Elle est aussi l’expression et l’un des moteurs de la bonne gouver-nance des organisations.

C’est dans ce contexte de mutation rapide et profonde, qu’Everial asouhaité faire part de son expertise technique, juridique et opéra-tionnelle.

Spécialiste de l'archivage des documents physiques et électroniques,Everial est un prestataire de services en très fort développement.Ses plateformes techniques à haute performance, ses processuscontinuellement améliorés et son personnel qualifié permettent d’éla-borer des solutions mutualisables et d’offrir à ses clients des presta-tions haut de gamme et à moindre coût. Everial répond ainsi aux be-soins des organisations quelles que soient l’importance de leur projetet la complexité des exigences qu’elles accordent à l’archivage élec-tronique.

Ce Livre blanc est destiné aux décideurs des entreprises, des organ-isations et des administrations. Il leur apporte une vision stratégiquedes aspects techniques, juridiques et normatifs de l’archivage élec-tronique des informations et des documents.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

n Avant-propos 2

n Introduction 6

n Document électronique et cycle de vie 9Étape de gestion 10Étude d’archivage 11Retour au cycle de vie 12

n Document électronique et cadre juridique 14Conservation électronique des documents de l’entreprise 14Le document électronique comme moyens de preuve 17Le cas spécifique des données à caractère personnel 19Spécificités du secteur public 24

n Document éléctronique et cadre normatif 29La norme ISO 30300 de système de management 30La norme ISO 15489 « Records management » 31La norme ISO/FDIS 14641-1 : 33Les normes connexes 34L’intérêt des deux familles de normes 34La validation des solutions d’archivage électronique 35

n Que faut-il faire ? Pour quels documents ? 38Le cas des e-mail 39

n Démarches et solutions 41Les solutions techniques 41Les solutions de services 45

n Retour d’expériences 48Cas pratique détaillé 1 48Cas pratique détaillé 2 49Cas pratique détaillé 3 50Cas pratique divers 52

n Questions fréquentes 53

n Enjeux et bénéfices attendus 57

n Bibliographie 58

n Les contributeurs 60

n À propose d’Everial - www.everial.com 62

Table des matières2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

Ainsi, pour atteindre ces objectifs, ce Livre blanc décline les chapitres suivants :

> le chapitre 1 rappelle ce qu’est un document électronique et présentele concept de « Cycle de vie ». Il précise la distinction entre documentnumérique et document numérisé,

> le chapitre 2 présente le contexte juridique français. Il souligne lesincidences des systèmes de gestion et d’archivage électroniques enmatière de preuve et les obligations qui reviennent aux organisations,

> le chapitre 3 introduit et commente les principales normes en matièrede gestion des informations et des documents électroniques,

> le chapitre 4 recommande une démarche d’analyse de la situationexistante afin de définir les objectifs d’un système d’archivage élec-tronique,

> le chapitre 5 fait état des solutions techniques et des solutions de services possibles qui s’offrent aux organisations,

> le chapitre 6 présente quelques réalisations de clients Everial, > le chapitre 7 répond aux questions fréquentes lors d'un avant-projet

archivage électronique,> enfin, le chapitre 8 commente les enjeux et les bénéfices d’un projet

d’archivage de documents sous forme électronique.

En se mondialisant, les mécanismes d’échange etde communication des biens et des services se sontprogressivement dématérialisés.

Les organisations interagissent désormais au cœurd’une économie numérique. Elles échangent desinformations et des documents, avec d’autres

organisations et d’autres individus (clients, fournisseurs, administrations,organismes publics...) : bons de commande, factures, relevés bancaires, docu-mentations techniques, brevets, contrats, bulletins de paie, formulaires…

Encore majoritairement traités sous forme papier, ces documents serontinexorablement remplacés par des documents électroniques.

L’évolution des techniques informatiques et l’adaptation des textes législatifset réglementaires permettent et encadrent cette migration.

Ces deux tendances conduisent à la mise en place de nouvelles pratiques etde nouveaux processus de gestion. Ils sont porteurs de gains de productivitéet d’avantages concurrentiels particulièrement significatifs.

En revanche, l’évolution des techniques et l’adaptation du domaine régle-mentaire nécessitent de nouvelles organisations et l’accompagnement à cechangement.

C’est dans ce contexte que ce Livre blanc trouve sa place, avec une doubleambition :

> être un document explicatif des aspects techniques et juridiques de la dématérialisation et de l’archivage des documents sous forme électronique, en France,

> être également un document d’accompagnement, voire d’incitationau changement, par la présentation de réalisations qui confirment lesméthodes recommandées.

Introduction

« Les documentspapier vont inexorablement être remplacés par des documentsélectro niques »

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

DÉMATÉRIALISATION ET ARCHIVAGE DES DOCUMENTS ÉLECTRONIQUES DANS LE CONTEXTE JURIDIQUE FRANÇAIS


Document électronique et cycle de vie

Un document est à la fois un support d’informa-tions et un moyen d’échange. Il se caractériseprincipalement par sa mise en page, ses dimen-sions physiques, son volume en nombre de pageset ses contenus (texte, graphique, image).

La majorité des documents est aujourd'hui produiteautomatiquement par des systèmes informatiquescomme ceux de gestion bancaire qui établissentdes relevés de comptes ou encore ceux de compta-

bilité qui, présents dans toutes les organisations, génèrent des factures.

Une fois créé, ce document peut être imprimé ou non. Il est stocké sur un serveur, dans un format pérenne et non modifiable, afin d’être à la disposition des personnes habilitées à le consulter, voire à le télécharger.

Un document électronique peut aussi être conçu et réalisé au cas par cas,dans un contexte bureautique, par un opérateur utilisant un logiciel detraitement de texte. Ce document pourra alors être expédié à son desti-nataire, sous forme papier ou sous forme électronique, par courrierélectronique. Ce système, qui s’est rapidement imposé comme moyend’échange rapide et efficace, constitue un nouveau mode de communication.Il produit des e-mails1 qui constituent un nouveau type de documents.

La production d'un document suit un processus de création, de diffusion etd'archivage relativement complexe. Il fait appel à un grand nombre d’acteurset met en œuvre différentes techniques informatiques. Néanmoins, ceprocessus peut être modélisé afin d’être géré dans les meilleures conditions.

« La production d’un document est l’aboutissement d’un processus de création, de production et de diffusion relativement complexe »

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

1 Le terme courriel a été adopté et publié par la commission générale de terminologie et de néologie près du Ministère de la Culture français au Journal Officiel de la République Française du 20 juin 2003, en remplace-ment du terme e-mail. Cependant, pour les besoins du présent ouvrage et dans l’objectif d’y donner accès à unlectorat au-delà de la seule sphère française, les rédacteurs ont pris le parti d’adopter le terme e-mail ci-après.

Dans le cas de la diffusion « Pull », le document est mis à la disposition desdestinataires sur un serveur. Ce sont eux qui, en fonction de leur niveaud’habilitation, font la démarche pour le consulter et le télécharger.

Étape de gestion

L’étape de gestion consiste à mettre en œuvre les processus et les outilsinformatiques d’échange et de partage des documents entre les différentsacteurs d’une même organisation. Fonctionnellement, ces outils permettentnotamment de compléter les métadonnées du document, d’assurer sonstockage dans un ou plusieurs formats de représentation - selon que cedocument est révisable ou non - et bien évidemment d’organiser sa consul-tation sous certaines conditions d’accessibilité.

Les outils informatiques de Gestion Électronique de Documents (GED)et de gestion de processus (Workflow) sont parfaitement adaptés à cetteétape du cycle de vie. Grâce à des mécanismes d’horodatage, ils permettentd’enregistrer et de conserver la nature des événements liés à l’usage et àl’évolution de chaque document.

Étape d’archivage

L’étape d’archivage a pour corollaire, dans la plupart des cas, l’éliminationcomme sort final. C’est l’étape ultime du cycle de vie d’un document. Les Systèmes d’Archivage Électronique (SAE) sont les outils qui répondentà ce besoin. Sur le plan fonctionnel, ils permettent de gérer les versements,de finaliser les métadonnées associées, de faire des recherches, de consulter,de télécharger et finalement de proposer des destructions de documents.

Cette étape met en œuvre des techniques informatiques dont la pérennité,comme par exemple la durée de vie des supports informatiques, n’est pastoujours en concordance avec les contraintes légales de conservation desdocuments.

Les chapitres qui suivent commentent cette étape du cycle de vie des docu-ments, sur les plans juridique, normatif, méthodologique et de réalisationde SAE.

Le modèle présenté ci-après et dénommé « Cycle de vie des documents »comporte quatre étapes principales : « Conception et création », « Produc-tion-diffusion », « Gestion » et «Archivage ».

Un document électronique peut avoir deux origines :

> Soit il a été conçu et réalisé électroniquement avec des moyens infor-matiques, automatisés ou non. Dans ce cas, le document estnativement électronique et c’est un original.

> Soit il résulte d’un processus de numérisation qui transforme undocument papier en document électronique. Dans ce cas, le documentpapier reste toujours l’original et le document électronique en est unereprésentation, donc une copie.

Étape de création

L’étape de création est donc celle qui donne naissance au document. C’estelle qui permet de préciser les premières métadonnées qui le caractérisent :nature (bulletin de paie, contrat, facture), origine (papier ou électronique),auteurs, niveau de confidentialité, durée de conservation, etc. Autant d’informations qui vont intervenir dans les modalités juridiques ettechniques de l’archivage, étape ultime du cycle de vie.

Étape de production-diffusion

Cette étape concerne la communication du document dans sa forme finaleet dans un format de représentation dit non révisable ou non modifiable.Cette communication est réalisée de façon « Push » ou de façon « Pull ».

Dans le premier cas, il s’agit de la diffusion du document vers son desti-nataire. Dans ce processus, le document peut être diffusé sous forme papieret/ou sous forme électronique. L’éditique est l’ensemble des outils et desméthodes informatiques qui permettent la composition, l’impression et ladiffusion des documents. L'e-mail est le moyen qui permet sa diffusionsous forme électronique.


2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

Retour au cycle de vie

Le modèle fonctionnel « Cycle de vie des documents » présente l’intérêtd’intégrer, dès l’étape de conception d’un modèle de document, les obligationsjuridiques et de convenir des modalités techniques de son archivage.

Lors du travail prospectif de mise en place d’un SAE, il est désormaispossible - et recommandé - de faire travailler ensemble les informaticiens,juristes, experts métier, records managers et archivistes. Chacun, dans sondomaine de responsabilités, apporte ses exigences et contribue à une spéci-fication exhaustive et détaillée du processus documentaire lui-même.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

correspondance commerciale qui engagel’entreprise ou l’organisation, lui confère desdroits et a une influence sur son bilan (docu-ments entrants et sortants ainsi que desdocuments internes).

La durée de conservation est de dix ans àpartir de la fin de l’exercice annuel au coursduquel les dernières inscriptions comptablesont été faites, les pièces comptables ont été

établies, la correspondance a été reçue ou expédiée (article L.123-22 alinéa2 du Code de commerce).

Le législateur se montre résolument favorable à la mise en œuvre d’outilsélectroniques propres à rationaliser et à faciliter la conservation de telsdocuments. Ainsi, hormis le livre-journal et le livre d’inventaire qui doiventêtre conservés sur leur support original et signés, l’intégralité des livresauxiliaires, des pièces justificatives et de la correspondance peut être tenueet conservée sur tout support et notamment sur support électronique.

Les conditions de légalité d’une telle conservation électronique sont lafiabilité du système utilisé, l’irréversibilité du support, la garantie de lachronologie des écritures et de lisibilité de ces documents en tout temps(article R.123-173 alinéa 3 du Code de commerce et articles 420-4 et suiv-ants du Plan Comptable Général - PCG). Les moyens de preuve mis enœuvre pour authentifier la date d’établissement des documents informa-tiques écrits sont laissés à l’initiative du chef d’entreprise.

Les principes à respecter pour que ces exigences soient remplies en matièrede conservation électronique sont détaillés dans le code de commerce etdans le Plan Comptable Général (PCG).

« Le législateur se montre résolumentfavorable à la mise en œuvre d’outils électroniques propres à rationaliser et à faciliter la conservation des documents »

Contrairement à une idée fausse et pour-tant répandue qui fait croire que tout n’estque vide juridique dans le domaine desdocuments dématérialisés, le législateurfrançais a déjà établi et précisé les condi-tions de la conservation électronique des documents, de l’utilisation de tels

documents électroniques comme moyens de preuve ainsi que les mesures àprendre pour garantir la protection des données qu’ils contiennent.

On dispose ainsi d’un arsenal juridique déjà fourni qui permet à l’entreprisede s’assurer que les dispositifs techniques et organisationnels qu’elle a choisiset mis en place sont conformes aux lois.

La conservation électronique des documents de l’entreprise

La conservation électronique en tant que telle est expressément abordéedans la loi sous l’angle de la tenue et de la conservation de la comptabilitécommerciale, aux articles L.123-22 et suivants et aux articles R.123-173 etsuivants du Code de commerce.

Tout commerçant, toute personne physique ou morale devant être inscriteau registre du commerce et des sociétés, soit la quasi-totalité des acteurséconomiques privés en France, est soumise à cette obligation légale deconservation ( L123-1).

Cette obligation concerne la comptabilité au sens strict du terme (livres-journal, livres d’inventaire, grands livres, livres auxiliaires, pièces justificativesdes écritures comptables, factures...). Elle concerne également toute la

Document électronique et cadre juridique


2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

« Toutes les organisationsdevant être inscrites au registre du commercesont soumises à l’obligation de conservation »

Toutefois, ces normes ne s’appliquent pas intégralement et de manièrecontraignante à toutes les organisations, sans distinction de leur taille oude leur activité. Leur implémentation dans un cas concret doit être déterminéeen fonction de la nature et de l’étendue des affaires de l’organisation, de sonenvironnement réglementaire et de ses besoins spécifiques.

En conclusion, la conservation sous format électronique des documentsd’entreprise et, au premier chef, des documents comptables pris au sens largeest totalement admise par principe. Toutefois, la loi pose certaines conditionsthéoriques à respecter. Ces conditions relèvent du domaine technique etorganisationnel et imposent à l’entreprise le recours à des prestations et desprestataires informés de l’existence des principes rappelés ci-avant

Le document électronique comme moyen de preuve

Depuis une loi du 13 mars 2000, le droitfrançais a adopté le principe dit de neutralitéet de non-discrimination en matière dedroit de la preuve. Cela signifie qu’un jugene peut rejeter une preuve qui lui estrapportée au seul motif que cette preuve estélectronique. S’il entend la rejeter, il doit

motiver son rejet et expliquer en quoi cette preuve ne le convainc pas.

Ainsi, l'article 1316-1 du Code civil prévoit que « l'écrit sous forme électroniqueest admis en tant que preuve au même titre que l'écrit sur support papier, sousréserve que puisse être dûment identifiée la personne dont il émane et qu'il soitétabli et conservé dans des conditions de nature à en garantir l'intégrité ».Ce texte reconnaît ainsi, de manière explicite, que les documents électron-iques sont admis comme preuves au même titre qu’un document papier.

Là encore, le législateur a clairement exprimé sa volonté de favoriser le recours à des outils de traitement et de conservation électronique dedocuments. Il ressort cependant de ce texte que la preuve littérale sous forme électronique

Les principes en question sont les suivants :

>Principes généraux, applicables tant à la tenue qu’à la conservationdes documents :• Principes de régularité, de sincérité, d’image fidèle (article L.123-14du Code de commerce)• Principe de prudence (article L.123-20 du Code de commerce) • Principe de permanence des méthodes (article L.123-17 du Codede commerce)• Principes de disponibilité et de lisibilité : pendant tout le délai deconservation, la consultation doit être possible en tout temps et dansun délai raisonnable par les organismes de contrôle (article L.123-22alinéa 3 du Code de commerce, article 410-4 du PCG).• Respect du principe de chronologie

> Principes spéciaux pour les « documents informatiques » • Principe de fiabilité : les documents doivent être identifiés,numérotés et datés dès leur établissement par des moyens offranttoute garantie en matière de preuve (article R.123-173 du Code decommerce). Cela implique que « les documents comptables relatifs à l'enregistrement des opérations et à l'inventaire sont établis et tenus sansblanc ni altération d'aucune sorte, dans des conditions fixées par décret enConseil d'Etat » (article L.123-22 du Code de commerce).• Principe de documentation : il s’agit de documenter l’organisation,les compétences, les modes de travail, les procédures et l’infrastructure(matériel et logiciels) utilisés pour la tenue et la conservation desdocuments. Le document doit permettre de comprendre le « systèmede traitement ».

S’agissant du principe primordial de la régularité, il est important desouligner que concernant la technologie à mettre en œuvre, le droit et lajurisprudence français reconnaissent la légalité du recours à l’informatique.

Dans le domaine de la conservation électronique de documents, on peutainsi s’inspirer de normes telles que la norme ISO 15 489 « Recordsmanagement ».


« Les documents électroniques sont donc explicitement admis comme preuves, au même titre qu’un document papier »

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

Le cas spécifique des données à caractère personnel

La directive européenne du 24 octobre 1995 a repris la plupart desprincipes fondateurs de la loi française du 6 janvier 1978 (dite loi « Infor-matique et libertés ») pour les étendre à l’ensemble des Etats de l’UnionEuropéenne.

La loi de 1978 a été modifiée par la loi n°2004-801 du 6 août 2004 et sondécret d’application n°2005-1309 du 20 octobre 2005. Elle prévoit undispositif fort de protection des données à caractère personnel. Une donnéeà caractère personnel ou donnée personnelle est définie comme toute infor-mation relative à une personne physique identifiée ou qui peut êtreidentifiée, directement ou indirectement, par référence à un numéro d’iden-tification ou à un ou plusieurs éléments qui lui sont propres.

Au regard de cette définition très large, autant dire que les informationstraitées par les entreprises constituent très souvent des données à caractèrepersonnel au sens de la loi « Informatique et libertés » (par exemple,factures, commandes, contrats, e-mail sur lesquels figure le nom ou la raisonsociale d’une personne identifiée ou identifiable). Dès lors qu’un traitementde données est mis en place, il faut donc respecter les règles relatives à laprotection des données à caractère personnel (article 2 de la loi du 6 janvier1978).

Les entreprises, organismes ou établissements privés ont l'obligation, auregard de la réglementation, d'archiver nombre d'informations très détailléessur leur activité passée, en particulier au sujet des opérations effectuées avecleurs clients, fournisseurs ou salariés. Ces informations sont, dès lors,protégées par les dispositions de la loi précitée relative aux fichiers, à l'informatique et aux libertés.

Face à la mémoire de l'informatique et en application du « droit » à l'oubli,la loi exige (article 6-5° de la loi du 6 janvier 1978) de garantir que lesdonnées collectées sur les individus ne soient pas conservées, dans les entre-prises, pour des durées qui pourraient apparaître comme manifestementexcessives. La Commission nationale de l'informatique et des libertés(CNIL) a pour mission de veiller au respect de ce principe s'agissant,

est admise à une double condition théorique. Premièrement, il faut que lapersonne, auteur du document, soit dûment identifiée. Cette caractéristiquerenvoie aux notions d'identification et d'imputabilité de l'acte, c'est-à-direà l'identification de l'auteur de l'acte et de son lien avec lui. Deuxièmement,le texte impose que l'intégrité de l'acte soit garantie, dans tout son cycle devie, depuis son établissement jusqu’à sa conservation. L'identification del'auteur, l'imputabilité et l'intégrité de l'acte électronique constituent lescaractéristiques cumulatives exigées par la loi, en sus de celle d'intelligibilitéposée d'une façon générale à l'article 1316 du Code civil.

Il découle de ce qui précède qu’une organisation a la faculté de se libérerde ses archives physiques sur papier en mettant en place un processus et unsystème d’archivage électronique conformes à la loi. En cas de litige, ellepourra produire, en tant que preuves par titres, des fichiers électroniquesextraits de son système d’archivage électronique (documents et métadon-nées telles que signature électronique et horodatage pour garantirl’authenticité). Ces fichiers ont par principe la même force probante que ledocument original sur papier (par exemple un contrat signé). En cas decontestation de l’authenticité du document électronique, l’entreprise devradémontrer la conformité de son système d’archivage électronique auxexigences légales, notamment en ce qui concerne la gestion de l’intégritédans le système et la sécurité des dispositifs de signature électronique. Cettecondition implique en particulier la production de la documentation technique appropriée, conformément aux recommandations de la normeAFNOR NFZ 42-013.

Si cette conformité est établie, le juge n’a aucune raison de douter de lafiabilité de la preuve électronique qui lui est soumise.

En conclusion, dans le domaine de la preuve, la loi reconnaît par principela possibilité de recourir à la preuve électronique au même titre qu’à lapreuve papier. Cependant, l’entreprise devra recourir, pour anticiper toutlitige, à un système d’information éprouvé et construit pour répondre auxconditions théoriques posées par la loi et dont le juge pourrait demanderla démonstration en pratique.


2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

mesures de sécurité technique et d'organisation relatives aux traitements à effectuer. Il doit par ailleurs veiller au respect de ces mesures. La sous-traitance doit être régie par un contrat ou un acte juridique qui lie le sous-traitant au responsable de traitement. Ce document prévoit notamment que le sous-traitant n'agit que sur la seule instruction duresponsable de traitement et que les obligations en matière de sécuritéincombent également à celui-ci.

> La confidentialité des donnéesSeules les personnes autorisées doivent avoir accès aux données personnellescontenues dans un traitement. Il s’agit des destinataires explicitementdésignés pour en obtenir régulièrement communication et des « tiersautorisés » ayant qualité pour les recevoir de façon ponctuelle et motivée(comme la police ou le trésor public).

La communication d’informations à des personnes non-autorisées estpunie de 5 ans d'emprisonnement et de 300 000 € d'amende. La divulgationd’informations commise par imprudence ou négligence est punie de 3 ansd'emprisonnement et de 100 000 € d’amende (art. 226-22 du code pénal).À ces sanctions s’ajoutent celles reconnues à la CNIL (jusqu’à 150 000 €de sanctions pécuniaires, des mesures de publicité principalement).

> Formalités préalables obligatoires auprès de la Commissionnationale de l’informatique et des libertés (CNIL)

Sauf un petit nombre de traitements dispensés de formalités par la CNIL,il convient de considérer que tout traitement de données à caractèrepersonnel doit être déclaré ou autorisé par la CNIL avant d’être mis enœuvre. L'autorisation de la CNIL est exigée pour les traitements qui sont listés àl’article 25 de la loi du 6 janvier 1978.

Les traitements informatiques de données personnelles qui présentent desrisques particuliers d’atteinte aux droits et aux libertés doivent préalablementêtre soumis à l'autorisation de la CNIL, dans le cadre d’une procédure pluslourde que la simple déclaration.


en particulier, des durées de conservation relatives aux informations collec-tées par les entreprises, organismes ou établissements privés mais aussi desmodalités de conservation de ces informations.

Ainsi un certain nombre d’obligations sont prévues par la loi quant à laprotection des données à caractère personnel.

Nous présentons ci-après sommairement quelques-unes de ces obligations.

> La sécurité des données à caractère personnelTout responsable d’un traitement informatique de données à caractèrepersonnel doit mettre en place « toutes précautions utiles » pour assurer lasécurité des données collectées à l’occasion d’un traitement. Ces mesuresdoivent être physiques (sécurité des locaux), logiques (sécurité des systèmesd’information) et adaptées à la nature des données et aux risques présentéspar le traitement.

Ainsi en application de l'article 34 de la loi du 6 janvier 1978 modifiée, le responsable du traitement doit mettre en œuvre les mesures techniqueset d'organisation appropriées pour protéger les données archivées contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés (notamment lorsque le traitementcomporte des transmissions de données dans un réseau) ainsi que contretoute autre forme de traitement illicite. Ces mesures doivent assurer un niveau de sécurité approprié au regard des risques présentés par le traitementet de la nature des données à protéger.

Le non-respect de l’obligation de sécurité qui impose de prendre « les mesuresprescrites à l ’article 34 de la loi n° 78-17 du 6 janvier 1978 » c’est à dire deprendre « toutes précautions utiles » est sanctionné de 5 ans d'emprison-nement et de 300 000 € d'amende (art. 226-17 du Code pénal). À sespénalités s’ajoute le pouvoir de sanction spécifique reconnu à la CNIL(jusqu’à 150 000 € de sanctions pécuniaires, des mesures de publicité prin-cipalement).

L'article 35 de la loi du 6 janvier 1978, modifiée en 2004, précise que si leresponsable de traitement choisit de sous-traiter l’archivage des données, ildoit retenir un prestataire apportant des garanties suffisantes au regard des

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

Le non-accomplissement de ces formalités préalables est sanctionné de 5 ans d'emprisonnement et 300 000 € d'amende (art. 226-16 du Codepénal). À ces sanctions s’ajoutent celles reconnues à la CNIL (jusqu’à150 000 € de sanctions pécuniaires, des mesures de publicité principale-ment).

> La durée de conservation des informations « Droit à l’oubli »Les données à caractère personnel ont une date limite de conservation. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. La CNIL pourrait émettre des recom-mandations relatives à la durée de conservation pour certains types detraitements.

En matière comptable, il a été vuque les documents doivent êtreconservés 10 ans (articles L123-22 et R 123-172 du Code deCommerce). Dans le cadre d’unsystème d’archivage, la conserva-tion de données n’est autorisée quetant et aussi longtemps qu’ellerépond à une obligation légale deconservation (ou, pour le moins,

qu’elle repose sur un intérêt prépondérant comme, par exemple, celui deconserver des documents particulièrement importants dans le but depouvoir retracer l’histoire de l’organisation). Il en découle l’obligation d’assurer la destruction de toutes les informations dont le traitement n’estplus justifié, ce qui devrait être le cas pour la grande majorité des documentsarchivés à l’issue de leur délai légal de conservation. Un système d’archivageélectronique doit ainsi non seulement garantir l’archivage conforme auxexigences légales pendant le délai de conservation, mais également ladestruction des documents à l’issue de ce délai.

Le Code pénal sanctionne de 5 ans d'emprisonnement et de 300 000 €d'amende (art. 226-20 du code pénal) la conservation des données au-delàde la durée qui a été déclarée ou autorisée par la CNIL. A ces sanctionss’ajoutent celles reconnues à la CNIL (jusqu’à 150 000 € de sanctions pécu-niaires, des mesures de publicité principalement).

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

« Un système d’archivage électronique doit ainsi non seulement garantirl’archivage conforme aux exigences légales pendant le délai de conservation, mais également la destructiondes documents à l’issue de ce délai »


> L’information des personnes ou droit d’accèsLe responsable d’un fichier doit permettre aux personnes concernées pardes informations qu’il détient d'exercer pleinement leurs droits. Pour cela,il doit leur communiquer son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires desinformations, l’existence de droits, les transmissions envisagées.Le refus ou l'entrave au bon exercice des droits des personnes est puni de1 500 € par infraction constatée et 3 000 € en cas de récidive (art. 131-13du code pénal et Décret n° 2005-1309 du 20 octobre 2005).

> La finalité des traitementsUn fichier doit avoir un objectif précis. Les informations exploitées dansun fichier doivent être cohérentes avec son objectif. Les informations nepeuvent pas être réutilisées de manière incompatible avec la finalité pourlaquelle elles ont été collectées. Tout détournement de finalité est passible de 5 ans d'emprisonnement etde 300 000 € d'amende (art. 226.21 du Code pénal. A ces sanctionss’ajoutent celles reconnues à la CNIL (jusqu’à 150 000 € de sanctions pécu-niaires, des mesures de publicité principalement).

Les caractéristiques principales du cadre légal français esquissé ci-dessuspeuvent être résumées ainsi :

> Le législateur français encourage la mise en œuvre d’outils électro-niques dans le domaine de l’archivage.

> L’archivage électronique nécessite la mise en place de processus etd’un système d’archivage respectant avant tout les principes formulés(notamment le principe de régularité qui renvoie aux méthodesgénéralement admises et aux recommandations de la profession). Enrevanche, il n’y a pas d’exigence légale quant à la technologie à utiliser.

> À condition de respecter les principes précités, les documents archivéspar un moyen électronique ont la même force probante que des docu-ments conservés sur papier.

> La réglementation en matière de protection des données s’appliqueégalement dans le domaine de l’archivage. Elle impose notammentl’obligation de détruire les informations qui ne sont plus requises.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62


En conclusion, s’agissant des données à caractère personnel, la loi est trèsexigeante sur les obligations de sécurité et de confidentialité qui s’imposentà la personne qui les a collectées, stockées ou enregistrées. Elle imposeégalement un formalisme fort, l’ensemble du dispositif étant géré par unorganisme indépendant dénommé la Commission Nationale de l’Informa-tique et des Libertés. L’ensemble de ce dispositif prévoit des sanctionspénales à l’encontre de l’organisation qui ne le respecterait pas (ou de sondirigeant), la CNIL disposant en outre d’un pouvoir de contrôle et de sanc-tions qui lui est propre.

Spécificités du secteur public

Le secteur public est soumis à quelques contraintes spécifiques qui s’addi-tionnent à celles exposées plus haut.

Il est tout d’abord soumis à la réglementation sur la transparence admin-istrative. Le principe de transparence veut que tout document administratif(au sens de l’article 1er de la loi n°78-753 du 17 juillet 1978 tel que modifiépar les articles 2, 3 et 4 de l’ordonnance n°2005-560 du 6 juin 2005) soitaccessible au public, à l’exception des :

> documents comportant des données personnelles (voir infra) ;> documents « confidentiels » dont la communication porterait atteinte

au secret des délibérations du gouvernement, au secret de la Défensenationale, de la politique extérieure, à la monnaie et au crédit public,à la sureté de l’Etat et à la sécurité publique ;

> documents portant atteinte au secret de la vie privée ;> documents concernant les dossiers personnels et médicaux ;> documents portant atteinte au secret en matière commerciale et

industrielle.

Ces documents non communicables le deviennent toutefois après un délaide 30 ans (article 6, II de la loi n°78-753).

Cette exigence implique une maîtrise accrue des processus documentaires.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

La dématérialisation peut représenter ici un avantage. Il est en effet nettementplus facile de communiquer un document électronique par courriel plutôtque de rechercher un document papier dans un dépôt d’archives, de lereproduire et l’envoyer par courrier postal. La contrepartie de cette facilitéest néanmoins l’obligation de mettre en place des systèmes efficaces degestion des documents électroniques.

On voit également apparaître une demande accrue pour la mise à disposi-tion publique de jeux de données détenues par les administrations. Cettetendance, connue via l’anglicisme « Open Data », traduit en français par« Donnée publique », est très vive. Ainsi a été lancé le lundi 5 décembre2011 le site Internet www.data.gouv.fr. Établi par un décret du premierministre en février 2011, ce « portail unique interministériel des donnéespubliques » était le principal objectif de la mission Etalab. Il se place dansles pas du portail data.gov ouvert en 2009 aux Etats-Unis par l'adminis-tration Obama.

Cette initiative s'inscrit dans le mouvement de l'« Open Data » qui, pourune plus grande transparence et un meilleur fonctionnement de la viepublique, entend donner au citoyen un accès libre à de nombreuses basesde données.

Les administrations publiques sont donc soumises à la législation sur la protection des données personnelles, au même titre que les entreprisesprivées. Elles ont cependant une responsabilité plus grande dans la mesureoù les données qu’elles collectent ou produisent le sont sous le couvert d’exigences légales auxquelles le citoyen ne peut se dérober et qu’ellescouvrent une population numériquement importante. De plus, certainssecteurs de l’administration possèdent des données sensibles (santé, social,par exemple). Elles doivent donc être particulièrement prudentes dans lagestion de la communication et de l’interconnexion possible de cesdonnées.

Les administrations doivent mettre en place des contrôles de droits d’accèsadéquats et la possibilité de correction des données erronées.


Ces exigences d’anonymat relatif peuvent sembler entrer en conflit avec untroisième domaine législatif qui est celui des archives publiques. En effet, la plupart des lois sur la protection des données personnelles visentà les faire détruire une fois qu’elles n’ont plus d’utilité courante. Maiscertaines données présentant un intérêt historique, scientifique ou statistiquejustifient qu’elles ne fassent l’objet d’aucune destruction. La conservation deces données est garantie par l’application des lois sur l’archivage public(Délibération n° 88-052 du 10 mai 1988). Une sélection doit alors êtreopérée entre les données destinées à être conservées et celles qui, dépourvuesd’utilité administrative ou d’intérêt historique, scientifique ou statistique,sont destinées à être éliminées (article L212-3 du Code du Patrimoine).

Un dernier domaine, qui doit tenir compte des contraintes réglementaires,est celui de la mise en place de ce qu’il est convenu d’appeler la cyberadmin-istration. L’administration a mis en place d’ambitieux programmes visant à mettre ses services « en ligne » notamment au travers du site internet « mon.service-public.fr ». Ce dernier a été proposé par le comité intermi-nistériel pour la réforme de l'Etat (CIRE), dans le cadre du programmed'action gouvernemental pour la société de l'information (PAGSI) puis duprogramme gouvernemental RE/SO 2007. « mon.service-public.fr » estaujourd’hui développé par la Direction générale de la modernisation del’Etat (DGME), direction du Ministère du Budget, des Comptes publics etde la Réforme de l’Etat.

Dans cette optique de cyberadministration, la plateforme technique de « mon.service-public.fr » a fait l’objet d’un travail préparatoire approfondiavec la CNIL en vue d’offrir aux usagers toutes les garanties en matière desécurité et de confidentialité des données. En effet, outre l’aspect logistique,qui intéresse peu le citoyen, la mise en place de guichets virtuels impliqueun système d’identification des personnes très fiable.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

Pour que cette cyberadministration fonctionne correctement, il faut mettreen place des flux de données ergonomiques et fiables (gestion des processuset Records management) mais également des infrastructures d’archivage dehaute qualité. Celles-ci, appelées communément Système d’archivage élec-tronique (SAE) selon la norme Moreq2, sont actuellement progressivementmises en place dans différentes administrations. Ces infrastructures sontégalement construites selon la norme OAIS (Open Archival InformationSystem) devenue la norme ISO 14721 : 2003.

La norme OAIS encadre la définition des différentes entités logiques néces-saires pour permettre d’assurer une conservation à long terme qui, dans lecadre des institutions publiques, doit dépasser le siècle.

C’est la gestion à (très) long terme qui représente la spécificité majeure del’archivage électronique pour les administrations publiques.

1 Model Requirements for the management of electronic records dont la dernière version Moreq2010 (Modular Requirements for Records Systems) a été mise en ligne le 6 juin 2011.


Loin d’être une contrainte, la mise en œuvre effective de normes dans l’entreprise produit un avantage concurrentiel. Elle fournit un cadre de connaissances éprouvées sur lequel les organisations peuvent s’appuyerpour développer leurs activités. L’application de ce cadre est un gage d’interopérabilité entre les solutions ainsi que de réversibilité.

Dans le domaine de la gestion de l’information et des documents électroniques,les normes ISO ont pour objet de définir, d’encadrer (voire de certifier) lessystèmes de gestion de l’information et des documents et, par conséquent,la réalisation de SAE comme moyens techniques.

Ainsi, les normes ISO peuvent être classées en deux grandes familles :> les normes de système de management (NSM), comme celles de

la série 9000 liée à la qualité ou celles de la série 14000 rattachée àl'environnement ou encore la série 31000 relative au management durisque,

> les normes techniques, destinées à formaliser les modalités de miseen œuvre, comme par exemple celles d’un SAE ou d’un processus dedématérialisation.

Dans le domaine de l’archivage électronique, la norme ISO 15489 « Records management », publiée en 2001, fait référence. Elle pourrait êtrel’objet, à partir de l’année 2012, d’une révision significative qui conduiraà distinguer les aspects de management des modalités techniques de réali-sation. Les aspects de système de management seront couverts par la nouvelle série de normes ISO 30300. Les aspects de réalisation serontencadrés par la norme ISO 15489 révisée et par des normes connexes.

Le schéma figurant sur la page 37 présente l’articulation de ce corpus de normes qui conjugue une finalité de bonne gouvernance et des modalitésde réalisation.

Document électronique et cadre normatif

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

Nous avons choisi de commenter ces deux séries de normes (ISO 30300et ISO 15489). La première souligne la portée stratégique de la gestion desdocuments d’activité, la seconde celle des modalités de mise en œuvreeffective par les professionnels. D’autres normes relatives à la mise en œuvredes SAE seront également citées.

Par ailleurs, la traduction de l’expression « Records management » par « Gestion des Documents d’Activités », à l’occasion de la création desnormes 30300, est une avancée majeure qui devrait faciliter la compréhensionde ce concept.

> La norme ISO 30300 de système de managementLa série de normes ISO 30300 reprend et complète la norme ISO 15489pour ce qui concerne le système de management des informations et desdocuments. C’est donc une norme de système de management au mêmetitre que l’ISO 9001, pour le management de la qualité, ou encore quel’ISO 31000, pour le management du risque.

La norme ISO 30300 relève de la politique des organisations en matièrede management de l’information et des documents dans une démarched’amélioration continue. Elle met en évidence, par sa mise en œuvre, le faitque les ressources informationnelles (informations et documents) sont desactifs de l’organisation et font partie de son capital intellectuel. Elle apporteun cadre pour la bonne gouvernance des documents d’activité.

ISO 30300 et les suivantes ont été conçues dans une optique de processus.Elles répondent aux besoins de toutes les parties prenantes : directionmétier, direction système d’information, direction juridique, directionressources humaines. Pour définir et établir une politique de managementdes informations et des documents, ces normes recommandent, dans un objectif de preuves fiables et faisant autorité :

> de définir les rôles et les responsabilités de chacun, > de spécifier les processus et les systèmes de management, > de convenir des modalités de mesure et d’évaluation de ces systèmes, > de mettre en œuvre les améliorations nécessaires.

Dans leurs grandes lignes, ces normes établissent un certain nombre de principes qui conduisent les organisations à formaliser les relations entrele système de management des informations et des documents et le système de management général. Elles impliquent fortement la directiondes organisations. Ce sont ces mêmes directions qui devront fixer les orien-tations et les objectifs à atteindre, qui rendent obligatoire l’adoption par les personnels des exigences du système de management et qui s’assurentde la disponibilité des moyens et des ressources. Finalement, l'applicationde telles normes conduit à la mise en place d'une bonne gouvernance en matière de management des informations et des documents.

> La norme ISO 15489 « Records management »La norme ISO 15489, dite de « Records management », est une référencepour la gestion de l’archivage des documents produits par les organisations.Elle comporte deux parties. La première concerne les principes directeurs.La seconde est un guide pratique.

La norme ISO 15489 de « Records management » a la volonté :> de répondre aux exigences légales et réglementaires de gestion des

informations et des documents électroniques, en matière d’archives,d’audit et de contrôle,

> de définir les informations et les documents qui relèvent du « Recordsmanagement ». En d’autres termes, les documents que l’organisationconsidère comme stratégiques pour assurer la continuité de son activ-ité en cas de dysfonctionnements graves ou de sinistres,

> de convenir des responsabilités et des compétences des différentsacteurs : concepteurs, archivistes, informaticiens, qualiticiens,

> d’élaborer et de valider de nouveaux processus de travail, entredécideurs, administrateurs et collaborateurs,

> d’adapter et de maintenir l’interopérabilité d’un SAE avec les autressystèmes,

> de mettre en œuvre un plan de gestion du changement comprenant,entre autres, un plan de formation,

> de préserver les intérêts de l’organisation et les droits de ses employés,de ses clients et des utilisateurs présents et futurs des « Records »,

> de préserver une mémoire de l’organisation.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63



ISO 15489 définit des exigences afin que les organisations produisent etconservent des documents authentiques, fiables et exploitables et qu’ellespréservent leur intégrité aussi longtemps que nécessaire. Qu’elles soient del’ordre du principe ou techniques, ces exigences sont utiles à la conceptiond’un SAE.

Principes généraux d’un programme de « Records management » : > quels documents à minima il convient de produire et d’archiver, > quelles formes et quelles techniques doivent être retenues pour

produire et archiver ces documents, > quelles métadonnées il convient de créer et de maintenir dans le

temps pour décrire les contenus de ces documents, les usages et les droits associés,

> quels modes d’organisation (plan de classement) il faut retenir desdocuments,

> quels sont les risques en cas de non-disponibilité de documentsprobants pour une activité,

> quelles sont les exigences légales des pays concernés par l’activité de l’organisation.

• Exigences caractérisant un document d’archives. ISO 15489 définit des exigences qui caractérisent un document d’archive et en particulier : > son authenticité : le document est bien ce qu’il prétend être, > sa fiabilité : le document représente exactement et complètement

les opérations et les activités qu’il atteste, > son intégrité : le document est complet et non altéré, > son exploitabilité : le document peut être replacé dans un contexte

d’activité.

• Exigences caractérisant un SAEISO 15489 définit les exigences d’un système d’organisation et de gestiondes documents d’archives ou SAE. Celui-ci doit répondre à plusieursexigences fondamentales :

> pérennité des contenus numériques conservés,> intégrité : la modification des contenus conservés doit être impossible

ou détectable,> sécurité : le système doit garantir la conservation et l’accessibilité aux

contenus pendant toute leur durée de conservation,

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

> traçabilité : enregistrement systématique de toutes les opérations surles contenus conservés,

> réversibilité : quelle que soit la configuration retenue pour exploiterle SAE, la solution doit permettre la récupération ou la migration descontenus dans des conditions techniques et économiques convenuesd’avance.

Enfin, le SAE doit être en conformité avec les exigences énoncées et revêtirun caractère systématique.

> La norme ISO/FDIS 14641-1 : Spécifications pour la conceptionet le fonctionnement d'un système d'informations pour la conserva-tion d’informations électroniques

Cette norme s’appuie presque intégralement sur la norme française NF Z42-013 révisée en 2009. Elle a été validée le 15 janvier 2012.

Les objectifs de la norme sont de : > fournir, dans le prolongement des dispositions légales et/ou réglemen-

taires, un cadre technique permettant de mettre en place des systèmesd’archivage électronique (SAE) à vocation probatoire destinés àconserver des documents numériques d’origine ou obtenus parnumérisation,

> proposer un texte décrivant les aspects techniques et organisationnelsnécessaires et suffisants pour garantir l’intégrité, la pérennité, la sécuritéet la traçabilité des documents conservés dans un SAE,

> fournir un référentiel d’audit permettant de déterminer la conformitéd’un SAE au regard des spécifications de la norme,

> fournir aux éditeurs de progiciels un ensemble de points techniquesà mettre en œuvre,

> fournir aux archivistes et aux tiers-archiveurs un ensemble d’indicationsleur permettant de mettre en conformité leurs offres de services.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

> Les normes connexes En compléments de l’ISO 15489 et selon les spécificités des activités del’organisation et des documents éligibles comme « Records », il pourra êtreintéressant de s’appuyer sur des normes techniques comme :

> la norme ISO 23081 relative aux principes de gestion courante desmétadonnées et des versements des documents aux archives,

> la norme ISO TR 13028 concernant les lignes directrices pour la numérisation des informations et des documents,

> la norme ISO 13008 applicable aux processus de conversion et de migration des informations et des documents numériques,

> la norme ISO 16175 en trois parties, dite ICAReq. Elle présente lesprincipes et les exigences fonctionnelles pour la capture des informationset des documents directement à partir des environnements bureau-tiques et des systèmes d’information des entreprises,

> les différentes versions de la norme ISO 19005 (PDF/A) qui définis-sent des formats d’archivage répondant à l’exigence fondamentale depérennité définie ci-dessus.

Par ailleurs, et il est utile de le préciser ici, l’Union Européenne a souhaitéuniformiser les politiques d’archivage des pays membres. Elle a établi unrecueil d’exigences pour l’organisation de l’archivage électronique dénomméMoReq (Model Requirements for the Management of Electronic Docu-ments) et basé sur la norme ISO 15489 « Records Management ». Éditéen 2001 et considéré comme difficilement applicable, MoReq a étéremplacé en 2008 par MoReq2 qui devait l’être à son tour par MoReq2010 avec des objectifs de simplification et de modularité.

> L’intérêt des deux familles de normesComplémentaires, les normes de la série ISO 30300 et les normes tech-niques interviennent sur des niveaux différents. Les premières s’inscriventdans les principes du management de la qualité et donc de la stratégie desorganisations. Les secondes, de nature technique, concernent les spécificationsdes processus et des systèmes informatiques de type SAE, en vue del’archivage des documents.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

Mettre en œuvre conjointement ces familles de normes permet à chaqueorganisation de définir une politique de gestion des informations et desdocuments conforme aux exigences légales et réglementaires françaises(politique d’archivage). Elles conduisent à mettre en place des moyens -processus et SAE - qui garantissent la pérennité, l’intégrité, la sécurité etla traçabilité des documents archivés.

Cette démarche peut paraître complexe. Néanmoins, elle peut être conduiteprogressivement en choisissant certaines familles de documents, en priv-ilégiant l’approche managériale ou celle des moyens techniques, ou encoreen faisant appel à des professionnels. Enfin, lorsque la situation se présente,il convient de souligner que la numérisation des documents papier doitfaire l’objet d’une attention particulière pour garantir les qualités descontenus transférées dans le SAE.

> La validation des solutions d’archivage électroniqueA juste titre, les entreprises publiques ou privées qui ont recours àl’archivage électronique s’interrogent sur la conformité de leur solution aux exigences légales et réglementaires. Plusieurs situations doivent êtredistinguées.

Aux termes du décret 2009-1124 du 17 septembre 2009, la conservationdes archives courantes et intermédiaires produites par les administrationset entreprises publiques peut être assurée par des tiers-archiveurs agréés.Pour obtenir l’agrément pour la conservation des archivages électroniques,les solutions des tiers-archiveurs doivent être conformes aux normes NF Z42013 et ISO 14721, dite OAIS. A cela s’ajoute le respect du SEDA (Stan-dard d’Echange pour les Données d’Archivage) qui définit, d’une part, unprotocole d’échange entre les systèmes de production et les systèmesd’archivage et, d’autre part, un modèle de métadonnées.

Un processus de certification des solutions d’archivage électronique est en cours de finalisation. Il est placé sous l’égide de AFNOR Certificationqui sera chargée de délivrer le certificat de conformité à la marque NF 461.


La démarche de certification s’appliquera à 2 situations : les SAE exploitésen interne par les entreprises et les solutions proposées sous forme deprestations de service par les tiers-archiveurs.

Il est important de souligner que l’audit de conformité d’une solutiond’archivage électronique concerne nécessairement tous les composants duSAE : logiciels, matériels, procédures d’exploitation.

Pour être complet, signalons que les prestataires de d’archivage papier ontégalement défini une marque de certification : NF 342 « Prestationsd'archivage et de gestion externalisée de documents »

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63


Normes et rapports techniques connexes

Mise en œuvre des processus liés aux documents d’activité

Principes essentiels et terminologie

Exigences

Lignes directricesÉléments à l’appui d’une structure de haut niveau

Normes de systèmes de gestion des documents d’activité

Cadre pour la gouvernance des documents d’activité

ISO 30300 • Systèmes de gestion des documents d’activité • Principes essentiels et vocabulaire

ISO 30301• Systèmes de gestion des documents d’activité• Exigences

ISO 30303• Systèmes de gestion des documents d’activité• Exigences relatives aux organismes d’audit et de certification

ISO 30302• Systèmes de gestion des documents d’activité• Guide de mise en œuvre

ISO 30304• Systèmes de gestion des documents d’activité• Guide d’évaluation

D’après la norme ISO 30300

ISO 15489Records

management

Partie 1 Principes directeurs

Partie 2 Guide pratique

ISO 23081Métadonnées pour les enregistrements

Partie 1Principes

Partie 2 Concepts

et mise en œuvre

Partie 3 Méthode

d’auto-évaluation

ISO/TR26122

Analyse du processus

des « records »

ISO/TR 13028Mise en œuvre

des lignes directrices pour

la numérisation desenregistrements

ISO 14641-1Spécifications pour

la conception et le fonctionnement

d’un système d’informations

pour la conservation d’informations électroniques

ISO 13008Processus

de conversion et migration

des documents d’activité

numériques

ISO 16175Principes

et exigences fonctionnelles pourles enregistrements

dans les environnements

électroniques de bureau

Partie 1Aperçu

et déclaration des principes

Partie 2Lignes directrices

et exigences fonctionnelles

pour les systèmes de management

des enregistrementsnumériques

Partie 3Lignes directrices

et exigences fonctionnelles

pour les enregistrementsdans les systèmes

d’entreprise

➜

➜


Tous les documents n’ont pas la même portée. Ils ne relèvent donc pas tousdes mêmes exigences légales et, par conséquent, des mêmes obligations enmatière de conservation.

Les factures émises et reçues, les contrats, les bulletins de paie, la documen-tation technique d’un produit et d’un service, les notes de services ne sontpas exposés aux mêmes risques et ne répondent pas aux mêmes obligationslégales d’archivage et de communication. Il serait dommageable de leurappliquer, à tous et sans distinction, les mêmes modalités de gestion et d’archivage. Parallèlement, les règlements encadrant les activités et lesobligations en matière de gestion documentaire varient d’un secteuréconomique à l’autre. Il en est ainsi, par exemple, pour la santé, l’environ-nement, le transport, l’énergie ou encore la finance.

En conséquence, un travail préalable d’analyse documentaire est nécessaire.

Il conduit à la réalisation d’un « Référentiel de conservation ». Celui-ciconcerne les documents entrants et sortants autant que les documentsinternes de l’organisation. Il distingue ceux qui sont nativement électron-iques de ceux qui sont sous forme papier et qui peuvent être conservés sousleur forme physique ou être numérisés.

L’établissement de ce référentiel est un moment important pour tous lesresponsables de l’organisation. Il nécessite un travail en équipe où se retrou-vent les responsables « métier », les responsables système, les archivistes etles juristes.

Pour chaque document, ce travail conduit à poser, pour le moins, les ques-tions suivantes :

> Quelle est la finalité de ce document ? Exemple : facture, contrat,brevet, etc.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

> Quelles sont l’origine et la destination de ce document : interne (quelservice, quel auteur), externe (quelle société, quelle direction) ?

> Quel est son support : papier (faut-il le numériser ?), électronique(quel format de représentation ?)

> Dans quel processus s’inscrit-il : facturation, ressources humaine,commercial, approvisionnement, etc. ?

> Quelle est sa portée : stratégique, juridique (obligation légale ou non),technique, etc. ?

> Quels sont les menaces (vol, sinistre, malversation) et les risques asso-ciés à ce document ?

> Quelle est sa durée de conservation ?

Finalement, la formalisation de ces principales interrogations constituentles éléments d’un «Référentiel de conservation » ou encore d’un « Tableaude gestion ».

Le cas des e-mails

Si à l’origine les « e-mails » étaient assimilables à des enveloppes contenantdes documents (pièces jointes), aujourd’hui beaucoup cumulent les fonc-tions de transmission et de message.

De fait, certains « e-mail » sont devenus des documents comme, par exem-ple, des bons de commande, des notes de services, des contrats, etc. Ils sontgénérateurs d’engagements et d’obligations entre leurs émetteurs et leursdestinataires.

De plus, avec les mécanismes de suivi « Répondre » et « Transférer », ilsreflètent une chronologie d’échanges d’une grande complexité et compor-tent des contenus souvent peu structurés. Néanmoins, ils doivent être traitéscomme des documents à part entière et peuvent relever du « Recordsmanagement » dès lors qu’ils traitent d’un sujet vital pour l’organisation. Ilspeuvent constituer de la « correspondance commerciale » soumise à uneobligation légale de conservation. La difficulté est bien évidemment de leurassocier des métadonnées suffisamment précises pour les retrouverultérieurement. En ce sens, les utilisateurs doivent être sensibilisés au faitque les « e-mails » sont des documents susceptibles d’engager l’organisationet que leur cycle de vie est difficilement identifiable et traçable.

Que faut-il faire ?Pour quels documents ?

La mise en place d’un Système d’Archivage Electronique s’appuie sur unedémarche de conduite de projet construite en plusieurs étapes :1Définition des objectifs à atteindre sur le plan stratégique. Quels sont lesdocuments qui, vitaux pour l’organisation de l’entreprise, doivent releverd’une politique de « Records management » ?2 Analyse de la situation documentaire actuelle : processus en place,systèmes et ressources.3 Établissements d’un référentiel de conservation (tableau de gestion) enfonction des éléments précités.4 Choix d’une solution organisationnelle, technique et financière.5 Réalisation et mise en œuvre en interne d’une solution adaptée ou miseen place d’un système sous-traité totalement ou partiellement.6 Mise en place d’un plan de gestion du changement comprenant notam-ment un plan de formation.7 Bilan et ajustements nécessaires.

La quatrième étape de cette démarche conduit à une décision de réalisation :en interne ou avec sous-traitance. Cette décision est prise selon un certainnombre de critères propres à chaque organisation.

Ce Livre blanc explore les deux voies possibles. La première à travers les «Solutions techniques » présentées au paragraphe 7.1 et la seconde à traversles « Solutions de services » présentées au paragraphe 7.2.

Les solutions techniques

La migration des documents papier en documents électroniques a conduità la conception et à la mise en œuvre d’un certain nombre d’outils infor-matiques permettant d’assurer l’intégrité, l’authenticité, l’identification et la conservation des documents. Ces outils sont principalement utilisés

Démarches et solutions

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63


pour leur transmission par e-mail et pour leur archivage. Dans le premiercas, ils permettent de s’assurer que les e-mails n’ont pas été modifiés entreles étapes d’émission et de réception. Dans le second cas ils permettent des’assurer qu’entre l’instant du versement et celui de la consultation, ce quipeut couvrir une période de cinq, dix ou cinquante ans, le document estbien resté le même.

> Signature électroniqueLa signature électronique est un dispositif informatique qui répond à deuxbesoins : assurer l’intégrité du document et l’authentification de son auteur.

Pour assurer l’intégrité, la solution consiste à crypter le document par unalgorithme. Celui-ci fournit et associe au document une empreintenumérique (ou valeur de hachage) qui est unique.

Si, à l’occasion d’une transmission ou durant son archivage, le documentest modifié, son empreinte est alors recalculée au moment de la réceptionou de la consultation. Elle n’est plus identique à celle initiale qui avait étécalculée au moment de l’émission ou du versement dans le SAE. Cettemodification de l’empreinte signifie que le document a été modifié.

Le décret n°2001-272 du 30 mars 2001 modifié et complété par le décret2002-535 du 18 avril 2002 précise qu’outre les conditions prévues par l’article 1316-4 du Code civil, la signature électronique devra « être propreau signataire, être créée par des moyens que le signataire puisse garder sous soncontrôle exclusif et garantir avec l’acte auquel elle s’attache un lien tel que toutemodification soit détectable » (D.2001-272, article 1er).

La signature électronique sécurisée ne pourra produire pleinement ses effetsqu’après avoir été certifiée. Cette procédure de certification s’appuie à la foissur des Prestataires de Services de Certification Electronique (PECS)agréés et sur l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Les PECS effectuent des contrôles et des testspuis rendent compte des résultats obtenus. L’ANSSI délivre des labels auxproduits de sécurité.

2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

Censée faciliter les transactions d'affaire par voie électronique, la signatureélectronique vise aussi à permettre la commande, par Internet, de docu-ments officiels auprès des administrations (notamment le casier judiciaireou un extrait de l’office des poursuites). Développant le principe d’une « cyberadministration », ces mesures devraient faciliter les relations entreles entreprises et leur administration.

Une signature numérique pourrait se présenter sous la forme de clé USB,de badge ou encore de service sur un site Web.

> Horodatage

Tracer par horodatage les événements attachés au cycle de vie d’un documentest un excellent moyen pour reconstituer, en cas de besoins, les opérationsdont il a été l’objet : création, consultation, modification, versement dansun SAE. Pour assurer une représentation incontestable des dates et desheures, il est nécessaire d’installer, avec un SAE, un logiciel qui faitréférence à une base de temps dite universelle.

> SAE, Système d’archivage électronique

Un SAE a pour fonctions essentielles d’assurer l’intégrité, la sécurité et lapérennité des documents qui y sont versés. Ces fonctions doivent êtreassurées pendant des périodes de conservation qui peuvent s’avérerextrêmement longues. C’est sur ce point qu’un SAE se distingue d’unsystème de GED (Gestion électronique de documents). Ce dernier est unoutil informatique destiné au partage et à l’échange des documents. N’en assurant ni l’intégrité, ni la sécurité, ni la pérennité, il ne garantit pasla valeur légale du document.

Le SAE est une des composantes du système d’information de l’organisation.Il doit être interopérable avec les différents sous-systèmes du système infor-matique comme ceux d’ERP3 et de bureautique. Il est le garant de l’archivageet doit pour cela présenter un certain nombre de fonctions, dont :

> une fonction de prise en compte des versements des documents dansle SAE qui prend appui sur un référentiel d’archivage. Cette fonctionassure l’éligibilité des documents à être versés dans le SAE (renseigne-ment des métadonnées, autorisation du format, etc.),

3 ERP, Entreprise Resources Planning

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63

> une fonction de génération et de contrôle des métadonnées. Un document électronique ne peut pas être versé dans un SAE sansque des métadonnées lui soient attachées,

> Une fonction de contrôle du format de représentation du document.Un SAE ne peut prendre en compte que des formats dits finaux ounon révisables et forcément normalisés. En ce sens, une liste de cesformats acceptables par le SAE doit être établie préalablement.PDF/A, par exemple fait partie de ces formats.

> une fonction de génération des journaux destinée à tracer tous lesévénements affectant chaque document, consulter, utiliser et main-tenir le SAE,

> un ensemble de fonctions permettant l’audit du SAE,> une fonction d’élimination des documents. Il ne s’agit pas d’une fonction

automatique. Elle établit des listes de documents à éliminer qu’unopérateur vérifie, au cas par cas, avant de procéder à l’élimination réelle. Un journal qui ne peut pas être détruit trace ces événements.

> Numérisation

La numérisation est le résultat d’un processus de transformation d’un docu-ment papier en fichier électronique au moyen d’un scanner. Ce processusmet en œuvre des équipements informatiques et, éventuellement, des logicielsde RAD4 et LAD5 et des opérateurs. Susceptible de faire l’objet d’erreursou de malversations, ce processus doit être encadré.

La numérisation réalise la copie électronique d’un document papier sous laforme d’une image. Elle doit être gérée en référence aux normes techniquesISO 15489 et connexes présentées précédemment.

C’est une fonction qui peut être interopérable avec le SAE pour assurerdirectement le versement de documents faisant partie du référentield’archivage.Enfin, à l’issue du processus de numérisation, l’organisation devra déciderde la destruction ou non du document papier qui est par nature le documentoriginal.

> Métadonnées

Littéralement, les métadonnées sont des données sur une donnée.

Elles constituent un ensemble d’informations qui permettent, à minima,de décrire un document, son contenu, son accessibilité (degré de confiden-tialité) et de le nommer. Elles permettent aussi de décrire, à priori commeà posteriori, les usages du document, les droits qui y sont attachés ainsi queles modalités de sa conservation et de sa destruction.

Les métadonnées sont donc un ensemble d’informations dont il fautconvenir avant la réalisation d’un SAE. La norme ISO 23081 fait référenceen la matière.

Les solutions de services

Les techniques informatiques jouent un rôle important en matièred’archivage électronique. Néanmoins, la mise en place d’un SAE, sonexploitation, sa maintenance et son évolutivité reposent largement sur desprincipes juridiques et des modalités organisationnelles.

Dans ce contexte d’expertises multiples, toute organisation a le choix entreune solution interne et une solution externalisée.

La solution interne est celle de l’intégration de système. Elle nécessite lechoix de logiciels et le pilotage d’une démarche de projet classique associantdes informaticiens, des juristes, des archivistes et des décideurs « métier ».Cette solution sous-entend également une démarche qualité afin d'intégrerle système d'archivage dans un cadre normatif certifiable pour s'assurer, en cas de nécessité, que les documents électroniques seront acceptésjuridiquement.La solution externalisée est celle du choix d’un prestataire de services entiers-archivage. Dans ce cas, il s’agit de retenir un partenaire dont l’activitéprincipale est l’archivage, dans le cadre d’un contrat de service.

4 RAD, Reconnaissance Automatique de Document. Un logiciel de RAD permet d’identifier un document, par exemplede décider qu’il s’agit d’une facture, d’un bordereau, d’une carte d‘identité, etc.5 LAD, Lecture Automatique de Document. Un logiciel de LAD permet d’extraire des informations d’un document, par exemple pour générer automatiquement des métadonnées ou pour les injecter dans un ERP ou une base de données.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62


> Les mesures à prendre

Avant de confier l'archivage de ses documents à un tiers-archiveur, il convient de vérifier :> que, en qualité de prestataire stratégique des activités de l’organisation,

le tiers-archiveur est capable de respecter les engagements auxquels ilest tenu et que les services qu’il propose sont compatibles avec leniveau d’exigence exprimé,

> que les règles de sécurité et de confidentialité sont clairement décrites.Il faut notamment que les échanges entre l’organisation et le tiers-archiveur comportent des moyens de sécurité suffisants (authentifi-cation forte, chiffrement, contrôle d'intégrité),

> que le système proposé, outre le fait d'être conforme aux normes existantes, puisse :• assurer l'identification unique et fiable de ses clients,• garantir la confidentialité des données et métadonnées déposées,• fournir des attestations de dépôt pour chaque opération,• effectuer les destructions de documents sur notification des person-

nes habilitées et, après exécution, fournir les attestationscorrespondantes,

• fournir un journal de cycle de vie des archives pour chaque client,• proposer un système ouvert et interopérable afin de permettre au

client de changer de prestataire ou de réintégrer le système et lesdonnées en interne. Ce point est essentiel et les modalités de réver-sibilité doivent être clairement explicités dans le contrat de services.

Quel que soit le choix effectué, le plus important est de s’assurer de la conformité du SAE aux besoins fonctionnels exprimés.

En effet, la conformité du système d’archivage ne repose pas seulement surle système informatique utilisé. La solution englobe un ensemble de services et de processus qui seront explicités dans la politique d'archivage.Cette politique d’archivage devra définir précisément les exigences entermes juridiques, fonctionnels, opérationnels, techniques et de sécurité, quele service d'archivage doit respecter afin que le SAE et les processus mis enplace puissent être considérés comme fiables. Si le tiers-archivage apportede nombreux avantages, il ne peut pas être considéré comme une assurance

tout risque. Il ne peut en aucun cas être tenu responsable du contenu deséléments électroniques à archiver transmis par le donneur d’ordre.

L’objectif essentiel de toutes ces mesures est d’apporter devant le juge (ou tout autre organisme de contrôle) la preuve de la fiabilité du procédémis en œuvre pour le service d’archivage ainsi que les modalités de contrac-tualisation.

> Les avantages du tiers-archivage

Le plus évident est purement financier et découle de la mutualisation desinfrastructures du tiers-archiveur.Les autres avantages principaux de l’externalisation de l’archivage sont :

> L’indépendance du système de preuve : il évite d’être juge et partielorsqu’il s’agit de prouver sa bonne foi sur l’intégrité des documents,

> L’accès facilité à l’information sans mobiliser des ressources infor-matiques internes souvent surchargées,

> Une mise en œuvre rapide du système d’archivage sans investisse-ment préalable majeur,

> Un accompagnement basé sur le devoir de conseil du prestataire,notamment en matière de politique d’archivage,

> Une garantie de service 24h/24h,Enfin, le tiers-archivage est une solution souple qui évite des investisse-ments initiaux élevés tout en permettant un développement progressif del’archivage sous forme électronique.

L’externalisation doit être contractualisée dans un cadre de confiancepermettant de définir clairement les limites de responsabilité de chacun.


1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

Cas pratique détaillé 1

Contexte - Problématique

Une PME de 160 salariés spécialisée dans la distribution de pièce pour l’industrie souhaitait optimiser son processus de facturation clients,réduire ses coûts et s’assurer de la conservation légale des documentsélectroniques

Elle traite environ 1500 factures clients par mois (Saisie des données,contrôles, impression en double exemplaire, mise sous pli, expédition etclassement interne).

Les doubles des factures de l’année en cours sont conservés en interne etune fois par an un versement des archives est réalisé dans les locauxsécurisés d’Everial.

Solution proposée

Installation d’une imprimante virtuelle et d'un connecteur d'archivage inté-gré à l’outil de facturation. Ce système simple de mise en œuvre ettotalement intégré au système de facturation en place permet :

> La capture des factures au format standard PDF/A au moment de leurimpression ainsi que l’extraction des données essentielles : numéro defacture, code client facturé, date de la facture, montant TTC.

> Le versement des lots d'archivage quotidien et leur transfert cryptédans le Système d’Archivage Électronique (SAE) d’Everial.

> L’intégration d’une copie pour consultation directement dans lesystème de facturation et dans Oxiged faisant office de portailsécurisé de gestion électronique de documents permettant les accèsexternes (expert-comptable).

Le traitement des factures reste inchangé pour les collaborateurs. Les tâches se déroulent en arrière-plan. Au lancement de l’impression del’exemplaire original papier à envoyer au client, son double électronique

Retour d’expériences se créé automatiquement et est ensuite versé dans le SAE. Ce dispositifrespecte l’instruction fiscale 3 E-1-07-N°4 du 11 janvier 2007 sur le doubleélectronique lié à la facture client.

Lors de la réception dans le SAE, chaque facture fait l’objet d’un calculd’empreinte ajoutée aux métadonnées pour assurer l’intégrité du docu-ment. Les factures seront ensuite conservées pendant 10 ans après clôturede l’exercice conformément aux règles en vigueur et restent facilementdisponibles en cas de besoins.

Bénéfices client

> Simplifier la gestion de la facturation> Réduire les coûts liés au processus de facturation> Simplifier les recherches de documents et permettre l’accès multi

utilisateur interne et externe (Expert-Comptable) sur portail sécurisé> Disposer des éléments de preuve pour un document électronique et

réduire le risque en cas de litige



Une compagnie d’assurance souhaitait dématérialiser son dossier clientpour simplifier la gestion administrative, optimiser les tâchesd’archivage et de recherche et réduire ses coûts de traitement.

Solution proposée

Dans le respect des textes de loi sur la copie fidèle et durable, mise en placed’une chaîne de traitement permettant :

> La numérisation respectant les recommandations de la normeAFNOR NFZ 42-013 au format standard PDF/A ainsi que l’extrac-tion des données d’indexation : N° de client, de dossier, date, typologie du document.

> La signature électronique des documents> Le versement des documents numérisés directement dans le système

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62


de GED et en parallèle leur transfert crypté dans le Systèmed’Archivage Electronique (SAE) d’Everial.

> La mise en place d’un connecteur permettant d’accéder aux docu-ments directement depuis le logiciel métier.

Chaque pièce du dossier est désormais dématérialisée et identifiée. Elledevient accessible de manière très souple à l’ensemble des collaborateurshabilités.La numérisation a permis un gain de place important et de simplifier lesrecherche. En outre une réduction de plus de 50% du temps de traitementdes dossiers a été enregistrée.

Bénéfices client

> Numériser à l’entrée le courrier entrant> Réduire les coûts de traitement et d’accès aux documents> Conserver un double certifié du dossier client au format électronique> S’assurer de la valeur légale du dossier électronique> Simplifier les recherches de documents et permettre un accès multi

utilisateur au dossier client dans un environnement sécurisé.



Un grand groupe industriel de l’agroalimentaire souhaitait dématérialiserle dossier de son personnel, et proposer à ses salariés la diffusion de leurbulletin de paie sous format électronique, conformément à la nouvellerèglementation française (Loi n°2009-526 du 12 mai 2009- de simplifica-tion et de clarification du droit et d’allégement des procédures) poursimplifier la gestion administrative, réduire ses coûts de traitement etd’archivage, permettre à son personnel de disposer des informationsimportantes de son dossier.

Besoins

> Numériser l’ensemble des pièces importantes du dossier du personnel(contrat, avenants, documents liés à la formation, entretiens individuels)

> Gérer en format nativement électronique les bulletins de salaire et les déposer en format PDF/A dans le système d’archivage électronique>Déposer automatiquement à la fois dans le portail de gestion des documentset dans le système d’archivage électronique l’ensemble des pièces> Créer un coffre-fort électronique par salarié> Donner accès au salarié aux pièces importantes de son dossier RH> Respecter les obligations de réversibilité du dossier RH pour lessalariés> S’assurer de la valeur légale des bulletins de paie électroniques déposés> Simplifier les recherches de documents et permettre un accès multi

Solution proposée

Mise à disposition d’un système d’archivage électronique intégrant unCFE pour l’entreprise, un CFE pour chaque salarié, ainsi qu’un portailGED pour la consultation rapide et sécurisée de l’ensemble des piècesdu dossier RH.

Le recours à un tiers archiveur a permis de proposer au salarié de conserverson propre CFE, même après son départ de l’entreprise.Il pourra ainsi éventuellement gérer d’autres documents personnels impor-tants (factures de service nativement électronique, …)

Mise en place d’une chaîne de traitement permettant :> La numérisation respectant les recommandations de la norme

AFNOR NFZ 42-013 au format standard PDF/A ainsi que l’extrac-tion des données d’indexation : Nom, prénom, matricule, typologie du document.

> Le versement des documents numérisés directement dans le systèmede GED et en parallèle leur transfert crypté dans le Systèmed’Archivage Electronique (SAE) d’Everial.

> La mise en place d’un connecteur permettant d’accéder aux docu-ments directement depuis le logiciel SIRH.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62


Quels sont les documents à archiver parmi tous ceux reçus et produits par l’organisation ?

> les documents légaux et réglementaires,> les documents vitaux et indispensables à l’organisation pour redémarrer

son activité au lendemain d’un sinistre,> les documents qui préservent les intérêts de l’organisation en cas de contentieux,> les documents qui constituent la mémoire de l’organisation.

Qu’elle est la durée de conservation des livres et pièces comptables ?

> les livres, les pièces comptables et la correspondance commerciale doiventêtre conservés pendant dix ans,

> le délai court à compter de la fin de l’exercice annuel au cours duquel lesdernières inscriptions ont été faites, les pièces comptables établies et lacorrespondance reçue ou expédiée.

Faut-il conserver les e-mails ?

> Il faut conserver tous les documents entrants et sortants ainsi que lesdocuments internes dès lors qu’ils engagent l’organisation, lui confèrentdes droits et ont une influence sur le bilan.

Dans quel cas un e-mail est-il admis comme preuve ?

> La définition de la preuve par écrit telle que prévue par l’article 1316 duCode civil valide toutes les formes d'écrit, y compris sous forme électronique :

« La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, decaractères, de chiffres ou de tous autres signes ou symboles dotés d'unesignification intelligible, quels que soient leur support et leurs modalités detransmission ». Dès lors, l’e-mail est en principe admis comme moyen de preuve. Cependant,le juge pourrait le rejeter, à condition que sa décision soit motivée.

Questions fréquentes

Bénéfices client

Chaque pièce du dossier est désormais dématérialisée et identifiée etdevient accessible de manière très souple à l’ensemble des collaborateurshabilités.La dématérialisation du bulletin de paie avec l’accord du salarié a permisun gain global (impression, diffusion, archivage) en supprimant la doubleédition du bulletin papier

Cas pratiques divers

> Archivage électronique à valeur probatoire des relevés bancaires,ordres d’exécution, contrôles et signatures pour un établissementbancaire.

> Dématérialisation et archivage des relevés de prestations pour unemutuelle.

> Archivage électronique des preuves de livraison dématérialisées

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62


Lorsqu’il s’agit d’un e-mail validant un acte juridique (un contrat par exem-ple), l'article 1316-4 du code civil dispose que :« La signature nécessaire à la perfection d'un acte juridique identifie celuiqui l'appose. Elle manifeste le consentement des parties aux obligations quidécoulent de cet acte... Lorsqu'elle est électronique, elle consiste en l'usaged'un procédé fiable d'identification garantissant son lien avec l'acte auquelelle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuvecontraire, lorsque la signature électronique est créée, l'identité du signataireassurée et l'intégrité de l'acte garantie, dans des conditions fixées par décreten Conseil d'Etat. ».Seule l'utilisation de la signature électronique permet de garantir l'identitéde l'émetteur, l’authenticité du contenu du message et de donner à l'e-mailune valeur juridique. C'est la loi du 13 mars 2000 qui a créé la notion designature électronique et fixé des conditions pour que les e-mails puissentêtre valablement produits en justice.Une signature électronique n'est présumée fiable que si elle remplit uncertain nombre de conditions fixées par le décret n°2001-272 du 30 mars2001 relatif à la signature électronique et dont l'article 2 dispose que :« La fiabilité d'un procédé de signature électronique est présumée jusqu'àpreuve contraire lorsque ce procédé met en œuvre une signature électroniquesécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisationd'un certificat électronique qualifié ».

Quels sont les accès possibles aux archives électroniques ?

> Il est possible d’avoir accès à tout ou partie des documents versés dans un SAE. Les modalités d’accès sont établies en fonction des profils des util-isateurs, par exemple des domaines métier et des niveaux deresponsabilité.

Un document numérisé a-t-il la même valeur probante que son originalpapier ?

> Oui par principe. En cas de contestation, le juge devra s’assurer qu’uncertain nombre de principes posés par le Code civil ont été respectés.

Qu'est ce qui garantit la confidentialité des données déposées ?

> L'accès aux données versées au coffre s'effectuant par authentificationforte (Certificat électronique), seules les personnes habilitées peuvent réal-isées des actions en fonction de leur profil (dépôt, consultation…). Parailleurs le « file system », les sauvegardes, les données sont systématique-ment chiffrés de façon à ne pouvoir être déchiffrés que par l'utilisateurdisposant de la clé de déchiffrage.,

Comment est assurée la pérennité des documents ?

> Les documents et leurs preuves sont archivés dans un objet XML scellépar mécanisme cryptographique. Ne sont utilisés pour ce faire que desprotocoles et normes standards internationaux. En parallèle, plusieursformats pérennes (Normés ISO) sont aujourd’hui disponible (ex PDF/A).

Comment est gérée l'intégrité des documents lors d'une migration ou d'unchangement de prestataire ?

> Quelle que soit la solution retenue, le client doit s’assurer que sonsystème d’archivage électronique ou que son prestataire tiers-archiveurdispose d’une fonction d'export conforme aux recommandations desnormes en vigueur garantissant l'interopérabilité, la réversibilité et la chaînede confiance.

Peut-on détruire le papier après numérisation et archivage électronique dansle respect des lois et des normes ?

> Oui, mais à la double condition de procéder à la destruction dans le cadred’une méthode tendant à évaluer le risque juridique consécutif à cettedestruction et de conserver une copie du document détruit fidèle à l’orig-inal et durable.

La norme AFNOR NF Z042-013 (version 2009), indique les conditionspermettant de détenir des copies numériques fidèles et durables au sens del’article 1348 al-2 du code civil.


1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

Ces copies numériques doivent donc prouver qu’elles sont exhaustives,intelligibles, intègres et archivées durablement. Selon l’article 1348 al-2 ducode civil « Est réputée durable toute reproduction indélébile de l'originalqui entraîne une modification irréversible du support ».Les juges disposent d'un pouvoir souverain d'appréciation du caractèrefidèle et durable de la copie par rapport au document original.

Un juge peut-il refuser par principe de considérer une archive électroniquecomme élément constitutif d'une preuve ?> Le juge ne peut pas refuser par principe, de considérer une archive élec-

tronique comme élément de preuve. En effet, selon l'article 1316 du Code civil : « La preuve littérale, ou preuvepar écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tousautres signes ou symboles dotés d'une signification intelligible, quels quesoient leur support et leurs modalités de transmission ». La définition dela preuve par écrit est donc extensive, non liée à un support, ce qui validetoutes les formes d'écrit, y compris sous forme électronique.Cependant, en l'absence de dispositions légales expressément applicables àl'archivage électronique, il est prudent de recourir à des mécanismescontractuels complémentaires comme la convention de preuve.La convention de preuve est un contrat conclu entre entreprises, ou entreentreprises et particuliers. Elle a pour objet de définir les modes de preuveadmissibles entre les parties, la charge de la preuve et les modalités de règlementdes conflits de preuve.

Les informations et les documents sont des actifs de l’organisation et fontpartie de son capital intellectuel. Ils doivent donc être gérés et en particulierarchivés de sorte qu’ils soient le reflet précis de ce qui a été dit ou décidé,de l’action qui a été effectuée. Pour atteindre cet objectif, l’enjeu pour touteorganisation est de mettre en place un programme de « Records manage-ment » conforme à l’environnement réglementaire français et basé sur desmodalités de management faisant référence aux normes internationalesISO.Dans ce contexte, répondant à des exigences légales, l’organisation peut faireétat de sa bonne gouvernance. Elle gagne en crédit auprès de ses clients etdispose ainsi d’un avantage concurrentiel supplémentaire. Elle accroît aussisa productivité à travers un processus basé sur une amélioration continuedes performances. Parallèlement, elle engage son personnel dans unprogramme de gestion du changement où la formation joue un rôle decatalyseur pour la mise en œuvre des meilleures pratiques.

En ce qui concerne la réalisation d’un SAE, les organisations ont accèsaujourd’hui, sur le marché, à des solutions techniques fiables et éprouvées.

Elles disposent également de prestataires de services compétents qui saventmutualiser des plates-formes techniques et accompagner leurs clients dansune démarche d’analyse et d’aide à la décision.

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62


Enjeux et bénéfices attendus


2 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

> ISO/diS 30300 information et documentation :Système de management des informations et des documents - Principesessentiels et vocabulaire.

> ISO 15489 information et documentation :« records management » - Partie 1 : Principes directeurs.

> AFNOR NFZ 42-013 :Spécifications relatives à la conception et à l'exploitation de systèmes infor-matiques en vue d'assurer la conservation et l'intégrité des documentsstockés dans ces systèmes – (2009-03)

> AFNOR GA 42-019 :Guide d'application de la NF Z 42-013 – (2010-06)

> ISO 14641-1 :2012 - Archivage électronique -- Partie 1: Spécifications relatives à laconception et au fonctionnement d'un système d'informations pour laconservation d'informations électroniques – (2012-01)

> Livre blanc :« Le devoir de conseil des professionnels du numérique », Aproged 6 mars2009, www.aproged.com

> MoReq, modèle d'exigences pour l'organisation de l'archivage électron-ique, http://ec.europa.eu/transparency/archival_policy/moreq

> ISO 23081 information et documentation :« métadonnées pour les enregistrements »

> ISO Tr 13028 information et documentation :« mise en œuvre des lignes directrices pour la numérisation des informa-tions et des documents »

> ISO 13008 information et documentation :« Processus de conversion et de migration des information et des docu-ments numériques »

> ISO 19005-2:2011 - Gestion de documents -- Format de fichier des documents élec-troniques pour une conservation à long terme -- Partie 2: Utilisation del'ISO 32000-1 (PDF/A-2) – (2011-6)

Bibliographie

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 63


Éric Larderet :> Après avoir assuré les fonctions de Directeur du département des solu-

tions numériques, puis de Directeur du département Conseil de la sociétéEverial en France, Eric Larderet est depuis 2011 Directeur de la filialed’Everial en Suisse.

> Administrateur de l’APROGED, Association des professionnels pourl’économie numérique jusqu’en 2011, il a été membre du groupe de travailTC171 de l’ISO (document management applications).

> Il intervient depuis plus de 10 ans dans la définition et la mise en œuvrede solutions d’optimisation de la fonction documentaire auprès d’organ-isations publiques et privées.

Philippe Champin :> Diplômé de CPE Lyon en tant qu’Ingénieur en physique électronique,

Philippe Champin possède une expérience de plus de 20 ans dans ledomaine de la gestion de contenu.

> Il a occupé successivement les postes de Directeur Technique chezChemdata puis Cincom, puis a intégré la société Docubase en tant queDirecteur de l’Agence Sud-Est depuis sa création où il avait en charge ledéveloppement de l’activité sur ce territoire.

> Au sein du groupe Everial depuis 2009, il est en charge de l’ensemble desdéveloppements GED et SAE, ainsi que de l’activité de NumérisationHaute Volumétrie. Il intervient au sein de l’APROGED et de la FNTCsur les questions de normalisation SAE.

Gérard Dupoirier :> Docteur en informatique. il s’est investi depuis plus de vingt ans dans le

domaine de l’ingénierie documentaire. il est l’auteur de « Technologie dela GED », un des premiers ouvrages publié en 1995 sur la gestion élec-tronique des documents.

> Il est rédacteur en chef de la rubrique « document numérique » de l’En-cyclopédie des Techniques de l’ingénieur. Gérard dupoirier a dirigé de nombreux projets de gestion documentaire dans les secteurs de l’automo-bile, de l’énergie, de la banque et de l’assurance. il a créé en 2007 son propre cabinet de conseil « document numérique & Processus » quidélivre des prestations de conseil, de formation et d’expertise.

Les contributeursPhilippe Martin : > Philippe Martin a obtenu un Doctorat en physique des solides - Option

semi-conducteurs à Paris VI - Jussieu en 1972 et un MBA à l’IAE ParisDauphine la même année.

> Il a fait une carrière au Bureau van Dijk, comme consultant puis commeassocié et directeur du Département Documents numériques.

> Il est plus particulièrement spécialisé dans les domaines de la gestionélectronique de documents, de l’archivage électronique et de ladématérialisation.

> Il est administrateur et trésorier de l’APROGED, responsable de laCommission Normalisation chargée, entre autres travaux, du suivi desprojets de normes dans le domaine de la gestion des contenusnumériques. Il est éditeur du projet de norme ISO 14641 transpositionde la norme NF 42013

Olivier Itéanu :> Avocat à la Cour d'Appel de Paris, Chargé d'enseignement à l'Université

Paris I Sorbonne> Spécialiste en droit des TIC> Auteur du 1er ouvrage de droit français sur Internet « Internet et le droit »

Ed. Eyrolles Avril 1996. Dernier ouvrage paru, « l'identité numérique enquestion » Ed. Eyrolles Mai 2009

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62


Créé en 1989, le Groupe Everial est aujourd’hui un acteur majeur de lagestion des documents d’entreprise et de la relation client.

Au service de l’information utile, Everial propose une offre globale de solu-tions destinées à valoriser tous les flux d’information et à optimiser lesprocessus métiers :

> conseil> dématérialisation> gestion de contenus (plateformes sécurisées et collaboratives)> gestion des archives physiques et électroniques> database management> gestion de la relation client directe (qualification, prospection, fidéli-

sation, assistance)> gestion des flux multicanaux entrants et sortants (opérations de fulfil-

ment, gestion des stocks, logistique courriers et colis sortants)

Groupe familial, Everial est dirigé par Michel GARCIA, Président, etLionel GARCIA, Directeur Général.

Aujourd’hui le Groupe Everial, c’est :> Une couverture nationale en France métropolitaine et Dom-Tom> Un réseau international (Espagne, Finlande, Maroc, Monaco, Suisse,

Ile Maurice)> Une capacité de conservation des archives physiques de 6000 km> Une capacité de numérisation supérieure à 1 000 000 pages par jour> + de 3 millions de contacts par an répartis en appels entrants, sortants

et e-mails> Capacité de traitement de 18 millions de courriers entrants par an > 30 millions de courriers sortants et 3 millions de colis par an

1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 37 39 41 43 45 47 49 51 53 55 57 59 61 632 4 6 8 10 12 14 16 18 20 22 24 26 28 30 32 34 36 38 40 42 44 46 48 50 52 54 56 58 60 62

À propos d’Everialwww.everial.com

> 11 applications dédiées aux domaines des services fournis> 23 millions d’abonnés gérés en base de données> 2 Datacenters> Plus de 5500 clients parmi lesquels les principales banques et compagnies

d’assurances, les grands groupes industriels, les opérateurs de télécom-munications, les groupes de presse et de média, les associationscaritatives... ainsi que de nombreux établissements publics

> Un CA consolidé prévisionnel de 90 millions d’euros de chiffre d’affaires en 2011

> 1200 collaborateurs> 120 chefs de projets, développeurs, ingénieurs infrastructures…

DÉMATÉRIALISATION ET ARCHIVAGE PROBANTDES DOCUMENTS ÉLECTRONIQUES DANS LE CONTEXTE JURIDIQUE FRANÇAIS

Pour tout renseignement :EVERIAL DRM - 27, rue de la Villette / 69003 Lyon

N°AZUR : 0811 23 12 12Contact : [email protected]