Règles de Certification NF Système d'Archivage ...recevabilité du dossier, une conformité à cette norme. Il en est de même pour l’archivage électronique pour lequel existe

Règles de certification NF 461 Page 1 / 87

© Toute reproduction intégrale ou partielle, faite en dehors d’une autorisation expresse d’AFNOR Certification ou de ses ayants cause, est illicite.

Règles de certification de la marque

N° d’identification : NF 461 N° de révision : 0 Date de mise en application : 17/12/2012

NF Système d’Archivage Electronique

Le référentiel de la marque NF est constitué des règles spécifiques de la marque concernée, des règles générales et des normes qui y sont référencées.

Organisme Certificateur : AFNOR Certification 11, rue Francis de Pressensé 93571 LA PLAINE Saint Denis Cedex Société par actions simplifiée unipersonnelle, au capital de 18 187 000 €, immatriculée au registre du commerce de Bobigny sous le n° B 479 076 002 Tel : + 33 (0)1 41 62 80 00 Fax : + 33 (0)1 49 17 90 00 [email protected]



SOMMAIRE __________________________________________________________________________________

PARTIE 0 : APPROBATION - REVISION DES REGLES DE CERTIFICATION 4 PARTIE 1 : PRESENTATION ET CHAMP D'APPLICATION................................................................... 5

1.1 Contexte ................................................................................................................................ 5 1.2 Objet ...................................................................................................................................... 5 1.3 Définition du demandeur ........................................................................................................ 6 1.4 Champ et périmètre de certification ....................................................................................... 6 1.5 Spécification(s) complémentaire(s) ........................................................................................ 7 1.6 La démarche de certification ................................................................................................. 7

PARTIE 2 : LE REFERENTIEL D’EXIGENCES ...................................................................................................... 9

2.1 Les Règles Générales de la marque NF ................................................................................ 9 2.2 Les normes et spécifications complémentaires ...................................................................... 9 2.3 Les dispositions de maîtrise des activités ............................................................................ 45

PARTIE 3 : OBTENIR LA CERTIFICATION : les modalités d'admission .......................................................... 50

3.1 Dépôt d’un dossier de demande de certification................................................................... 50 3.2 Etude de recevabilité ............................................................................................................ 50 3.3 Modalités de contrôles/vérifications ...................................................................................... 50 3.4 Evaluation et décision .......................................................................................................... 53

PARTIE 4 : VALORISER LA CERTIFICATION : le marquage............................................................................. 54

4.1 La marque NF en général .................................................................................................... 54 4.2 Les textes de référence ........................................................................................................ 54 4.3 Les modalités de marquage ................................................................................................. 55 4.4 Exemples d'application du marquage ................................................................................... 55

PARTIE 5 : FAIRE VIVRE LA CERTIFICATION : les modalités de suivi ........................................................... 62

5.1 Modalités de contrôle .......................................................................................................... 62 5.2 Evaluation et décision .......................................................................................................... 64 5.3 Déclaration des modifications ............................................................................................. 64 5.4 Conditions d’arrêt de marquage ou de démarquage ............................................................ 65

PARTIE 6 : LES INTERVENANTS ........................................................................................................................ 67

6.1 AFNOR Certification ............................................................................................................. 67 6.2 Comité particulier ................................................................................................................. 67

PARTIE 7 : LES PRESTATIONS ........................................................................................................................... 69

7.1 Prestations afférentes à la certification NF ........................................................................... 69 7.2 Recouvrement des prestations ............................................................................................. 70

PARTIE 8 : LES DOSSIERS DE CERTIFICATION ............................................................................................... 71



8.1 Dossier d’admission ............................................................................................................. 71 8.2 Dossier de suivi et/ou de modification .................................................................................. 77 8.3 Dossier de reconduction ....................................................................................................... 77

PARTIE 9 : LEXIQUE ........................................................................................................................................... 79

9.1 Définitions relatives à la profession ...................................................................................... 79 9.2 Définitions relatives à la certification .................................................................................... 79

ANNEXES Annexe 1 : Mise en œuvre de jeu de tests ......................................................................................................... 82



PARTIE 0 APPROBATION - REVISION DES REGLES DE CERTIFICATION ______________________________________________________________

Les présentes règles de certification ont été approuvées par la Direction Générale d'AFNOR Certification le 17/12/2012. AFNOR Certification s'engage avec les représentants des demandeurs et des titulaires, des utilisateurs et des experts techniques à s’assurer de la pertinence de ces règles de certification, en termes de processus de certification et de définitions des exigences par rapport à l'évolution du marché. Les règles de certification peuvent donc être révisées, en tout ou partie, par AFNOR Certification et dans tous les cas après consultation du Comité Particulier.

HISTORIQUE DES MODIFICATIONS

Partie modifiée

N°de révision

Date Modification éventuellement effectuée

Tout le document

0 17/12/2012 Création des Règles de certification



PARTIE 1

PRESENTATION ET CHAMP DE CERTIFICATION _____________________________________________________________

1.1 Contexte Le développement de la société de l’information, des technologies de l’information et l’enrichissement des obligations légales et textes règlementaires modifient la relation des individus et des organismes à l’information. Dans ce contexte, l’archivage pérenne de documents numériques par l’intermédiaire d’un archivage électronique revêt une orientation stratégique sur les plans juridique et organisationnel pour un organisme, une entreprise ou une administration. L’archivage numérique vise à identifier, recueillir, classer, conserver, communiquer, restituer et éliminer des documents numériques, pour la durée nécessaire à la satisfaction des obligations légales ou pour des besoins d’informations ou à des fins patrimoniales. Pour cela, un système d’archivage électronique (SAE) et les activités correspondantes doivent, pour le moins, garantir aux documents conservés leur fidélité, intégrité, pérennité et traçabilité pour que ceux-ci puissent conserver leur valeur d’origine. Un SAE doit par exemple prendre en compte dès sa conception, les exigences d’une gestion mixte de documents papiers et électroniques mais également la compatibilité en terme de transfert de données d’un système vers un autre.

Par ailleurs, le décret n° 2009-1124 du 17 septembre 2009 modifiant le décret n°79-1037 du 3 décembre 1979 relatif à la compétence des services d’archives publics et à la coopération entre les administrations pour la collecte, la conservation et la communication des archives publiques a, dans son article 15, donné la possibilité pour les administrations, de déposer des archives publiques courantes et intermédiaires auprès de personnes agréées, l’agrément étant délivré par le ministre en charge de la Culture. Pour les archives papier, il existe une norme NF Z 40-350, juin 2009, relative aux prestations en archivage et gestion externalisée des documents sur la base de laquelle a été mis en place un régime de certification organisé par AFNOR Certification. Le fait d’être certifié constitue pour les prestataires qui présentent une demande d’agrément, un élément appréciable dans la mesure où le décret exige, comme une des conditions de recevabilité du dossier, une conformité à cette norme. Il en est de même pour l’archivage électronique pour lequel existe également la norme NF Z 42-013, Mars 2009 mais il n’existait toutefois pas de régime de certification en place, ni pour les SAE internalisés, ni pour les SAE opérés par des prestataires de services. Partant de ces constats, à la demande du SIAF (Service Interministériel des Archives de France - ex DAF), en partenariat avec l’APROGED (Association des Professionnels pour l'Economie Numérique) et la FNTC (Fédération Nationale des Tiers de Confiance), AFNOR Certification a développé les présentes règles de certification NF.

1.2 Objet Les présentes règles de certification précisent les conditions d'application des Règles Générales de la marque NF à un système d’archivage électronique (SAE) et aux activités d’archivage électronique correspondantes garantissant, pour le moins, aux documents archivés leur fidélité, intégrité, pérennité et traçabilité pour que ceux-ci puissent conserver leur valeur d’origine.



Ces règles de certification sont accessibles à tout demandeur répondant au champ d'application défini dans les paragraphes suivants dont le SAE et les activités se conforment :

aux caractéristiques fixées dans la norme NF Z 42-013, édition mars 2009 ou la norme équivalente, ISO 14641-1 : 2012.

aux recommandations fixées dans le guide d’application GA Z 42-019, édition juin 2010,

aux caractéristiques et engagements fixés dans la partie 2 des présentes règles,

à la réglementation en vigueur.

1.3 Définition du demandeur Le demandeur est une entité (personne morale) disposant et utilisant un système d’archivage électronique pour recevoir, conserver, communiquer, restituer et éliminer des archives, s’appuyant sur une plate-forme informatique :

soit pour son propre compte, s’il décide d’internaliser son SAE,

soit pour le compte de tiers (clients, employés, parties prenantes, …. personnes morales ou physiques), dans une position de prestataire de service (tiers archiveur), assurant ainsi des prestations d’archivage électronique.

1.4 Champ et périmètre de certification

1.4.1 Champ de certification Ces règles de certification sont destinées à tout demandeur dont le SAE, le périmètre du SAE qu’il déclare et les activités correspondantes sont susceptibles de respecter les exigences décrites dans le présent document. Est exclu de la certification, tout demandeur dont le SAE ne permet pas de connaître et de maîtriser la localisation et l’élimination des documents numériques. Enfin, il est de la responsabilité du demandeur/titulaire de s’assurer que les réglementations qui lui sont applicables sont effectivement respectées.

1.4.2 Périmètre de certification

Le demandeur doit déclarer à AFNOR Certification tous les établissements qui lui sont liés et qui sont concernées par le SAE et ses activités au §1.3. Tous ces établissements sont à inclure dans le périmètre de certification.

Définition d’une organisation multi-sites (Guide IAF – International Accreditation Forum) Entité présentant :

une fonction centralisée identifiée (dénommée ci-après « structure centrale ») au sein de laquelle certaines activités sont planifiées, contrôlées ou gérées,

ainsi qu’un ensemble de bureaux, branches ou sites secondaires au niveau local au sein desquels ces activités sont en partie ou totalement réalisées.

Nota : les sites de secours des activités ne sont pas concernés par cette définition. Ils seront systématiquement intégrés dans les campagnes d’audit. Tous les sites dont la ou les activité(s) est(sont) encadrée(s) par les exigences ci-après doivent être déclarés et sont audités. Pour un demandeur multi-sites, la structure centrale doit :



exercer une fonction centrale dans laquelle certaines activités sont planifiées, contrôlées ou dirigées (cf. partie 2),

avoir une maîtrise unique du système qualité, c’est-à-dire avoir le pouvoir d’imposer des mesures correctives le cas échéant sur tout établissement/entité qui lui est rattaché,

assurer que le système qualité répond aux exigences et est appliqué,

déclarer avoir audité tous les établissements/entités avant la réalisation de l’audit de certification (cf. partie 2),

recueillir et analyser les informations en provenance de tous les établissements/entités,

prouver son autorité et aptitude pour décider de mettre en place des actions d’amélioration.

1.5 Spécification(s) complémentaire(s)

1.5.1 Cas général Le demandeur doit prouver :

qu’il applique l’ensemble de ses obligations juridiques, fiscales et sociales,

qu’il dispose de ressources humaines, matérielles et logicielles lui permettant d’être en conformité avec les exigences de la norme NF Z 42-013, de l’ISO 14641-1 et des présentes règles.

L’ensemble des justificatifs à fournir est décrit dans la partie 7 du présent document.

1.5.2 Cas de la sous-traitance

1.5.2.1 Définition de la sous-traitance (cf. §2.2.1 des présentes règles, chapitre 14) La sous-traitance correspond à une ou plusieurs activité(s) du demandeur incluse(s) dans le champ d’application des présentes règles de certification (cf. 1.2.1) que le demandeur peut confier à un autre professionnel pour la ou les réaliser à sa place.

1.5.2.2 Exigences spécifiques Les spécifications décrites ci-dessous viennent en complément des dispositions d’organisation définies par le demandeur pour assurer la maîtrise de ses sous-traitants (cf. partie 2).

Le demandeur doit déclarer à AFNOR Certification les fonctions sous-traitées au moyen de la fiche d’activité (cf. partie 7 du présent document).

Des modalités de contrôles spécifiques sont mises en place dès lors que les sous-traitants ne présentent pas de gages de confiance ou de certification sur les fonctions concernées. Ces modalités de contrôles sont décrites dans les parties 3 et 5 du présent document.

1.6 La démarche AFNOR Certification 1.6.1 La marque NF La marque NF, propriété d’AFNOR, existe depuis 60 ans. C’est une marque volontaire de conformité aux normes françaises, européennes et internationales. Toute l'activité de certification de produits et services sous la marque NF prend sa valeur et son originalité dans les normes définies par l'ensemble des partenaires économiques et sociaux, qui fixent des caractéristiques objectives, mesurables et traçables.



Dans l’espace économique européen, la réglementation nationale laisse la place à la réglementation européenne via notamment des directives. De nombreux produits et services, certifiés sous NF, sont visés par ces directives. La marque NF s'affirme comme une véritable marque de qualité, qui s’appuie sur des normes spécifiant des performances auxquelles s’ajoutent des spécifications complémentaires souhaitées par le marché. Elle constitue un complément indispensable pour valoriser la qualité et la performance des produits et services auxquels elle s’applique. La notoriété actuelle de la marque NF est le résultat d’une politique constante de recherche de l’excellence et d’un souci de répondre aux attentes évolutives des marchés : le marché national, le marché européen et le marché mondial.

1.6.2 Les engagements de l’organisme certificateur AFNOR Certification, organisme certificateur pour la marque NF s’engage pour ses clients :

impartialité

compétence

confidentialité

fiabilité

accréditation Il apporte sa compétence technique en matière de certification, c’est à dire d’évaluation et de contrôle de vos produits, services et de votre organisation et maîtrise de la qualité.



PARTIE 2 LE REFERENTIEL D’EXIGENCES __________________________________________________________________________________ Le référentiel de la présente application de la marque NF est constitué des Règles Générales de la marque NF, des présentes règles de certification et des normes qui y sont référencées, ainsi que des caractéristiques complémentaires éventuelles.

2.1 Les Règles Générales de la marque NF La Marque NF est une marque collective de certification déposée avec des règles générales qui fixent l’organisation générale et les conditions d’usage de la marque. Les présentes Règles de certification qui s'inscrivent dans le cadre de la certification des produits et des services autres qu'alimentaires prévues dans les articles R-115-1 à R 115-3 et L 115-27 à L 115-33 du Code de la consommation précisent les conditions d'application des Règles Générales de la marque NF au champ d’application défini dans la partie 1. Le droit d’usage de la marque NF est accordé sur la base de la conformité à une (des) normes(s) et de façon générale à l’ensemble du référentiel défini dans cette partie, pour un produit et/ou un service provenant d’un demandeur et d’un processus de conception, de développement, de maintenance et/ou de commercialisation et/ou d’exploitation désigné(s).

2.2 Les normes et spécifications complémentaires Les présentes règles de certification s’appuient sur les documents normatifs NF Z42-013, édition mars 2009, Archivage Electronique, « Spécifications relatives à la conception et à l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés dans ces systèmes », ou la norme équivalente ISO 14641-1 : 2012, traduction de la NF Z42-013 mais également du GA Z42-019, édition juin 2010, Guide d'application de la NF Z 42-013.

Applicabilité de la norme NF Z 42-013 (ISO 14641-1) Les présentes règles de certification s’appuient sur les exigences minimales décrites dans le tableau 1 - principes et méthodes des niveaux d’exigence du chapitre 4.2 de la norme NF Z42-013, auxquelles des exigences supplémentaires peuvent être jointes et précisées dans les tableaux ci-après.



Chapitre 5 : Spécifications générales du système d’archivage

§ Norme Correspondance Guide d’Application Z42-019

Exigences et Eléments de preuve Modalités de contrôle

§ 5.1

Dossier de description

technique du système (DDTS)

Cf. 2.2.4 – Dossier technique, page 12

Un dossier d’architecture technique comportant :

- l’ensemble des informations liées aux matériels utilisés par le SAE (Système d’Archivage Electronique) décrivant les principaux éléments du SAE : Schéma d'architecture précisant les constructeurs, l'OS et fonctions/logiques pour ces éléments).

- L’ensemble des informations liées à chaque progiciel utilisé (SGDB : Système de Gestion de Base de Données: Coffre, Capture, Convertisseur, Antivirus, ….) par le SAE précisant le nom de l'éditeur, nom du progiciel, numéro de version, version OS (Operating System) utilisé, référence de la documentation afférente, type de licence.

- L’ensemble des informations liées à chaque logiciel spécifique éventuellement utilisé par le SAE précisant le nom du fournisseur, nom du logiciel, numéro de version, version OS utilisé, référence de la documentation afférente, et code source ou preuve de dépôt.

- L’architecture réseau dans laquelle le SAE est positionné décrivant les principaux éléments du réseau : Schéma d'architecture précisant les constructeurs, l'OS, protocoles, et fonctions/logiques pour ces éléments).

- Les éléments de sécurité du réseau autour du SAE et vers les tiers éventuels décrivant les principaux éléments de liaison vers et depuis le SAE (en précisant le nom et fonctions pour ces éléments).

- Le MCD ou le schéma de description fonctionnelle : description macroscopique des entités et de leurs interactions.

- Le principe de récupération et de synchronisation de l’heure pour tous les éléments du SAE qui produisent des traces horodatées (Norme NFZ42-013 §5.5) décrivant les moyens techniques mis en œuvre et les formats utilisés.

- Examen documentaire

- Présence du DDTS dans le SAE

- Contrôle de la durée de conservation du DDTS (sans limite de temps)

Note : Sont considérés non auditables les numéros de série, dates de production et normes de sécurité des matériels





§ 5.1 (suite)




Un dossier des conditions d’exploitation et de maintenance du SAE comportant :

- Conditions physiques décrivant la localisation des sites géographiques, réseaux, température, humidité, moyens de protection physique (contrôle d'accès)

- Liste des opérations de maintenances et leur type (Norme NFZ42-013 §5.4.5) décrivant les procédures de maintenance et les mesures associées pour garantir la protection des archives

- Moyens techniques et physiques assurant le bon fonctionnement du SAE. décrivant l’alimentation électrique, groupe électrogène, système de détection incendie, type de redondance

- Mécanisme d’horodatage retenu (Norme NFZ42-013 §5.5) traité dans le Dossier d'architecture technique

- Exploitation des journaux (Norme NFZ42-013 §5.6) décrivant l'exploitation des journaux (lecture, périodicité d'archivage, restriction d'accès, gestion des attestions) du cycle de vie et des évènements

Un dossier des conditions liées à la sécurité du SAE comportant :

- Moyens de protection physique du matériel et des supports éventuels.

- Description des mécanismes de détection des fraudes liées à la manipulation volontaire des fichiers en vue de leurs substitutions par d’autres objets (Norme NFZ42-013 chapitre 8).

- Description de la gestion des habilitations, description de la gestion des droits décrivant la gestion des habilitations et des droits.

Un dossier lié aux supports d'archivage comportant:

- Description associée à la surveillance et à la migration des supports (voir Norme NFZ42-013 § 5.4.6)

- Description associée aux mécanismes de duplication/réplication (voir Norme NFZ42-013 §5.7)

- Description associée au marquage des supports (Norme NFZ42-013 §7.3) décrivant le marquage des supports






§ 5.1 (suite)




Un dossier des procédures (Norme NFZ42-013 §5.3) mises en place pour l’enregistrement, le stockage, la communication, la restitution, la destruction des documents comportant :

- La description des procédures d’exploitation (Norme NFZ42-013 §5.3)

Pour tous les types de documents (Norme NFZ42-013 §5.3.3)

Pour les documents numérisés (Norme NFZ42-013 §5.3.1) s'il y a lieu

Pour les documents nativement numériques (Norme NFZ42-013 §5.3.2) s'il y a lieu

- La description des processus de conversion vers les formats d’archivage et du traitement des erreurs de conversion (Norme NFZ42-013 §10.5) s'il y a lieu

- La description des procédures de constitution et de contrôles des métadonnées (Norme NFZ42-013 §10.1.7)

- La description des procédures de traitement des images dans le cadre du processus de capture des archives (Norme NFZ42-013 §10.2.2) s'il y a lieu

- La description des procédures de traitement des fichiers sonores et audiovisuels (Norme NFZ42-013 §10.3.3) s'il y a lieu

- La description des algorithmes de compressions utilisés et du référentiel normatif associé (Norme NFZ42-013 §10.4.1) s'il y a lieu

- La description des procédures de communication des objets archivés (Norme NFZ42-013 §11.1).

- La description des procédures de restitution d’objets archivés (Norme NFZ42-013 §11.2).

- La description des procédures de destruction d’objets archivés (Norme NFZ42-013 §11.3).


§ 5.2

Profils d’archivage

Cf. 2.2.2 – Profils d’archivage (définition et utilisation), page 9

Note : Ce point n'est pas considéré comme un point de contrôle concourant à la conformité d'un SAE. Il peut être vu lors de l'audit mais ne constitue pas une exigence.

§ 5.3

Procédures d'exploitation


Procédures pour l'enregistrement, le stockage, la communication et la restitution des documents et leurs mises en en œuvre


- Vérification de l’application des modalités décrites et des preuves de réalisation.





§ 5.3.1

Cas des documents numérisés

S’il y a lieu - Examen documentaire


§ 5.3.2

Cas des documents nativement numériques

S’il y a lieu - Examen documentaire


§ 5.3.3

Cas général

Documentation d'utilisation et d'administration du SAE

Documentation des mécanismes de sauvegarde







§ 5.4.1

Sécurité Administration et organisation de la

sécurité


Note : Les exigences présentes dans le chapitre de la norme et mentionnées ci-dessous sont considérées non applicables

- Cette structure de sécurité doit être disjointe de celle qui a en charge l'exploitation des systèmes informatiques ou de télécommunication.

- la conformité des matériels vis-à-vis de la réglementation concernant la sécurité des personnes (CEI 61000)

- Examen d’un organigramme intégrant une structure ou une fonction disposant d'une autorité de contrôle interne.

- Examen des responsabilités des acteurs ayant un impact sur la sécurité

- Analyse de la politique de sécurité et entretien avec le management

- Analyse du programme de communication.

- Vérification de la pertinence et l'exhaustivité des supports de communication

- Entretien avec le personnel

- Vérification de l'application de la procédure de gestion des accès, codes badges, etc.…

- Présence de dispositifs de détection. Vérification de la planification et de réalisation des contrôles des dispositifs.

- Vérification du dépôt à l'APP ou équivalent (certificat, ...), le cas échéant ou le code source dans la documentation.

- Existence et application d'une méthodologie documentée de développement et de tests.

- Vérification d'une procédure de définition des profils, modalités de délivrance et de répudiation, …

- Examen de la documentation de télétransmission.

- Liste des correspondants sécurité, (compétences, formation et prérequis) si la taille de l'entreprise le justifie

- Analyse des documents demandés aux prestataires (entreprise et individus si in situ), dont les prestations informatique et télécommunication : point sur la confidentialité. Vérification de l'application des règles sur les prestataires sensibles pour la sécurité.





§ 5.4.2

Sécurité physique

Cf. guide 2.2.7.3 – Caractéristique de la destruction,

page 24 Cf. guide 2.2.7.4 – Réalisation

des destructions, page 24 Cf. guide 2.2.7.5 – Destruction

physique, page 24 Cf. guide 2.2.7.6 – Destruction

par effacement, page 24

Existence du ou des plan(s) des locaux en adéquation avec les niveaux d'habilitation.

Isolation de la zone de conservation et de la salle serveur

Existence d’un registre du personnel associé aux autorisations d'accès individuelles.

Existence du ou de sites de secours et des exigences de sécurité associées

- Vérification documentaire et constat visuel

- Analyse des technologies d'accès en cohérence avec le risque lié à la zone (badge, code d'accès, vidéosurveillance, biométrie, sas, clefs,...)

- Vérification et éventuel constat visuel

- Examen documentaire des procédures associées

- Vérification des moyens d'identification et de traçabilité des supports amovibles. Contrôle de traçabilité par échantillonnage.

- Vérification par sondage, que les supports inventoriés sont bien dans les zones appropriées (demander une communication et suivre le processus)

- Vérification de la procédure, prise en compte des risques liés à la destruction notamment : divulgation, destruction non intentionnelle, garantie d'exhaustivité de la destruction

- Existence d'une attestation d'élimination.

- Description et application des règles de destruction au minimum de réécritures pour les supports réinscriptibles.

§ 5.4.3

Sécurité des matériels

Note : Les exigences présentes dans le chapitre de la norme et mentionnées ci-dessous sont considérées non applicables

-De ce fait l’aspect sécurité doit être intégré lors du choix des équipements, de leur installation et de leur exploitation 1)

- 1) Pour limiter les risques d’interceptions illégales d'informations par des tiers, dues aux émissions de rayonnements électromagnétiques involontaires, il convient de tester les matériels suivant la norme (CEI 61000-4 toutes parties).

- Vérification du DDTS : état d'inventaire des matériels.

Note : L'usage est d'avoir un outil de gestion informatisé de parc intégrant la configuration

- Vérification des éventuels dispositifs de contrôle





§ 5.4.4

Sécurité des logiciels et progiciels

Note : Rectificatif à la norme NF Z42-013

- Les logiciels et les progiciels font partie intégrante de la configuration du système ; ils doivent en conséquence être soumis aux mêmes règles de sécurité que les matériels.

Parmi les systèmes d'exploitation et les progiciels, doivent être retenus en priorité ceux qui permettent :

- …

- une protection contre les instructions et les logiciels parasites ;

- …

Le terme « instructions » doit être remplacé par le terme « intrusion »

- Vérification de la présence d’outils de contrôle d'accès aux logiciels et aux données.

- Existence d'un système de protection et de vérification.

- Existence d'automatisme de mise à jour et d'un processus de veille de l'éditeur du système de protection.

- Vérification des éventuels dispositifs de contrôle

- Vérification de la procédure de gestion des accès aux logiciels

- Examen des rapports de surveillance des échecs d'authentification et d'accès

- Existence d'environnements autres que celui de la production ainsi que d'une procédure de gestion des mises en production

- Vérification des spécifications fonctionnelles et techniques de gestion des accès

- Vérification d'existence d'une organisation de gestion d'incidents internes de sécurité et de communication aux responsables concernés

§ 5.4.5

Maintenance du système

Note : L’exigence présente dans le chapitre de la norme et mentionnés ci-dessous est considérée non applicable

- Tous les tests doivent être réalisés avec des disques spécialement affectés à cet usage. Si les supports ne sont pas amovibles, les tests ne doivent en aucun cas pouvoir altérer ou détruire les informations enregistrées.

- Vérification de la procédure de maintenance et de traçabilité des opérations ainsi que leur consignation dans un dossier

- Vérification que la traçabilité intègre les acteurs ayant réalisés la maintenance.

- Vérification de la sensibilisation des opérateurs concernés

- Vérification de la procédure de maintenance préventive





§ 5.4.6

Évolution des systèmes et

migration des supports Cf. guide 2.2.9, b) – Audits, audit

pérennité, page 24

Garantir que l'ancien support n'est pas détruit avant le constat de disponibilité et d'intégrité des archives conservées sur le nouveau support

- Vérification d'un dispositif de revue des capacités intégrant l'anticipation des changements

- Vérification de la méthodologie de gestion de projet et les enregistrements appropriés.

- Vérification de procédures automatisées de contrôle d'intégrité, a minima sur les migrations de supports.

- Vérification d'une liste des types de média conservés afin de pouvoir réaliser un test de lecture sur chaque type en cas de modification de système.

- Vérification de la séquence des processus de migration de support

§ 5.5

Horodatage


Cf. 2.2.8 – Journalisation, page 26

Politique écrite d'horodatage décrivant :

- Choix d'un horodatage interne ou externe

- Conformité avec la norme ISO 8601 (format de date)

- Choix du niveau de précision de la mesure du temps en fonction de la fréquence la plus grande de survenance des évènements

- Utilisation du temps universel coordonné (UTC)

- Source des temps

- Méthodes de mise à jour avec la source de temps

- Protocoles de synchronisation des différentes horloges des composants du SAE

- Procédé ou d'un composant certifiant le temps (UCA : Unicode collation algorithm ou tiers indépendant)







§ 5.6

Journalisation


Existence d'une journalisation enregistrant de manière exhaustive

- la liste des évènements possibles :

- pour chaque événement, une date, son type, l'identifiant unique de l'archive et son empreinte pour les évènements du cycle de vie

- les évènements du cycle de vie des archives.

- les évènements liés à l'utilisation et à l'administration du SAE.

Mode opératoire de journalisation des évènements liés à l'exploitation du SAE

Mécanisme de chaînage des journaux.

Archivage des journaux a minima quotidiennement.

Durée d’archivage du journal des évènements liés à l'utilisation et à l'administration du SAE telle que définie dans la politique d’archivage du SAE ou à défaut a minima 3 ans (sauf si le SAE est plus récent).



- Vérification de l’application des modalités décrites et des preuves de réalisation

- Analyse et vérification du chaînage des journaux

- Vérification des modalités d’archivage

§ 5.7

Copies de sécurité

Existence d'au moins deux sites de conservation distincts choisis afin de minimiser la survenance d'incidents simultanés.

Chaque site contient :

- les objets archivés

- les métadonnées archivées

- les journaux archivés

Note : L'objet n'est considéré comme archivé que lorsque la ou les copie(s) de sécurité est (sont) effectives. L'attestation d'archivage n'est délivrée qu'à l'issue de ce processus.

- Vérification de l’existence d’au moins 2 sites et de leurs modalités de choix

- Visite des sites

- Vérification de l’application des modalités des copies de sécurité et des preuves de réalisation.

- Vérification des attestations et du respect du processus

§ 5.8

Continuité d’accès aux archives



Existence du PRA, a minima sur le périmètre du SAE. - Examen documentaire

- Vérification de l’application des modalités décrites

- Vérification de la réalisation des tests



Chapitre 6 : Supports d’archivage



- Identification des différents types de supports utilisés par le SAE

Conservation des supports

d’archivage

Cf. 2.2.4 – Dossier technique, alinéa d, page 13

- Vérification de la présence des conditions de conservation dans le DDTS et de leur application

- Vérification du suivi des conditions physiques de conservation dans les lieux de stockage

- Vérification du dispositif de contrôle de l’état des données enregistrées

- Examen d’une procédure de vérification et de transfert des supports (cf. §5.4.6)



Chapitre 7 : Systèmes basés sur des supports amovibles



§ 7

Systèmes basés sur des supports

amovibles

Cf. 2.2.8.3 - Détails de la journalisation par niveaux

d’exigences, page 29

Note : Le paragraphe ci-dessous dans le §7 est informatif et ne fait pas l’objet de modalités de contrôle : En général, En général, les supports de stockage ne sont pas directement adressés par le système d’archivage. Les informations sont en fait écrites sur des volumes de stockage. Un volume de stockage peut être composé d’un ou plusieurs supports de stockage et un support de stockage peut appartenir à un ou plusieurs volumes de stockage. Le support de stockage est donc une réalité physique, alors que le volume de stockage est une notion logique. Dans le cas des supports amovibles il y a en général coïncidence entre les deux notions.

- Vérification documentaire du DDTS (mention de la norme utilisée par les supports optiques amovibles)

- Vérification de la réalisation des tests de conformité à la norme ISO 13490 ou ISO 13346.

- Contrôle de la lisibilité d’un support optique amovible au niveau du système par échantillonnage sur une ou des copie(s) de sécurité de supports.

- Connexion et authentification dans le SAE

- Vérification de la traçabilité de l’authentification dans le journal des évènements du SAE (date, heure de la connexion, identifiant de la personne).

- Vérification par échantillonnage dans les journaux des évènements archivés de la présence d’informations relatives aux connexions.





§ 7.1

Initialisation des volumes de

stockage amovibles

Cf. 2.2.4 – Dossier technique, alinéa a, page 13


Le SAE doit permettre de conserver l’historique du contexte matériel utilisé lors de l’enregistrement des documents

L’initialisation des volumes est applicable pour les supports amovibles réinscriptibles, il faut prendre en considération les points qui suivent :

- Pour tous les supports amovibles, l’initialisation des supports nécessitent l’ajout sur chaque support d’un premier fichier comportant l’identification du support, la date de l’initialisation du support et le nom de l’organisme ou de l’entreprise à qui appartient ce support.

- Le journal des évènements du SAE doit comporter la trace de l’initialisation des supports avec les trois informations obligatoires (Id, date, nom)

- Pour les supports amovibles réinscriptibles, le fichier d’initialisation ne doit pas pouvoir être supprimé ni modifié. Du fait du caractère effaçable et modifiable lié au type de support, un contrôle d’intégrité des fichiers d’initialisation doit être possible. Le fichier d’initialisation de chaque support doit être considéré comme un document archivé. L’empreinte du fichier d’initialisation doit être conservée comme pour tout document archivé dans le journal du cycle de vie des archives.

- Vérification documentaire du DDTS (version en vigueur) : informations liées aux matériels utilisés et aux supports d’archivages versus les descriptions du GA Z42-019

- Vérification documentaire du DDTS : description du marquage des supports,

- Vérification par échantillonnage de la conformité des supports aux principes de marquage.

- Vérification par échantillonnage de la présence d’un fichier d’initialisation : identifiant du support, date de l’initialisation du support et nom de l’organisme ou de l’entreprise.

- Vérification par échantillonnage dans les journaux des évènements archivés de la présence de la date d’initialisation des supports, de la trace de l’initialisation et des informations suivantes : identifiant du support, nom de l’organisme ou de l’entreprise.

- Pour les supports amovibles réinscriptibles, vérification par échantillonnage de l’intégrité des fichiers d’initialisation à l’aide des empreintes archivées dans les journaux du cycle de vie des archives.





§ 7.2

Clôture des volumes de

stockage amovibles

La clôture est applicable pour les supports amovibles réinscriptibles, il faut prendre en considération les points qui suivent :

- Pour tous les supports amovibles, la clôture des supports nécessitent l’ajout sur chaque support d’un dernier fichier clairement identifiable comportant la date de l’opération de clôture, le nombre de fichiers disposés sur le support.

- Le journal des évènements du SAE doit comporter la trace de la clôture des supports avec les trois informations obligatoires (date, nombre de fichiers)

- Pour les supports amovible réinscriptibles, le fichier de clôture ne doit pas pouvoir être supprimé ni modifié. Du fait du caractère effaçable et modifiable lié au type de support, un contrôle d’intégrité des fichiers de clôture doit être possible. Le fichier de clôture de chaque support doit être considéré comme un document archivé. L’empreinte du fichier de clôture doit être conservée comme pour tout document archivé dans le journal du cycle de vie des archives.

La clôture d’un volume doit interdire la poursuite de l’écriture sur ce volume :

- Une fois qu’un support est clôturé il ne doit plus être possible d’ajouter des informations. Les possibilités d’écritures de plusieurs sessions doivent être inhibées via une clôture définitive des supports après écriture du fichier de clôture comme dernier fichier conformément aux normes ISO 13490 ou ISO 13346.

Note : cette exigence est considérée non applicable pour les supports réinscriptibles

- Vérification pour chaque support clôturé échantillonné de la présence d’un fichier de clôture.

- Vérification que le fichier comporte la date de l’opération de clôture, le nombre de fichiers stockés sur le support.

Vérification que le nombre de fichiers stockés sur le support correspond à celui indiqué dans le fichier de clôture.

- Vérification de la présence dans les journaux des évènements concernés par les dates de clôture des supports : trace de la clôture et informations associées (ID support, date, nombre de fichiers).

- Vérification par échantillonnage que les supports marqués comme clôturés n’ont plus la possibilité d’écriture de nouvelles sessions.





§ 7.3

Marquage des supports WORM

physiques


Pour les supports WORM physiques, chaque support doit avoir un identifiant unique, une date d’initialisation, le nom de l’organisme ou de l’entreprise

Chaque opération d’initialisation et de clôture des supports doit être tracée dans les journaux des évènements du SAE

- Vérification documentaire du DDTS

- Vérification par échantillonnage que chaque support est conforme aux principes de marquage.

- Vérification de la présence dans les supports : identifiant du support, date de l’initialisation du support et nom de l’organisme ou de l’entreprise qui a initialisé le support.

- Vérification de la présence dans les journaux des évènements archivés : date d’initialisation des supports, la trace de l’initialisation et les informations suivantes (identifiant du support, nom de l’organisme ou de l’entreprise).

- Vérification de l’archivage du journal des évènements consulté.



Chapitre 8 : Systèmes basés sur des supports WORM logiques

§ Norme Correspondance Guide d’Application Z42-019 Exigences et Eléments de preuve Modalités de contrôle

§ 8

Systèmes basés sur

des supports WORM logiques

Cf. 2.2.5 – Choix des supports, page 14

Cf. 2.2.5.2 –Procédures à suivre pour le contrôle des WORM logiques et des supports réinscriptibles, page 15

Cf. 2.2.7.6 – Destruction par effacement, page 24 Cf. 2.2.8 – Journalisation, page 26

FAQ n°3, page 34

Cf. Chap. 9



Chapitre 9 : Systèmes basés sur des supports réinscriptibles



§ 9


réinscriptibles

Cf. §2.2.5.2 - Procédures à suivre pour le contrôle des WORM

logiques et des supports réinscriptibles, page 15

Cf. §2.2.7.6 – Destruction par effacement, page 24

Lorsqu’un système d’archivage met en œuvre des supports réinscriptibles fixes ou amovibles, la garantie d’intégrité repose sur le principe qu’une fois un enregistrement effectué, il ne pourra plus être modifié sans que cette modification ne soit détectable en s’appuyant sur l’établissement d’attestations et l'emploi de moyens cryptographiques :

Le DDTS doit décrire les procédures de contrôle devant permettre d’assurer et de vérifier l’intégrité des archives et leur complétude.

Le DDTS doit décrire les procédures d’effacement.

L’intégrité des archives doit pouvoir être vérifiée en comparant les empreintes des documents archivés par rapport à celles qui ont été conservées dans les journaux de cycle de vie.

La complétude des archives doit pouvoir être démontrée.

- Vérification des procédures de contrôle d’intégrité, de complétude et des procédures d’effacement.

- Vérification de l’existence et du fonctionnement du mécanisme de contrôle d’intégrité et de complétude.

- Connexion au SAE avec un profil utilisateur.

- Par échantillonnage, vérification des documents archivés. Pour chaque document consulté, vérification de l’obtention de son empreinte et vérification que l’empreinte recalculée par l’auditeur est identique à l’empreinte archivée dans le journal du cycle de vie des archives.

- Par échantillonnage de journaux de cycle de vie des archives archivées et lisibles sur les supports d’archivage, vérification dans le SAE de l’accessibilité aux documents archivés dont il est fait mention dans ces journaux





§ 9(suite)


réinscriptibles

Cf. 2.2.8.1 - Journal du cycle de vie

des archives, page 27

On distingue trois niveaux de sécurisation qualifiés de : standard, renforcé et avancé. Ces niveaux nécessitent l’usage de différents moyens cryptographiques : fonctions de hachage, contremarque de temps ou/et signature électronique.

Pour les trois niveaux de sécurisation une attestation électronique de prise en compte initiale d’un dépôt doit être produite et enregistrée dans le journal. Elle doit contenir au minimum l’empreinte des documents déposés et une adresse logique de stockage indépendante du ou des lieux de stockage. Les attestations doivent permettre d’établir que les opérations qu’elles concernent ont été demandées par une personne autorisée et leur exécution réalisée sous le contrôle du système d’archivage de l’organisme, ou de l’entreprise, ou du tiers archiveur.

Note : Le paragraphe ci-dessous dans le §9 est considéré non applicable : Quand un niveau de sécurisation implique l’usage de la signature électronique, le signataire est celui qui détient et met en œuvre le moyen de création de la signature électronique. Il peut s'agir d'une personne morale ou d’un processus, auquel cas la signature électronique peut être produite automatiquement lors de la réalisation des opérations qui y font appel. La signature électronique avancée doit satisfaire aux exigences suivantes : — être propre au signataire ; — permettre d'identifier le signataire ; — être créée par des moyens que le signataire puisse garder sous son contrôle exclusif ; — garantir le lien avec les objets auxquels elle s'attache, de telle sorte que toute modification ultérieure de ces objets soit détectable. NOTE La signature électronique avancée correspond aux formats définis par l’ETSI (European Telecommunications Standardization Institute) dans les spécifications techniques suivantes : ETSI TS 101 733 (CAdES) ou ETSI TS 101 903(XAdES).

- Présence du ou des niveau(x) de sécurisation déterminé(s) dans le DDTS ou document équivalent

- Test d’un dépôt

- Vérification de la production d’une attestation et de son contenu

- Par échantillonnage, vérification dans les journaux du cycle de vie des archives que les lignes qui concernent les opérations de dépôt comportent :

- la date de versement

- L’identifiant unique de l’archive

- L’empreinte du document numérique si le support de stockage n’est pas de type WORM physique

- L’adresse logique de stockage

- Le service versant

- Le service d’archivage.





§ 9.1

Niveau de sécurisation

standard

Cf. 2.2.8.3 - Détails de la journalisation par niveaux

d’exigences, page 29

Cf. 2.2.8.1 - Journal du cycle de vie des archives, alinéa b, page

28

Les connexions au SAE doivent être dûment tracées dans le journal des évènements du SAE.

Les journaux de cycle de vie des archives qui ont été archivés doivent être horodatés avec une périodicité d’au moins 24 heures.

Les journaux archivés doivent être chainés et ne doivent pas permettre de rupture dans leur continuité

- Connexion et authentification dans le SAE

- Vérification de la traçabilité de l’authentification dans le journal des évènements du SAE (date, heure de la connexion, identifiant de la personne).

- Vérification par échantillonnage dans les journaux des évènements archivés de la présence d’informations relatives aux connexions.

- Par échantillonnage, vérification que dans le journal du cycle de vie des archives, la date et l’heure de la dernière opération mentionnée par rapport à la date et l’heure de la première opération mentionnée ne dépasse pas 24 heures.

- Optionnel : Par échantillonnage de séries de journaux de cycle de vie des archives, vérification que le journal comporte l’empreinte du journal précédent et que l’empreinte recalculée du journal précédent est conforme à celle inscrite dans le journal suivant.

§ 9.2

Niveau de sécurisation

renforcé

Note : L’exigence est considérée non applicable

§ 9.3

Niveau de sécurisation avancé

Note : L’exigence est considérée non applicable



Chapitre 10 : Processus de capture des archives



§ 10.1

Processus de capture des

archives Documents numériques

Cf. 2.2.6 – Choisir un format de fichier pour l’archivage, page 16

Cf. 2.2.2 – Profils d’archivage, page 9

Les documents doivent être conservés dans un format de fichier normalisé ou standardisé. La Politique d’Archivage doit mentionner le référentiel normatif associé aux différents types de documents ainsi que les spécifications des formats et de leurs versions.

- Contrôle d’une liste des formats recommandés dans la

politique d’archivage ou documents associés (autres

politiques, ...).

- Vérification documentaire du DDTS ou/et des

documents liés à la Politique d’Archivage





§ 10.1.1

Procédure d’enregistrement

des archives dans le système (dépôt)

Les processus de contrôle et d’écriture des documents doivent être documentés dans le DDTS (a minima sur les formats recommandés)

L’enregistrement doit être le résultat de la complétude des deux opérations distinctes : écriture des fichiers et mise à jour des référentiels avec les métadonnées associées.

Le SAE doit générer un identifiant unique pour chaque fichier archivé.

Le SAE doit mettre en œuvre un mécanisme de vérification de la qualité de l’enregistrement des documents.

Le SAE doit permettre de confirmer que le nouveau document est enregistré dans le référentiel

Le SAE doit opérer un lien entre l’emplacement physique du document et son identification logique.

- Vérification de l’existence et de l’application du processus d’enregistrement et de contrôle des archives. - Vérification documentaire du cas d’erreur lié à un échec d’enregistrement et que ce cas prévoit bien le non enregistrement des métadonnées associées à un objet à archiver si l’archivage du fichier a échoué. - Test via un objet à archiver :

- Vérification des métadonnées associées avant l’archivage. - Opérer le processus de versement (ou dépôt) des documents dans le SAE. - Une fois l’objet archivé, vérification de la possibilité de demande de communication sur la base de métadonnées qui étaient associées à l’objet souhaité.

- Vérification du mécanisme d’attribution des identifiants aux fichiers archivés. - Vérification de l’unicité de l’identifiant pour chaque archive déposée - Vérification documentaire dans le DDTS et analyse des résultats des mécanismes de contrôle de la qualité. - Sur la base d’un échantillon, pour chaque document archivé, existence d’une trace dans le journal du cycle de vie des archives. - Vérification que le SAE est en mesure de faire le lien entre l’identification logique de chaque archive et l’emplacement physique de son stockage, même si la base de données qu’il utilise ne comporte plus ce lien.





§ 10.1.2

Documents à contenu balisé

Dans le cas d’archivage de documents au format balisé qui intègre des références à des ressources externes tel que des schémas xsd ou autre type de ressources mentionnées dans le flux xml archivé, il est nécessaire d’archiver ces ressources.

Si le SAE archive des documents au format balisé tel que des fichiers xml : - Vérification que les ressources mentionnées (dont xsd,…) dans ces fichiers xml sont soit librement accessibles soit également archivées.

§ 10.1.3

Documents en format de

présentation

Cf. 10.1

§ 10.1.4

Cas des formats de documents

numériques non conformes aux

prérequis

Vérification documentaire :

- Existence éventuelle de modalités d’exploitation et/ou matériels d’exploitation des documents.

§ 10.1.5

Cas des flux d’impression

Les flux d’impression à archiver qui nécessitent de fusionner des données avec des ressources pour générer l’image d’un document, doivent être archivés d’une manière intègre avec les données et les ressources. En cas de demande de communication, le SAE doit être en mesure de restituer les données et les ressources qui avaient été associées au moment de l’archivage afin de permettre une remise en forme des documents.

Si existence de flux d’impression dans les différents types de documents archivés : - Vérification documentaire du DDTS : archivage des données et des ressources - Sur la base d’un échantillon de flux d’impression archivé, vérification de la restitution fidèle (cf. définition 3.14) par une impression et/ou une visualisation.





§ 10.1.6

Contrôle des documents

Le SAE doit permettre de contrôler le volume et la quantité de documents versés. Les contrôles sur la conformité des métadonnées par rapport à des formats attendus doivent être mis en place au moment de l’enregistrement des documents

Note : L’exigence ci-dessous est considérée non applicable :

l’absence de données codifiées, ou dans le cas contraire, la prise en charge des valeurs intelligibles permettant d’interpréter ces codes.

- Existence et application d’un processus de contrôle (comptage ou mécanisme de calcul et de vérification d’empreintes,…) des documents versés dans le SAE. - Contrôle par échantillonnage - Existence et application des procédures de constitution et de contrôle des métadonnées - Existence et application de la procédure de contrôle

des formats

§ 10.1.7

Prise en compte des métadonnées

Les procédures de constitution et de contrôle des métadonnées doivent être décrites dans le dossier de description technique.

Certaines métadonnées doivent systématiquement être conservées

Note : L’exigence présente dans le chapitre de la norme et mentionnée ci-dessous est considérée non applicable :

- la volumétrie du lot archive

Existence et application des procédures de constitution et de contrôle des métadonnées Sur la base d’un échantillonnage de documents archivés de tests, vérification pour chaque document de la présence dans le SAE des métadonnées suivantes : - l’identité de l’organisme qui procède au transfert des documents à archiver ; - l’identité du service d’archivage qui reçoit les documents à archiver ; - la date et l'heure de création ou d'arrivée du lot d’archives transféré ; - la méthode de conversion éventuellement appliquée au document d'origine lorsque le format d’origine du document n’est pas un des formats prévus ; - le format des documents à archiver ; - la durée de conservation et le sort final des documents à archiver.





§ 10.1.8

Indexation et recherche des

documents

Le SAE doit permettre la recherche de un ou de plusieurs documents archivés sur la base des métadonnées associées aux documents archivés.

Sur la base d’un échantillon de documents archivés de tests, usage du module de recherche du SAE et réalisation de recherches avec des métadonnées d’indexation associées aux documents. Vérification de la présence des documents recherchés.

§ 10.2

Documents sous forme papier ou

microforme

S’il y a lieu Vérification documentaire du DDTS

Vérification de l’existence et l’application de la procédure de contrôle de fidélité (§3.14) de la numérisation des documents et de la traçabilité des opérations effectuées lors de la capture.

§ 10.2.1

Dispositifs de numérisation des

documents

S’il y a lieu Vérification documentaire de la description des outils de numérisation dans le DDTS

§ 10.2.2

Dispositifs de traitement des

images

S’il y a lieu Vérification documentaire dans le DDTS

Contrôles au moyen du jeu de test de la fidélité des résultats sur un échantillon de cas de numérisation des images

Ces contrôles portent le cas échéant sur :

- la conversion des images en couleur ou en niveaux de gris en image en noir et blanc ;

- le redressement des images inclinées ;

- la suppression des tâches ou des bruits de fond ;

- la suppression des bords inutiles,

- l'élimination de fonds de page pré imprimés, de logos et de toutes autres informations non pertinentes,

- les conditions de suppression des pages blanches,

- la détection de doubles.





§ 10.2.3

Prise en charge des documents sur

support papier ou film

S’il y a lieu Note : Absence d’exigence d’attestation

§ 10.2.3.1

Préparation des documents sur support papier

S’il y a lieu Vérification de l’existence et l’application des procédures de préparation des documents papier avant numérisation.

§ 10.2.3.2

Préparation des documents sur

support film

S’il y a lieu Vérification de l’existence et l’application des procédures de préparation des microformes avant numérisation.

§ 10.2.3.3

Numérisation des documents sur

support papier ou sur film

S’il y a lieu Note : Absence de manuel utilisateur autorisée

Vérification de l’usage des mires de référence (ISO 12653-1 et 2 pour le noir et blanc et ISO/IEC 15775 pour la couleur) au moins une fois par mois pour calibrer chaque système de capture (cf. § 10.4.1)

Cf. § 5.4.5

§ 10.2.3.4

Contrôle de l’information numérisée

S’il y a lieu Vérification de l’existence et de l’application de la procédure de contrôles qualité de la numérisation.





§ 10.2.4

Journalisation des évènements

Identification des documents et des lots de documents

S’il y a lieu Vérification de l’existence de la journalisation des évènements de la numérisation des documents.

Chaque événement tracé doit comporter a minima:

- Identification du système de capture

- Identification du type d’opération,

- Identification des opérateurs correspondants,

- Identification unique des documents numériques ou des lots,

- Nombre de documents par lot,

- Nombre de pages blanches, - Nombre de pages numérisées par document ou par lot.

§ 10.3

Documents audiovisuels

analogiques sous forme de bandes

magnétiques

Cf. 2.2.6.8 - Les formats de fichiers audio et audiovisuels, page 19

Vérification de l’existence et l’application des procédures de numérisation de documents sous forme d’enregistrements sonores et audiovisuels.

§ 10.4

Techniques de compression des

images et des informations sonores et

audiovisuelles

Cf. 2.2.6.8 - Les formats de fichiers audio et audiovisuels, page 19

Le DDTS doit comporter toutes les informations sur les modes de compression utilisés lors de la capture pour les formats audios, audiovisuels et papier

Vérification documentaire du DDTS sur les différentes méthodes de compression des différents types de données numérisés.

Contrôle des méthodes.

Cf. § 10.1





§ 10.5

Conversion de formats

Note : L’exigence présentes dans le chapitre de la norme et mentionnés ci-après : « Le choix du nouveau format de conservation et les modalités de conversion doivent en tout état de cause éviter la perte involontaire d’informations significatives » est considérée non applicable.

Vérification de l’existence d’une table des formats

d’entrée reconnus

Vérification documentaire et de l’application des

processus de conversion et processus d’approbation de

la conversion.

Contrôle du sort du fichier d’origine

Vérification de l’enregistrement de trace pour chaque

conversion dans le journal du cycle de vie des archives

Vérification de l’archivage du nouveau fichier résultant

de la conversion.

Vérification de l’enrichissement du journal du cycle de

vie des archives par une nouvelle trace liée à l’opération

de conversion.

Vérification de l’encadrement contractuel ou

conventionnel des opérations de conversion des formats

des documents.

Contrôle de cohérence entre les opérations de

conversion et les conditions fixées dans la politique

d’archivage suivie par le service d’archivage.



Chapitre 11 : Exploitation des archives



§ 11.1

Communication

Les fonctionnalités du SAE sont a minima :

- la fonction de recherche,

- la communication d’une copie d’une archive dans son format de conservation

- l’émission d’attestations de conformité de la copie.

Des fonctionnalités additionnelles de communication, si elles sont présentes, doivent être détaillées et répondre aux exigences décrites dans la norme.

Vérification des fonctionnalités du SAE :

- la recherche d’archives

- la communication d’archives par échantillonnage,

Vérification de la production et de la communication d’une attestation de conformité de copie intégrant :

- Identification du demandeur

- Emetteur de l’attestation

- Métadonnées permettant d’identifier le(s) document(s) consulté(s)

- Enregistrement des traces du cycle de vie

Vérification documentaire et contrôle des fonctionnalités additionnelles

§ 11.1.1

Documents numérisés

En cas de gestion des fonds de page séparée, il faut s’assurer que les données mémorisées avec chaque page permettent d’identifier sans erreur les fonds de page à utiliser

Vérification de la dissociation des outils de numérisation et de consultation

Pour les SAE, intégrant la numérisation et réalisant un traitement de séparation du fond de page, vérification de la restitution de ces documents.

§ 11.1.2

Documents à contenu balisé

En cas d’archivage de contenu balisé, le SAE doit disposer au moment de la communication des feuilles de styles et ressources nécessaires.

Vérification de la présence et de l’accessibilité des feuilles de styles et des ressources

Vérification de la mise en forme lors de la communication par échantillonnage





§ 11.1.3

Documents utilisant des langages de

présentation

En cas d’archivage de documents utilisant des langages de présentation, le SAE doit disposer au moment de la communication des ressources nécessaires.

Vérification de la présence et de l’accessibilité aux ressources

Vérification et contrôle par échantillonnage de la mise en forme lors de la communication sans altération du contenu

§ 11.2

Restitution

Vérification documentaire et contrôle d’application de la procédure de restitution

Vérification de la destruction – cf. §11.3

Vérification du journal du cycle de vie des archives.

Vérification documentaire et contrôle d’application des modalités techniques de transfert

Existence d’un format de réversibilité et d’interopérabilité intégrant les journaux. Ce format est défini par un organisme ou à défaut doit être documenté.





§ 11.3

Destruction des archives

Cf. §2.2.7.6 – Destruction des archives, page 24

Cf. §2.2.7 – Destruction des archives, page 22

Vérification documentaire dans le DDTS et contrôle d’application des procédures et processus mis en œuvre pour assurer la destruction.

Vérification documentaire et contrôle d’application des procédures de destruction de média physiques amovibles.

Existence des fonctionnalités :

- la possibilité et les règles de modification des durées

de conservation

- la possibilité de suspendre le déroulement de la durée

de conservation

Réalisation de tests :

- tentative de suppression ou de modification d’une

archive pendant sa conservation

- vérification sur un échantillon de documents supprimés

que le journal des traces atteste bien de la suppression

de l’ensemble des copies d’une archive (destructions qui

peuvent avoir lieu à des moments différents après la

demande de destruction)

Vérification documentaire et contrôle d’application de

modalités de conservation des métadonnées et des

journaux relatifs aux archives éliminées

Concernant les sauvegardes et les éventuelles copies de sécurité, vérification documentaire des procédures notamment sur la suppression des archives dans un délai précisé et compatible avec la politique d’archivage éventuelle.



Chapitre 12 : Audits du Système d’Archivage



§ 12.1 Généralités sur les

audits

Cf. 2.2.10 - Les acteurs du Système d’Archivage Electronique, alinéa d, page 34

Procédure d'audit

Gestion des écarts et suivi des améliorations

- Vérification de l’application de la procédure

- Examen du traitement des écarts et des améliorations

§ 12.1.1

Objectifs des audits

Procédure d'audit

Rapports d’audit

- Vérification de la procédure et de son application


§ 12.1.2

Responsabilités des auditeurs

Procédure d'audit

Dossier des auditeurs : profil, expérience, formations, ….

Rapports d’audit

Vérification de la procédure et de son application

Examen documentaire

§12.1.3

Personnel chargé de l'audit

Procédure d'audit




§ 12.1.4

Maîtrise de la documentation

Modalités de gestion documentaire - Vérification de l’application des modalités de gestion documentaire

§ 12.1.5

Documents des opérations d'audit

Procédure d'audit

Rapports d’audit

Pratiques d'archivage : Modalités de gestion documentaire



- Vérification des pratiques d’archivage

§ 12.2

Audits internes

Organigramme

Kbis




§ 12.3

Audits externes

Contractualisation de l’audit (clause de confidentialité, …)


Rapport d’audit




Chapitre 13 : Tiers Archiveur



§ 13.1

Activités du tiers archiveur

Modalités applicables au sein de l’entité utilisant un tiers archiveur et souhaitant obtenir la présente certification:

- Modalités de contrôle et de choix du ou des tiers archiveur(s) (appels d'offres, synthèse de contrôle, …),

- Journalisation d'empreintes,

- Modalités de contrôles des empreintes.


Modalités applicables au sein du tiers archiveur :

- Modalités de contrôle à réception (documents, empreintes, preuves de journalisation d'empreintes, ...)

- Attestations d'activité

- Modalités d'envoi des attestations (cf. contrat)

- Conservation du journal du cycle de vie des archives dans le SAE

- Modalités d'identification unique (gestion des identifiants, gestion des droits d'accès, ....), contrôles des listes / doublons utilisateurs

- Documentation sur le cloisonnement logique des données a minima et son application, analyse des incidents associés

- Journaux et mise à disposition des attestations de dépôt

- Journaux et mise à disposition des attestations d'élimination

- Journal global ou par client. Mise à disposition éventuelle d'extrait de journal par client

- Politique de sécurité

- Attestation de réception


- Vérification de l’application des modalités décrites

§ 13.2

Contrat de service type

Contrat type et :

- Déclaration des Pratiques d’Archivage (DPA)

- Obligation d'information sur la mise en évidence des risques (notamment l'arrêt d'activité)

- Analyse du contrat type

- Analyse du contenu de la DPA au regard de l’annexe B

- Vérification de l’analyse de risques du tiers archiveur sur sa pérennité

- Contrôle d'un échantillon de contrats signés





§ 13.2.1

Clause de durée de service

Contrats


§ 13.2.2

Clause de durée de conservation

Contrats (dont assurance,... - Examen documentaire

§ 13.2.3

Clause de qualité de service

Contrats dont :

- la présentation de la plage horaire

- la définition et valeur des taux de disponibilité de dépôt et de consultation - les modalités de transport des documents numériques et/ou papier s’il y a lieu


- Contrôle des résultats des taux

§ 13.2.4

Clause de sécurité et de protection des

données

Contrats - Examen documentaire

§ 13.2.5

Clause d’information et de

conseil

Cf. 2.2.6 - Choisir un format de fichier pour l’archivage, page 16

Contrats dont :

- la localisation géographique des archives, des copies et les copies de sauvegarde

- la précision sur les formats, les supports, les migrations, les conversions, les modifications techniques et la politique d'archivage du client

Politique d'archivage type du tiers archiveur

Modalités de veille sur les formats, les supports, les migrations, les conversions, les modifications techniques



- Examen documentaire et contrôle de la veille

§ 13.2.6

Clause de reprise et de continuité

Contrats

- dont les moyens de fournir des objets, la définition d'un format d'export et d'import d'interopérabilité, les métadonnées et les éléments de preuve






d'intégrité.

§ 13.2.7

Clause de réversibilité


§ 13.2.8

Clause de restitution

Contrats

- dont le processus d'élimination des copies et des copies de sauvegarde

- avec la description dans les contrats dont les délais

Couverture juridique ou contrat de la période complémentaire :

- manifestation expresse du client

- reprise des §13.2.1 au §13.2.12


§ 13.2.9

Clause de confidentialité

Contrats dont :

- les dispositions vis-à-vis de ses propres équipes ou de ses sous-traitants.

Clause de confidentialité dans les contrats de travail des équipes ou dans les contrats des sous-traitants



§ 13.2.10

Clause d’assurance professionnelle

Contrats

- Vérification du choix d'une compagnie d'assurance notoirement connue sur le marché, avec un niveau de garanties adapté aux risques encourus dans le cadre de la prestation

§ 13.2.11

Clause de sous-traitance

Contrats

Contrats des sous-traitants dont la localisation des archives, des copies et des copies de sauvegarde


§ 13.2.12

Clause d’audit




Chapitre 14 : Prestataires de services (sous-traitance)



§ 14

Prestataires de services

Un prestataire de service est un acteur qui ne dispose pas de la responsabilité de conservation de l'objet.

Activités concernées :

- Numérisation

- Horodatage

- Tierce Maintenance Applicative (TMA)

- Télécommunications

- Sauvegarde

- Datacenter

- Chiffrement

- Vérification de la définition du périmètre des fonctions confiées

§ 14.1

Agrément d'un prestataire de

services

Modalités d'agrément et enregistrements associés - Examen documentaire et son application

§ 14.2

Contrat de sous-traitance

Contrat type

- Analyse du contrat type

- Contrôle d'un échantillon de contrats signés

§ 14.3

Transfert des données par des

réseaux de télécommunications

Mécanismes d'authentification, d’intégrité et de confidentialité

- Vérification documentaire et leur application



2.3 Les dispositions de maîtrise des activités liées au SAE En complément des exigences décrites dans la partie 1, le demandeur doit consigner par écrit les dispositions en matière d'organisation, de documents, de moyens matériels et humains qu'il met en place pour garantir la maîtrise des activités. La démarche de maîtrise des activités est basée sur la roue de Deming ou boucle de l’amélioration continue :

Note explicative de la roue de Deming dans le cadre de la présente certification : - L’étape Prévoir correspond à la définition de la stratégie de l’entreprise et des responsabilités, … (§ 2.3.1). - L’étape Mettre en œuvre correspond à la définition des dispositions d’organisation pour les processus opérationnels réalisés par le demandeur tels que définis dans la norme NF Z42-013, la gestion du personnel en terme de formation et de recrutement, la maîtrise des sous-traitants et la gestion documentaire (§ 2.3.2). - L’étape Vérifier correspond à l’évaluation des performances (mesure des activités, traitement des dysfonctionnements, des réclamations, des remontées internes et mesure de la satisfaction des clients) (§ 2.3.3) - L’étape Améliorer correspond à la mise en place des actions d’amélioration (§ 2.3.4)

2.3.1 Organisation et responsabilités 2.3.1.1 Responsabilités et confidentialité Le demandeur doit :

établir un organigramme fonctionnel de toutes les personnes qui participent au SAE et à la réalisation des activités.

nommer un responsable de la bonne application des règles et de l’organisation mise en place, et qui centralise l’ensemble de la démarche qualité.

Le demandeur doit décrire les dispositions adéquates mises en place pour garantir la confidentialité des informations relatives aux clients ou utilisateurs internes.

Améliorer

Prévoir

Vérifier

Mettre en

Œuvre



2.3.1.2 Principes de déontologie, devoir d’information et de conseil Le demandeur doit :

décrire la manière dont il organise sa veille réglementaire et le mode de diffusion des informations à jour au personnel concerné.

exercer son devoir de conseil et d’information, notamment, le cas échéant, sur les risques inhérents de la mise en œuvre d’un SAE, qu’il soit internalisé ou externalisé auprès d’un tiers archiveur par exemple.

2.3.1.3 Politique d’Archivage Une politique d’archivage se situe au niveau fonctionnel et doit être indépendante des implémentations opérationnelles et techniques permettant la mise en œuvre des différentes fonctions. Une politique d’archivage définit les exigences qu'une organisation en charge de l’archivage interne ou externe doit respecter. La politique d’archivage doit définir a minima :

les prestations fournies aux déposants et aux utilisateurs.

les obligations pesant sur les intervenants.

les modalités de réalisation des prestations.

les principes de gouvernance du SAE.

les principes de sécurité à respecter. La politique d’archivage fait référence au(x) référentiel(s) de conservation et au Dossier de Description Technique du Système. 2.3.1.4 Convention de service (en cas de SAE interne mutualisé) Dans les cas de SAE internes mutualisés, une convention qui lie le service versant avec l’organisation en charge de l’archivage doit au moins mentionner les points suivants :

la référence au présent document avec mention des exigences retenues ;

la référence à une politique d’archivage ;

la description des procédures d’archivage ;

la description des infrastructures ;

les procédures pour exploiter les historiques du fonctionnement du système ;

les mesures prises par l’organisation en charge de l’archivage pour assurer la confidentialité des données du service versant;

les méthodes et les supports pour le dépôt des documents et de leurs métadonnées par le service versant ;

les méthodes et mesures prises pour assurer, si cela est prévu, les conversions de formats ;

les modalités de transport des documents numériques et/ou papier s’il y a lieu ; 2.3.1.5 Convention de service (en cas de SAE externalisé) Cf. § 13 de la norme NF Z42-013



2.3.2 Dispositions d’organisation 2.3.2.1 Gestion des sous-traitants

En complément des exigences de la norme NF Z42-013 (§14) et de la partie 1 du présent document, le demandeur doit :

identifier les sous-traitants ayant un rôle dans la conception et la mise en œuvre du SAE et des activités correspondantes.

décrire les critères de sélection, les modalités de qualification et les critères d’évaluation/suivi des sous-traitants.

établir un document contractuel avec chaque sous-traitant, dans lequel une clause engage le sous-traitant à accepter les audits d’AFNOR Certification au regard des exigences spécifiques précisées dans le paragraphe § 1.5.2.2

2.3.2.2 Gestion et compétences du personnel

Le demandeur doit :

définir les critères et les modalités de recrutement du personnel

définir les fiches de poste de toutes les personnes qui participent au SAE et à la réalisation des activités. La fiche de poste renseigne au minimum sur l’identification du poste, les missions, le devoir de confidentialité, les particularités de la fonction et les compétences requises,

définir les modalités de suivi du personnel (exemple : entretien d’évaluation annuel) et d’identification des besoins en formation,

tenir à jour la liste des formations et missions de veille suivies par le personnel (pour l’année n-1) dans le domaine des technologies de l’information

2.3.2.3 Gestion des documents d’organisation

Le demandeur doit définir les règles de gestion des documents d’organisation inclus dans son système documentaire et de leur diffusion auprès des personnes concernées.

Tous les documents d’organisation exigés dans les présentes règles de certification doivent :

être conservés au minimum 2 ans afin d’assurer une traçabilité entre chaque audit. Cette disposition ne dispense pas le demandeur de satisfaire aux règles légales de conservation des documents.

comporter au minimum un titre, une date d’application, un numéro de révision, une pagination et le nom du responsable de la mise en œuvre désigné.

le DDTS est conservé sans limite de temps.

2.3.3 Evaluation des activités liées au SAE 2.3.3.1 Auto-évaluation Le demandeur doit mettre en place une auto-évaluation annuelle prenant en compte au minimum les exigences de la norme NF Z42-013 et de la partie 2 des présentes règles de certification.



Le demandeur doit avoir effectué une auto-évaluation avant l’audit d’admission. Les résultats de cette auto-évaluation doivent faire l’objet d’une analyse et de la mise en place d’un plan d’actions d’amélioration (cf. § 2.3.4 de la partie 2). 2.3.3.2 Indicateurs de performance

Le demandeur suit les indicateurs significatifs précisés ci-après et les complète par des indicateurs de son choix qui permettent de mesurer et de suivre la performance de ses activités :

taux de disponibilité des services (cf. §11),

temps de réponse en consultation (cf. §11),

taux et délai de résolution des anomalies par type (cf. §11),

temps de prise en charge d’un document ou d’un lot (transfert de responsabilité) (cf. §11), Pour chaque indicateur, le demandeur doit définir :

l’organisation et les moyens mis en place pour suivre l’indicateur,

le système de mesure en terme de :

o définition de la méthode de calcul o relevés des données o fréquence de relevés o saisie des données o présentation des résultats (tableaux de bord)

Suivi / Exploitation des résultats :

Le demandeur suit les indicateurs de performance selon la fréquence définie, a minima annuelle. Dans le cas où les seuils de performance fixés ne sont pas atteints, le demandeur doit mettre en place un plan d’action correctives (cf. § 2.3.4 - partie 2)

2.3.3.3 Gestion des réclamations Le demandeur doit décrire son organisation pour recenser, gérer et suivre les réclamations. Il présente les réclamations reçues, les réponses apportées et de plus réalise, une analyse (au minimum annuelle) des réclamations.

2.3.3.4 Evaluation de la qualité perçue par le client

Le demandeur doit définir et mettre en place l’organisation pour évaluer la satisfaction des clients, au moins annuellement.

2.3.4 Amélioration des activités liées au SAE

Le demandeur doit définir les modalités d’établissement et de mise en œuvre d’un plan d’amélioration pour répondre aux écarts constatés lors :

des remontées internes,

des résultats des indicateurs,

des dysfonctionnements rencontrés,

de l’analyse des résultats des auto-évaluations,

de l’analyse des réclamations et de la satisfaction des clients



2.3.5 Exigences supplémentaires dans le cadre d’un demandeur multi-sites

Ce paragraphe a pour objectif de définir les conditions d'application de la procédure dite "multi-sites". Le demandeur (au travers de sa structure centrale, telle que définie dans la partie 1 des présentes règles) doit appliquer en plus des exigences définies dans le chapitre précédent (§ 2.1), les exigences supplémentaires définies ci-après. Conditions d'application :

les activités entrant dans le champ de la certification et réalisées par les sites doivent concourir à la conception, au développement et/ou à l’exploitation d’un SAE et régies par des procédures identiques.

la politique d’archivage et son application doivent être structurées et gérées de façon centralisée.

Tous les sites doivent faire l’objet d’un contrôle interne par la structure centrale selon un plan de contrôle clairement défini. Tous sites concernés (y compris la structure centrale) doivent avoir été audités conformément à ce plan de contrôle et préalablement à l’audit d’admission.

La structure centrale doit recueillir et analyser les informations émanant de tous les sites et pouvoir instaurer toute modification organisationnelle nécessaire sur :

Les responsabilités et la documentation,

Les réclamations,

L’évaluation de la performance des activités,

La planification des contrôles internes et l’évaluation des résultats.



PARTIE 3

OBTENIR LA CERTIFICATION : les modalités d’admission __________________________________________________________________________________

3.1 Dépôt d'un dossier de demande de certification

Avant de faire sa demande, le demandeur doit s'assurer qu'il remplit, au moment de sa demande, les conditions définies dans les présentes règles de certification et notamment la partie 2 – Le Référentiel d’Exigences. Il doit s'engager à respecter les mêmes conditions pendant toute la durée d'usage de la marque NF.

La demande doit être présentée conformément aux conditions et modèles donnés en partie 8 – Le Dossier.

A réception de la demande, le processus suivant est engagé :

la recevabilité du dossier,

la mise en œuvre des contrôles et vérifications,

l’évaluation et la décision.

3.2 Etude de recevabilité A réception du dossier de demande, AFNOR Certification vérifie que :

toutes les pièces demandées dans le dossier de demande sont jointes,

les éléments contenus dans le dossier technique respectent les exigences des règles de certification. AFNOR Certification peut être amenée à demander les compléments d’information nécessaires à la recevabilité du dossier lorsque celui-ci est incomplet.

Dès que la demande est recevable, AFNOR Certification organise les contrôles et vérifications et informe le demandeur des modalités d’organisation (auditeur, durée d’audit, sites audités, etc.).

3.3 Modalités de contrôles

3.3.1 Audit Cet audit réalisé par un ou plusieurs auditeur(s) NF, a pour objet de s'assurer que les dispositions définies et mises en œuvre par le demandeur, répondent aux exigences de la partie 2 la concernant des présentes règles de certification.

Dans le cas où l’entité sous-traite une partie critique de ses activités, AFNOR Certification se réserve le droit d'envoyer un ou plusieurs auditeur(s) NF pour effectuer une visite chez le(s) sous-traitant(s) sur la base du même référentiel.

Tous les moyens (locaux, installations, équipements) permettant à l'auditeur NF d'effectuer la mission qui lui incombe doivent être mis à sa disposition, ainsi que les personnes compétentes pour la mettre en œuvre. Organisation de l‘audit AFNOR Certification désigne un ou plusieurs auditeur(s) afin de réaliser l’audit conformément au périmètre de certification déclaré dans le dossier de demande.



L'audit est réalisé sur la base des exigences fixées dans les présentes règles de certification, la norme NF Z42-013 et le guide GA Z42-019. Le ou les auditeur(s) s’assure(nt) également de l’application des règles générales de la marque NF.

Le demandeur doit préalablement à sa demande de certification mettre en place une auto-évaluation (cf. § 2.3.3.1 de la partie 2), procéder à son analyse et mettre en place un plan d’action d’amélioration. Ces éléments sont analysés par l’auditeur lors de sa préparation d’audit. Le demandeur déclare sous forme de liste les formats gérés par le SAE auprès de l’auditeur.

Le ou les auditeur(s) et le demandeur fixent la date d’audit, sur les différents sites concernés par la certification. Le programme d’audit est adressé au demandeur au moins huit (8) jours avant la date retenue.

Réalisation de l’audit Les contrôles mis en œuvre par l’auditeur sont réalisés avec les méthodes suivantes :

entretien avec le personnel.

contrôle visuel,

examen des indicateurs de performance.

examen documentaire.

contrôle des fonctionnalités du SAE.

mise en œuvre d’un jeu de tests (annexe 1).

mise en place de contrôles techniques spécifiques si nécessaires. S’il le juge utile pour réaliser sa mission, le ou les auditeur(s) peu(ven)t compléter les critères de contrôle.

Le demandeur facilite la mission de l'auditeur en lui donnant accès aux locaux, équipements, installations, documentations et en mettant à sa disposition les personnes compétentes. Lors de la réunion de clôture, le ou les auditeur(s) présente(nt) ses conclusions au demandeur et formule par écrit les écarts éventuels relevés au cours de l’audit. Une fiche de fin d’audit est laissée au demandeur à l’issue de la réunion. Un rapport d’audit est établi, adressé au demandeur et intègre les éventuels écarts aux présentes règles de certification.

Durée de l'audit L'audit se décompose en deux parties :

la préparation de la visite sur site, la rédaction du rapport d'audit et l’analyse des réponses aux écarts.

les visites sur site (analyse documentaire, interview, …) dont la durée est fixée à partir du dossier de demande de certification selon les règles décrites et les durées minimales précisées ci-après, sont composés de :

o une étape 1, durant laquelle le SAE est présenté à l’auditeur. o une étape 2, durant laquelle le ou les auditeurs prennent connaissance de la documentation

relative au SAE. o une étape 3, durant laquelle le ou les auditeurs contrôlent la mise en application des présentes

règles.

Dans le cas où le système comprend des dispositifs destinés à la numérisation de documents sous forme papier ou à la numérisation de microformes, un jour supplémentaire pour le site échantillonné est ajouté aux durées précisées ci-dessous. Demandeur type n°1 : un SAE interne pour son propre compte (cf. § 1.3)

Durée d’audit (visites sur site)

Durée de préparation/rapport

Etape 1 Etape 2 Etape 3 1,5 jour

0,5 jour 2,5 jours 2 jours



Demandeur type n°2 : Prestataire d’archivage électronique pour le compte de tiers

Durée d’audit

(visites sur site) Durée de

préparation/rapport


0,5 jour 3 jours 2,5 jours

Nota :

Les durées d’audit seront déterminées au cas par cas s’il y a plusieurs SAE distincts, audités dans le périmètre.

3.3.2 Cas du demandeur certifié ISO 9001 ou ISO/IEC 27001 ou NF Logiciel Les engagements et les dispositions décrits dans la partie 2 des présentes règles de certification peuvent être prévus dans une certification ISO 9001 ou ISO/IEC 27001 ou NF Logiciel par un organisme certificateur reconnu par AFNOR Certification. Si tel est le cas, le demandeur doit s'assurer que le système de management est conforme aux exigences des présentes règles de certification. Un demandeur de la marque NF déjà titulaire d’un certificat ISO 9001 ou ISO/IEC 27001 ou NF Logiciel (version en vigueur) peut bénéficier de modalités de contrôle allégées selon trois (3) conditions :

le champ et le périmètre de la certification ISO 9001 ou ISO/IEC 27001 ou NF Logiciel (version en vigueur) couvrent le champ et le périmètre de certification demandés dans le cadre de la marque NF,

le certificat de système est émis par un organisme certificateur accrédité par le COFRAC ou par un membre de l’EA (European cooperation for Accreditation) ou par un organisme membre d’une association signataire d’accords de reconnaissance internationaux – voir signataires sur le site du COFRAC (www.cofrac.fr )

l'audit documentaire réalisé par AFNOR Certification lors de l'instruction du dossier est satisfaisant. Le demandeur doit dans ce cas fournir à AFNOR Certification les documents spécifiques demandés dans la partie 8 des présentes règles de certification en complément du dossier général de certification. Dans tous les cas, l’allègement peut être remis en cause si les conditions ayant autorisé l’allègement ne sont plus respectées. Les allégements peuvent porter sur les points suivants :

contenu des audits

durée des audits

modalités de contrôle, … Un devis est établi après analyse du dossier de certification du demandeur. Les audits NF / ISO 9001 / ISO/IEC 27001 peuvent être, le cas échéant, effectués conjointement.

3.3.3 Cas de la sous-traitance (cf. Partie 1 - § 1.5.2)

Si le dispositif de maîtrise et de contrôle des sous-traitants mis en œuvre par le demandeur est considéré comme incomplet, AFNOR Certification, peut déclencher en complément, un ou des audit(s) d’une durée d’1 jour sur site par sous-traitant chez le ou les sous-traitant(s) concerné(s)s répondant à la définition du chapitre §1.5.2.

http://www.cofrac.fr/



Les audits chez les sous-traitants sont facturés par AFNOR Certification au demandeur.

3.4 Evaluation et décision AFNOR Certification évalue le(s) rapport(s) destiné(s) au demandeur selon les procédures en vigueur. Le(s) rapport(s) est (sont) accompagné(s) le cas échéant d’une demande de réponse dans un délai fixé dans le courrier d’envoi du rapport. Le demandeur doit présenter pour chaque écart, les actions mises en place ou envisagées avec le délai de mise en application. L’auditeur mandaté par AFNOR Certification analyse la pertinence de la réponse et peut demander la réalisation d’un contrôle complémentaire (audit complet ou partiel). Il adresse le rapport complet à AFNOR Certification. Consultation éventuelle du Comité particulier (§ 6.2): En cas de besoin, AFNOR Certification peut présenter, pour avis, au Comité Particulier (§6.2), l’ensemble des résultats d’évaluation de façon anonyme. En fonction des résultats de l’ensemble des contrôles, AFNOR Certification prend l’une des décisions suivantes :

accord du droit d'usage de la marque NF,

refus du droit d'usage de la marque NF. En cas de décision positive, AFNOR Certification adresse au demandeur qui devient titulaire, le certificat NF et/ou le document notifiant la décision, émis pour une durée de 3 ans, (procédure équivalente au moment de la reconduction). Les modalités de communication sur la certification sont définies dans la partie 4 des présentes règles de certification. Le demandeur peut contester la décision prise en adressant une demande conformément à l’article 11 des Règles Générales de la marque NF.



PARTIE 4

VALORISER LA CERTIFICATION : Le marquage __________________________________________________________________________________

Le marquage fait partie intégrante de la certification d’un produit et/ou d’un service. Au-delà de l’identification d’un produit et/ou d’un service certifié et de sa traçabilité, le marquage d’un produit et/ou d’un service par le logo NF assure une meilleure protection des utilisateurs et permet la défense des titulaires. Par ailleurs, la mention des principales caractéristiques certifiées représente un avantage pour les clients et/ou utilisateurs.

4.1 La marque NF en général Le logo NF doit assurer l’identification de tout produit et/ou service certifié. Le produit et/ou le service certifié NF fait l’objet d’une désignation et d’une identification, distinctes de celles des produits et/ou services non certifiés. Le titulaire ne doit faire usage du logo NF que pour distinguer les produits et/ou les services certifiés et ceci sans qu'il existe un quelconque risque de confusion avec d’autres produits et/ou services et en particulier des produits et/ou services non certifiés.

Les outils graphiques du logo sont disponibles auprès du service communication d'AFNOR Certification et sur le

site www.marque-nf.com, espace « titulaires ».

Il est recommandé au titulaire de soumettre préalablement à AFNOR Certification tous les documents où il est fait état de la marque NF.

4.2 Les textes de référence Le code de la consommation : un souci de transparence La communication sur les informations relatives à la certification de produits et de services est encadrée par le Code de la Consommation : celui-ci a pour objectif de rendre transparente pour les clients et les utilisateurs, la signification des labels et marques de certification. Ainsi, l’article R 115-2 du Code de la consommation stipule que : "Lorsqu'il est fait référence à la certification dans la publicité, l'étiquetage ou la présentation de tout produit ainsi que sur les documents commerciaux de toute nature qui s'y rapportent, doivent obligatoirement être portés à la connaissance du consommateur ou de l'utilisateur :

le nom ou la raison sociale de l'organisme certificateur ou sa marque collective de certification ainsi que son adresse,

l'identification du référentiel servant de base à la certification,

http://www.marque-nf.com/



les modalités selon lesquelles le référentiel de certification peut être consulté ou obtenu." Par ailleurs, la mention des principales caractéristiques certifiées représente un avantage pour les clients et valorise la certification et son contenu. Ces dispositions de marquage tiennent compte de l’avis du CNC du 17 décembre 2007.

Les règles générales de la marque NF Les règles de marquage ci-après ont pour but de guider le titulaire dans le respect des exigences réglementaires, et des exigences de la certification NF. Des règles générales de la marque NF précisent les conditions d’usage, les conditions de validité et les modalités de sanction lors d’usage abusif.

4.3 Les modalités de marquage La présente partie décrit à la fois les modalités d'apposition du logo NF et le marquage des caractéristiques certifiées. On appelle "caractéristique certifiée" toute information dont le contenu est contrôlé dans le cadre de la marque NF.

4.3.1 Principes généraux Les caractéristiques du logotype NF sont définies dans la charte graphique téléchargeable sur le site Internet www.marque-nf.com :

le logotype NF doit être associé à la raison sociale du titulaire,

il est réservé aux seuls services définis dans le certificat sans qu’il existe un quelconque risque de confusion,

le titulaire utilise le logotype NF sur deux types de supports : les supports principaux (cf. 4.3.2) et les supports accessoires (cf. 4.3.3).

Les modalités de marquage sont conditionnées par le champ et le périmètre de la certification attribuée. Deux cas sont à distinguer : - Un SAE à vocation interne : Les modalités de marquage sont strictement limitées au périmètre interne du demandeur ou du groupe auquel appartient le demandeur. Toute publication ou marquage dans l’espace public est proscrit. Les modalités de marquage possibles sont celles présentées dans les chapitres ci-après §4.3.2 et §4.3.3 dans la mesure où le marquage est circonscrit au périmètre interne du demandeur ou du groupe auquel appartient le demandeur. - Un SAE à vocation commerciale ou pour le compte d’un tiers : Les modalités de marquage possibles sont celles présentées dans les chapitres ci-après §4.3.2, §4.3.3 et §4.3.4, sans restriction d’espace de communication.

4.3.2 Les modalités de marquage sur les supports principaux Sont considérés comme supports principaux :

le certificat qui doit être affiché chez le titulaire de façon visible et lisible,

les documents d'information que le titulaire peut mettre à disposition,

le site Internet du titulaire,




le support contractuel.

Le marquage sur les supports principaux doit contenir les caractéristiques certifiées suivantes :

conception et mise en œuvre du système d’archivage électronique

conservation d’archives électroniques, ou le cas échéant, conservation et numérisation d’archives électroniques,

Sur ces supports, le titulaire utilise un marquage complet intégrant les exigences de l'article R115-12 du Code de la Consommation (§ 4.1) tel que défini ci-dessous :

Périmètre : France

Système d’archivage électronique – Usage Interne ou Tiers archiveur

Cette marque prouve la conformité aux normes NF Z 42-013 et ISO 14641-1 et aux règles de certification NF 461 et garantit que la conception et la mise en œuvre du système d’archivage électronique, la conservation d’archives

électroniques sont contrôlés régulièrement par AFNOR Certification - 11, rue Francis de Pressensé - 93571 LA PLAINE SAINT DENIS CEDEX www.marque-nf.com

ou cette version (Dans le cas où le système comprend des dispositifs destinés à la numérisation de documents sous forme papier ou à la numérisation de microformes).

Système d’archivage électronique – Usage Interne ou Tiers archiveur

Cette marque prouve la conformité aux normes NF Z 42-013 et ISO 14641-1 et aux règles de certification NF 461 et garantit que la conception et la mise en œuvre du système d’archivage électronique, la conservation et la numérisation d’archives

électroniques sont contrôlés régulièrement par AFNOR Certification - 11, rue Francis de Pressensé - 93571 LA PLAINE SAINT DENIS CEDEX www.marque-nf.com





Périmètre : Europe et International

Information system for electronic information preservation - Internal use or Trusted third party

archival

This trademark implies that the information system for electronic information preservation and the electronic archiving services have been assessed and compliant with the requirements of ISO 14641-1 and NF 461 certification rules and

ensures that the design, the operation of the electronic information system for electronic information preservation, the preservation of electronic archive are regularly assessed by AFNOR Certification - 11, rue Francis de Pressensé - 93571

LA PLAINE SAINT DENIS CEDEX - FRANCE - www.marque-nf.com

Ou cette version (Dans le cas où le système comprend des dispositifs destinés à la numérisation de documents sous forme papier ou à la numérisation de microformes).

Information system for electronic information preservation - Internal use or Trusted third party

archival

This trademark implies that the information system for electronic information preservation and the electronic archiving services have been assessed and compliant with the requirements of ISO 14641-1 and NF 461 certification rules and

ensures that the design, the operation of the electronic information system for electronic information preservation, the archival capture and the preservation of electronic archive are regularly assessed by AFNOR Certification - 11, rue

Francis de Pressensé - 93571 LA PLAINE SAINT DENIS CEDEX - FRANCE - www.marque-nf.com

Toutes les informations figurant dans le cadre ci-dessus doivent être reprises sur les supports principaux.

4.3.3 Les supports accessoires Ce sont tous les autres types de supports sur lesquels le titulaire envisage de communiquer à savoir :

le papier à entête,

les factures,

les courriels,

les cartes de visites,

les supports publicitaires, etc….





Sur ces supports accessoires, doit figurer un marquage simplifié tel que défini ci-dessous : Le marquage est apposé à proximité de la raison sociale et des coordonnées du titulaire (adresse et/ou n° de téléphone) Périmètre : France

NF Z42-013 – ISO 14641-1

Système d’archivage électronique – Usage interne ou Tiers archiveur Délivré par AFNOR Certification – www.marque-nf.com


ISO 14641-1

Information system for electronic information preservation - Internal use or Trusted third party archival

Issued by AFNOR Certification – www.marque-nf.com

4.3.4 Cas de la publicité radio, Télévision … Pour la publicité télévisuelle, l'utilisation du seul logotype NF est autorisée.

Lorsqu'il est fait référence à la certification NF dans des messages radios ou téléphoniques (ex. : message d'attente répondeur), le titulaire devra porter à la connaissance du client l'intitulé de la marque et préciser, s'il y a lieu, l'activité certifiée.

Le demandeur doit préalablement soumettre à AFNOR Certification tous les éléments (story-board …) où il est fait état de la marque NF.



4.4 Exemples d'application du marquage 4.4.1 Marquage complet

Exemple du Papier en tête Périmètre : France

<Raison sociale de

l'entité>

Système d’archivage Electronique – Usage interne ou Tiers archiveur

Cette marque prouve la conformité aux normes NF Z 42-013 et ISO 14641-1 et aux règles de certification NF 461 et garantit

que la conception et la mise en œuvre du système d’Archivage Electronique, la conservation d’archives électroniques sont contrôlés régulièrement par AFNOR Certification - 11, rue

Francis de Pressensé - 93571 LA PLAINE SAINT DENIS CEDEX www.marque-nf.com





<Raison sociale de

l'entité>

Information system for electronic information preservation - Internal

use or Trusted third party archival

This trademark implies that the information system for electronic information preservation and the electronic

archiving services have been assessed and compliant with the requirements of ISO 14641-1 and NF 461 certification rules

and ensures that the design, the operation of the information system for electronic information system, the preservation of

electronic archiv are regularly assessed by AFNOR Certification - 11, rue Francis de Pressensé - 93571 LA PLAINE SAINT DENIS

CEDEX - FRANCE - www.marque-nf.com




4.4.2 Marquage simplifié

Exemple des enveloppes.

Périmètre : France


Information system for electronic information preservation - Internal use

or Trusted third party archival

Issued by AFNOR Certification – www.marque-nf.com

Système d’archivage électronique – Usage interne ou Tiers archiveur

Délivré par AFNOR Certification – www.marque-nf.com



PARTIE 5 FAIRE VIVRE LA CERTIFICATION : les modalités de surveillance __________________________________________________________________________________ Pendant toute la durée de la certification, le titulaire doit :

respecter les exigences définies et les modalités de marquage décrites dans la partie 2

mettre à jour son dossier de certification tel que prévu en partie 8

informer systématiquement AFNOR Certification de tout changement d'une des caractéristiques du SAE certifié, et/ou de son organisation susceptible d’avoir une incidence sur la certification.

Un suivi des produits et des services certifiés est exercé annuellement par AFNOR Certification dès l'attribution du droit d'usage de la marque NF.

5.1 Modalités de contrôles de surveillance La surveillance des produits et services certifiés NF comprend des examens, analyses ou essais sur les produits et/ou services et des audits des processus associés. Elle porte également sur le respect de l'utilisation de la marque et du logo sur les produits et/ou services, et tout support de communication. Les modalités de surveillance sont fonction :

des décisions prises suite aux contrôles précédents

des allégements éventuels définis au § 3.3.2. La présente partie peut prévoir des dispositions de contrôle allégé et de contrôle renforcé. Les contrôles effectués en surveillance annuelle ont pour objectif de :

s'assurer que les dispositions définies et mises en œuvre par le titulaire répondent aux exigences décrites dans les parties, 1 et 2 des présentes règles de certification,

contrôler les caractéristiques du SAE et des activités correspondantes. Pour la mise en œuvre du suivi, le titulaire doit adresser à AFNOR Certification la mise à jour de son dossier de certification (cf. partie 8 : § 8.2 - dossier de suivi)

Admission

0 Suivi année

1 Suivi année

2 Reconduction année

3

Type de contrôle Audit d’admission

Audit (§ 5.1.1)

Audit (§ 5.1.1)

Audit de reconduction

Organisation Partie 3 des règles de

certification Partie 5 des règles de certification

Partie 3 des règles de certification

Objet de l’audit NF Z42-013, GA Z42-019, ISO 14641-1 et règles de certification NF 461

5.1.1 Audit sur site

Cette visite est réalisée dans les conditions précisées dans le § 3.3.



Organisation de l‘audit AFNOR Certification désigne un ou plusieurs auditeur(s) afin de réaliser l’audit conformément au périmètre de certification déclaré dans le dossier de demande. De même qu'à l'admission, l'audit est réalisé sur la base des exigences fixées dans les présentes règles de certification et la norme NF Z42-013. L’auditeur s’assure également de l’application des règles générales de la marque NF. L'audit est réalisé entre 2 et 4 mois avant la date d'anniversaire du certificat. L'auditeur et le demandeur fixent la date d’audit, sur les différents sites concernés par la certification. Le programme d’audit est adressé au demandeur au moins 8 jours avant la date retenue.

Réalisation de l’audit Les contrôles mis en œuvre par l’auditeur sont réalisés avec les méthodes suivantes :

entretien avec le personnel.

contrôle visuel.

examen des indicateurs de performance.

examen documentaire.

contrôle des fonctionnalités du SAE.

mise en œuvre d’un jeu de tests (cf. annexe 1).

mise en place de contrôles techniques spécifiques si nécessaires. S’il le juge utile pour réaliser sa mission, le ou les auditeur(s) peu(ven)t compléter les critères de contrôle.

Le demandeur facilite la mission de l'auditeur en lui donnant accès aux locaux, équipements, installations, documentations et en mettant à sa disposition les personnes compétentes. Lors de la réunion de clôture, le ou les auditeur(s) présente(nt) ses conclusions au demandeur et formule par écrit les écarts éventuels relevés au cours de l’audit. Une fiche de fin d’audit est laissée au demandeur à l’issue de la réunion. Un rapport d’audit est établi, adressé au demandeur et intègre les éventuels écarts aux présentes règles de certification.

Si le dispositif de maîtrise et de contrôle des sous-traitants mis en œuvre par le demandeur est considéré comme incomplet, AFNOR Certification, peut déclencher en complément, un ou des audit(s) d’une durée d’1 jour sur site par sous-traitant chez le ou les sous-traitant(s) concerné(s) répondant à la définition du chapitre §1.5.2.

Durée de l'audit L'audit se décompose en deux parties :

la préparation de la visite sur site, la rédaction du rapport d'audit et l’analyse des réponses aux écarts.

les visites sur site (analyse documentaire, interview, …) dont les durées sont fixées à partir du dossier de demande de modification selon les règles décrites et les durées minimales précisées ci-après, sont composées de :

o une étape 1, durant laquelle le SAE est présenté à l’auditeur. o une étape 2, durant laquelle le ou les auditeurs prennent connaissance de la documentation

relative au SAE. o une étape 3, durant laquelle le ou les auditeurs contrôlent la mise en application des présentes

règles.

Dans le cas où le système comprend des dispositifs destinés à la numérisation de documents sous forme papier ou à la numérisation de microformes, 0,5 jour supplémentaire pour le site échantillonné est ajouté aux durées minimales précisées ci-après.



Demandeur type n°1 : un SAE interne pour son propre compte (cf. § 1.3)

Durée d’audit (visites sur site)

Durée de préparation/rapport


- 0,5 jour 0,5 jour

Demandeur type n°2 : Prestataire d’archivage électronique pour le compte de tiers

Durée d’audit

(visites sur site) Durée de

préparation/rapport


- 0,5 jour 0,5 jour

Nota :

Les durées d’audit seront déterminées au cas par cas (notamment s’il y a plusieurs SAE distincts dans le périmètre).

5.1.2 Vérifications suite à litiges, réclamations, contestations, etc. AFNOR Certification se réserve le droit d’effectuer ou de faire effectuer toute vérification qu'il estime nécessaire suite à litiges, réclamations, contestations, etc., dont il aurait connaissance et relatifs à l'usage de la marque NF.

5.2 Evaluation et décision Les modalités d’évaluation sont identiques à celles de l’admission décrites en partie 3 (chapitre 3.4). En fonction des résultats de l’ensemble des vérifications, AFNOR Certification peut décider :

de maintenir le droit d’usage de la marque NF,

de prononcer une décision de retrait ou de suspension du droit d’usage conformément à l'article 10 des règles générales de la marque NF.

Toute suspension et tout retrait du droit d'usage de la marque NF entraînent l'interdiction d'utiliser la marque NF et d'y faire référence. Le titulaire peut contester la décision prise en adressant une demande conformément à l’article 11 des règles générales de la marque NF.



5.3 Déclaration des modifications

Ce chapitre précise les informations à fournir et les démarches à suivre dans les cas de modifications. Selon le type de modification concernée, des contrôles supplémentaires peuvent être nécessaires. Le tableau ci-dessous liste par type de modifications les actions respectives du titulaire et d'AFNOR Certification.

Type de modifications Actions du titulaire Actions d'AFNOR Certification

Toute modification juridique de sa société ou tout changement de raison sociale. En cas de fusion, liquidation ou absorption du titulaire, tous les droits d'usage de la marque dont il pourrait bénéficier cessent de plein droit.

informer AFNOR Certification

mettre à jour le dossier de demande (cf. Partie 8 - § 8.1)

fournir une nouvelle lettre de demande de droit d'usage

mettre à jour le dossier de certification

émettre un certificat sous la nouvelle raison sociale

Changement du responsable de projet de certification



mettre à jour le dossier de certification

Perte de la certification ISO 9001 / 27001 / NF Logiciel Le cas échéant



instruire la demande de modification du dossier

audit du demandeur dans les 3 mois

si l'audit est satisfaisant, émission d'un nouveau certificat

Abandon de la certification ISO 9001 / 27001 ou NF Logiciel Le cas échéant



instruire la demande de modification du dossier

Toute modification majeure sur le SAE susceptible d'avoir une incidence sur sa conformité aux exigences des présentes Règles



instruire de la demande de modification du dossier

audit du demandeur dans les 6 mois

si l'audit est satisfaisant, émission d'un nouveau certificat

Autres modifications Dans les cas non prévus dans le tableau précédent, AFNOR Certification détermine, sur la base des documents transmis par le titulaire, si les modifications remettent en cause la certification et s'il y a lieu de procéder à un contrôle supplémentaire. En fonction des résultats de l'instruction, AFNOR Certification prend l'une des deux décisions suivantes :

maintien du droit d'usage

refus du droit d'usage

suspension du droit d’usage

avertissement



5.4 Conditions d’arrêt de marquage ou de démarquage en cas de suspension, de retrait, ou d'abandon Tout titulaire dont le Système d’Archivage Electronique et les activités correspondantes font l’objet d’une suspension, d’un retrait ou d’un abandon de certification doit arrêter, après la saisine officielle d’AFNOR Certification, toute communication sur la certification et se doit de retirer tout marquage mentionnant celle-ci. Tout retrait de marquage ou démarquage engage des opérations sans délai de retrait de logos, de suppression de mentions de certification sur tout support, de destruction de documents faisant état de la certification, … Le titulaire doit s’engager par écrit auprès d’AFNOR Certification de la réalisation des opérations de démarquage.



PARTIE 6

LES INTERVENANTS __________________________________________________________________________________

6.1 AFNOR Certification L'Association Française de Normalisation est propriétaire de la marque NF et a concédé à sa société filiale AFNOR Certification une licence d'exploitation de cette marque. A ce titre, AFNOR Certification assure la responsabilité de l'application des présentes règles de certification et de toute décision prise dans le cadre de celles-ci. Les coordonnées sont :

AFNOR Certification 11, rue Francis de Pressensé

93571 La Plaine Saint-Denis Cedex Un Comité de la marque NF traite toute question d'ordre général intéressant la marque NF et donne son avis sur les divers points prévus dans les Règles Générales de la marque NF. AFNOR Certification veille auprès de tous les intervenants à ce que leur mission soit correctement remplie au regard du rôle et des attributions ci-après définies de chacun d'eux.

Les intervenants dans le fonctionnement sont :

la Direction d'AFNOR Certification : elle approuve les présentes règles de certification et a le pouvoir de prendre toute décision et toute sanction liée à l’application desdites règles de certification.

l’ingénieur certification : il est responsable de l’application des présentes règles de certification et de leur évolution (notamment par leur révision), de l’évaluation des résultats des contrôles ainsi que de la commercialisation de la prestation de certification.

le technicien en certification : il est chargé de l'instruction des demandes de certification, de la planification des contrôles et du suivi des dossiers clients.

l’auditeur : il a pour mission de vérifier sur site le respect effectif des exigences définies dans les règles de certification.

6.2 COMITE PARTICULIER

AFNOR Certification met en place un comité spécifique pour cette certification appelé Comité particulier dans lequel tous les intérêts sont représentés.. Il a pour missions :

de contribuer au développement de la marque NF,

de valider les règles de certification et leurs évolutions,

de donner son avis sur les dossiers présentant des difficultés d’interprétation à AFNOR Certification ou faisant l’objet d’une contestation,

de donner son avis sur les projets d’actions de communication ou de promotion relatives à l’application NF.



Les avis du Comité particulier sont établis par consensus.

Les membres de ce comité s'engagent formellement à garder la confidentialité des informations - notamment à caractère individuel - qui lui sont communiquées. L'ingénieur certification est tenu de prendre les dispositions particulières permettant d'assurer la confidentialité des dossiers de demandeur ou de titulaire présentés au sein du comité (sauf pour les cas de contestation). Principes de fonctionnement du Comité particulier :

la durée du mandat des membres est de trois ans, renouvelée par tacite reconduction.

le Comité particulier se réunit une à deux fois par an et aussi souvent que nécessaire. Composition du Comité particulier NF appliquée au Système d’Archivage Electronique :

1 Président (choisi parmi les membres d’un collège)

1 Vice-président (AFNOR Certification) COLLEGE ORGANISMES PROFESSIONNELS (organisations professionnelles, …) 3 à 5 représentants COLLEGE CLIENTS (représentants de clients d’organismes certifiés) / DONNEURS D’ORDRE 3 à 5 représentants COLLEGE EXPERTS / ADMINISTRATIONS 3 à 5 représentants



PARTIE 7

LES PRESTATIONS DE CERTIFICATION __________________________________________________________________________________ La présente partie a pour objet de définir les prestations afférentes à la certification NF et de décrire les modalités de recouvrement.

La certification NF comprend les prestations suivantes :

instruction de la demande

fonctionnement de l’application de certification

visite d’audit

droit d'usage de la marque NF

contrôles supplémentaires

promotion

7.1 Prestations afférentes à la certification NF

Nature de la prestation Définition de la prestation Conditions générales communes aux marques NF

Instruction de la demande

Prestation comprenant l'examen des dossiers de demande, les relations avec les demandeurs, les auditeurs, l'évaluation des résultats de contrôles

Le versement du montant de ces prestations reste acquis même au cas où le droit d'usage de la marque NF ne serait pas accordé ou au cas où la demande serait abandonnée en cours d'instruction.

Fonctionnement de l’application de certification

Prestations de gestion des dossiers des produits et/ou services certifiés et des titulaires, d'établissement des listes de produits certifiés, d'évaluation des résultats de contrôles

Visite d’audit Prestations comprenant la préparation de la visite, la visite elle-même ainsi que le rapport de visite. A ces prestations s'ajoutent les frais de déplacement sauf si forfaitisés

Le versement de ces prestations reste acquis même au cas où le droit d'usage de la marque NF ne serait pas accordé ou reconduit.

Droit d’usage de la marque NF Ce droit d'usage versé à AFNOR Certification contribue : * à la défense de la marque NF : dépôt et protection de la marque, conseil juridique, traitement des recours, prestations de justice * à la contribution à la promotion générique de la marque NF * au fonctionnement général de la marque NF (systèmes qualité, suivi des organismes du réseau NF, gestion du comité certification)

Droit d'usage annuel de la marque NF facturé au titulaire après certification d'un produit Lorsque la marque NF est accordée en cours d’année, le montant du droit d'usage est calculé au prorata des mois suivants la décision d'accord du droit d'usage.



Nature de la prestation Définition de la prestation Conditions générales communes aux marques NF

Contrôles supplémentaires Prestations entraînées par les contrôles supplémentaires ou essais de vérification qui peuvent s'avérer nécessaires à la suite d'insuffisances ou anomalies décelées par les contrôles courants

Prestations à la charge du demandeur/titulaire

Promotion Actions de promotion sectorielle de la marque NF

Redevance dont le montant peut être défini chaque année et facturé en sus des autres prestations

7.2 Recouvrement des prestations Les prestations définies ci-dessus sont facturées par AFNOR Certification au demandeur / titulaire. AFNOR Certification est habilité à recouvrer l'ensemble des prestations. Les prestations d'essais ou de tests, sont en règle générale directement facturées par le(s) laboratoire(s). Le demandeur ou le titulaire doit s'acquitter de ces prestations dans les conditions prescrites : toute défaillance de la part du titulaire fait en effet obstacle à l'exercice par AFNOR Certification des responsabilités de contrôle et d'intervention qui lui incombent au titre des présentes règles (référentiel) de certification.



PARTIE 8

LES DOSSIERS DE CERTIFICATION __________________________________________________________________________________

L'objet de cette partie est de faciliter au demandeur de la certification NF, la constitution de son dossier en lui donnant tous les renseignements nécessaires à l'établissement et à la mise à jour de son dossier de demande de certification. Il existe trois types de dossiers :

dossier d'admission : il émane d'une entité n'ayant pas de droit d'usage de la marque NF (cf. parties 1 à 3 du présent document)

dossier de suivi : il émane d'un titulaire et concerne la mise à jour des éléments de son dossier d'admission afin d'assurer la mise en œuvre des contrôles de suivi (cf. partie 5 du présent document)

dossier de modification : il émane d'un titulaire et concerne un maintien de sa certification (cf. partie 5 du présent document)

8.1 DOSSIER D'ADMISSION Le dossier de demande de certification doit être adressé à AFNOR Certification et doit contenir les éléments décrits ci-dessous.

Intitulé du document Désignation

Formule de demande de certification LETTRE TYPE 1

Fiche de renseignement FICHE 1

Dossier technique d’admission FICHE 2

Matrice NF Z42-013 FICHE 3

Information sur les modalités de mise en œuvre de la certification NF FICHE 4



LETTRE-TYPE 1

FORMULE DE DEMANDE DE CERTIFICATION

A établir sur papier à en-tête du demandeur

Monsieur la Directrice Générale AFNOR Certification 11 rue Francis Pressensé 93571 Saint Denis La Plaine

Objet : Demande de Certification NF 461 – Système d’Archivage Electronique Monsieur la Directrice Générale,

J'ai l'honneur de demander le droit d'usage de la marque NF pour le Système d’Archivage Electronique et les activités d’archivage électronique correspondantes exercée par :

identification du demandeur,

raison sociale,

adresse du site principal,

champ d’activité : tiers archiveur ou usage interne

activités de numérisation ou non A cet effet, je déclare connaître et accepter les Règles Générales de la marque NF, les règles de certification NF 461 – Système d’Archivage Electronique et m'engage à les respecter pendant toute la durée d'usage de la marque NF. J’atteste que mon entreprise respecte les exigences réglementaires qui lui incombe. Je m’engage à :

ne pas utiliser la marque NF avant obtention du droit d’usage

recevoir un auditeur désigné par AFNOR Certification et chargé d’instruire mon dossier et à lui faciliter l’exécution de sa mission en l’autorisant à :

o intervenir dans nos locaux o inspecter les moyens dont je dispose o interroger librement le personnel ayant un rôle dans le respect des présentes règles de certification.

informer systématiquement AFNOR Certification de toute modification d’organisation, du Système d’Archivage Electronique, ayant une incidence directe ou indirecte sur la certification.

Je déclare avoir le pouvoir de formuler cette demande. Je vous prie de bien vouloir agréer, Monsieur la Directrice Générale, l'expression de ma considération distinguée.

Date Nom et signature du représentant légal du demandeur



FICHE 1

FICHE DE RENSEIGNEMENT

A compléter par le demandeur ETABLISSEMENT PRINCIPAL (siège social ou non):

Raison sociale :

Dénomination(s) commerciale(s) :

Statut juridique :

Date de création :

Code NAF :

Représentant légal (nom et qualité) :

Responsable du projet certification (si différent : nom, tél.) :

Appartenance à un syndicat ou organisation professionnelle, si oui le(la) citer :

Coordonnées : adresse, n° de téléphone, fax, site internet

Nature de l’activité de l’établissement principal :

SIEGE SOCIAL (si siège social différent de l’établissement principal)

Coordonnées : adresse, n° de téléphone, fax, site internet

Nature de l’activité du siège social :

SITE DE SECOURS

Coordonnées : adresse, n° de téléphone, fax,

Interlocuteur :

MOYENS HUMAINS : Nombre total de salariés concernés par le SAE: Répartition selon leurs activités principales : management, conception, exploitation, maintenance,…

SOUS-TRAITANCE : Nature des prestations sous-traitées : Nom et coordonnées de chaque sous-traitant : Contrat entre le prestataire et le sous-traitant

MOYENS : Présentation des matériels utilisés Présentation de l’OS, des applicatifs utilisés

AUTRES SERVICES PROPOSES (non couverts par la présente demande de certification) A préciser



FICHE 2

COMPOSITION DU DOSSIER TECHNIQUE D’ADMISSION

A adresser avec la demande

DOCUMENTS REGLEMENTAIRES : KBIS Déclaration d’activité ou autorisation préfectorale DOCUMENTS CONTRACTUELS ET/OU COMMERCIAUX : Plaquette commerciale Modèle d’offre commerciale Modèles de contrat ou de convention

DOCUMENTS D’ACTIVITES ET D’ORGANISATION : Un organigramme Le Dossier de Description Technique du Système (DDTS) La liste des formats gérés par le SAE Un exemplaire de l’enquête satisfaction client Un rapport d’autoévaluation Le plan des actions correctives DOCUMENTS D’INFORMATION GENERALE: Preuves de certification, autres (certificat ISO 9001, …)

DOCUMENTS DE GESTION Attestations d’assurance (cf. §13)



FICHE 3

MATRICE NF Z42-013


NF Z42-013 Intitulé du ou des documents associés

Chapitre 5 :

5.1

5.2

5.3

5.4

5.5

5.6

5.7

5.8

Chapitre 6 :

Chapitre 7 :

7.1

7.2

7.3

Chapitre 8 :

Chapitre 9 :

Chapitre 10 :

10.1

10.2

10.4

10.5

§10.2 - Dans le cas où la numérisation des archives papier ou microformes est réalisée

§ 10.3 – Dans le cas où le traitement des archives sonores et audiovisuelles est réalisé

Chapitre 11 :

11.1

11.2

11.3

Chapitre 12 :

12.1

12.2

12.3

Chapitre 13 :

13.1

13.2

Dans le cas d’un SAE est mis en œuvre pour le compte de tiers

Chapitre 14 :

14.1

14.2

14.3

Dans le cas où il est fait appel à de la sous-traitance



FICHE 4

INFORMATIONS SUR LES MODALITES DE MISE EN ŒUVRE DE LA CERTIFICATION NF


Avez-vous fait appel à un organisme extérieur de conseil ?

Oui Non Si oui, indiquer le ou les noms de ces organismes et les prestations assurées par ces organismes :

Type de prestation Date Organisme concerné

Pré-audit

Formation (préciser)

Conseil/accompagnement

Autres (préciser)

Date et signature du demandeur :



8.2 DOSSIER DE SUIVI ET/OU DE MODIFICATION

Documents à fournir pour les audits

Intitulé du document Règle de mise à jour Désignation

Formule de demande de modification A chaque modification Lettre type 2

Fiche de renseignement A chaque modification FICHE 1

Dossier technique composé de : - documents réglementaires - documents contractuels et/ou commerciaux - documents d'organisation - documents d'information générale - documents de gestion (attestation d’assurance)

A chaque modification A chaque modification A chaque modification

Pour l’auditeur Annuelle

FICHE 2

Matrice NF Z42-013 Pour l’auditeur FICHE 3

Information sur les modalités de mise en œuvre de la certification NF

En cas d’extension FICHE 4

8.3 DOSSIER DE RECONDUCTION

Documents à fournir pour les audits

Intitulé du document Règle de mise à jour Désignation

Fiche de renseignement A chaque reconduction FICHE 1

Dossier technique composé de : - documents réglementaires - documents contractuels et/ou commerciaux - documents d'organisation - documents d'information générale - documents de gestion (attestation d’assurance)

A chaque reconduction A chaque reconduction A chaque reconduction

Pour l’auditeur Annuelle

FICHE 2

Matrice NF Z42-013 Pour l’auditeur FICHE 3

Information sur les modalités de mise en œuvre de la certification NF

En cas d’extension FICHE 4



LETTRE-TYPE 2

FORMULE DE DEMANDE DE MODIFICATION

A établir sur papier à en-tête du demandeur

Monsieur la Directrice Générale AFNOR Certification 11 rue Francis Pressensé 93571 Saint Denis La Plaine

Objet : Demande de Modification NF 461 – Système d’Archivage Electronique Monsieur la Directrice Générale, En tant que titulaire de la marque NF pour la certification NF 461, sous le numéro de certificat xxxxxxx, j’ai l'honneur de demander la modification des termes de mon certificat suite à :

modifications juridiques : (préciser acquisition, fusion, changement de représentant légal,…..)

modifications commerciales : (préciser changement ou ajout de dénomination(s) ou de marque(s),….).

extension du champ

extension du périmètre

autres : A cet effet, je déclare connaître et accepter les Règles générales de la marque NF, les Règles de Certification NF 461 et m'engage à les respecter pendant toute la durée d'usage de la marque NF. Je déclare avoir le pouvoir de formuler cette demande. Je vous prie de bien vouloir agréer, Monsieur la Directrice Générale, l'expression de ma considération distinguée.

Date Nom et signature du représentant légal

du demandeur



PARTIE 9 LEXIQUE ____________________________________________________________________________ 9.1 Définitions relatives à la profession

__________________________________________________________________ Cf. NF Z42-013 : Mars 2009 - Spécifications relatives à la conception et à l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés dans ces systèmes.

9.2 Définitions relatives à la certification

__________________________________________________________________ Accord du droit d'usage de la marque NF:

Autorisation donnée par AFNOR Certification à un demandeur d'apposer la marque NF. Cet accord est matérialisé par un certificat (ou décision de certification). Actions correctives :

Action visant à éliminer la cause d'une non-conformité ou d'une autre situation indésirable détectée (§ 3.6.5 – norme NF EN ISO 9000 : 2005). Audit :

Processus méthodique, indépendant et documenté permettant d'obtenir des preuves d'audit et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit sont satisfaits (§ 3.9.1 – norme NF EN ISO 9000 : 2005). Avertissement :

Décision prise par AFNOR Certification par laquelle le titulaire est invité à corriger les défauts constatés dans un délai donné. Demande :

Lettre par laquelle un demandeur sollicite le droit d'usage de la marque NF, déclare connaître et s'engage à respecter les présentes règles de certification dans leur totalité. Demandeur :

Entité juridique demandant une certification NF et qui s'engage sur la maîtrise de la conformité de son SAE aux présentes règles de certification. Document (qualité) :

Support d’information ainsi que l’information qu’il contient (§ 3.7.2 – norme NF EN ISO 9000 : 2005). Il peut être élaboré par le demandeur ou fourni par un tiers. Droit d'usage de la Marque NF :



Droit accordé par AFNOR Certification à un organisme d'utiliser la marque NF pour ses produits conformément aux Règles générales de la marque NF et aux Règles de certification. Enregistrement (qualité) :

Document faisant état de résultats obtenus ou apportant la preuve de la réalisation d’une activité (§ 3.7.6 – norme NF EN ISO 9000 : 2005). Extension :

Décision prise par AFNOR Certification par laquelle le droit d'usage de la marque NF est étendu à une nouvelle activité ou un nouveau site.

Indicateur qualité (indicateurs de performance) :

Information choisie, associée à un critère / phénomène, destinée à en observer les évolutions à intervalles définis . Il s'agit donc d'une donnée quantifiée qui permet d’apprécier la réalisation d’une activité. Méthode de mesure :

Procédé permettant d’évaluer la réalisation d’une spécification ou de déterminer la valeur prise par un indicateur de performance. Mode de preuve :

Façon de démontrer de manière objective et fiable à un organisme certificateur (AFNOR Certification) qu’une exigence est bien satisfaite. Note : l’enregistrement, l’existence effective de moyens matériels, le témoignage de membres du personnel sont des modes de preuve

Processus :

Ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de sortie (§ 3.4.1 – norme NF EN ISO 9000 : 2005). Recevabilité :

État d'un dossier qui permet de procéder à l'instruction de la demande ; la recevabilité porte sur les parties administrative et technique du dossier. Reconduction :

Décision par laquelle le titulaire se voit renouveler le droit d'usage de la marque NF pour une période de 3 ans. Retrait

Décision prise par AFNOR Certification qui annule le droit d'usage de la marque NF. Le retrait peut être prononcé à titre de sanction ou en cas d'abandon du droit d'usage par le titulaire. Site (appelé également établissement) :

Lieu ou entité (par exemple association, établissement, filiale, agence, antennes …) en relation directe avec le demandeur, placé sous le contrôle "qualité" du demandeur, exerçant totalement ou partiellement l'activité. Suspension :

Décision prise par AFNOR Certification qui annule provisoirement et pour une durée déterminée l'autorisation de droit d'usage de la marque NF. La suspension peut être prononcée à titre de sanction ou en cas d'abandon provisoire par le titulaire.



Titulaire :

Entité juridique qui bénéficie du certificat et du droit d'usage de la marque NF.



Annexe 1 : Mise en œuvre de jeu de tests Périmètre du test Pour réaliser les tests techniques demandés dans le cadre de l’audit, des éléments doivent être pris en compte au préalable dans la documentation du SAE :

formats admis par le SAE.

stratégie(s) de vérification des formats de fichiers lors du dépôt.

support(s) de stockage mis en œuvre dans le SAE.

conversion de format. L’auditeur doit s’appuyer sur un environnement de recette ou un espace dédié aux tests afin de ne pas interagir avec des données d’exploitation. De plus, les paramètres du SAE doivent permettre de contrôler son bon fonctionnement sur la durée de l’audit. La documentation et un accompagnateur doivent permettre à l’auditeur de réaliser ces tests.

Formats et fichiers inclus dans le jeu de tests Pour vous aider à valider les fonctions du SAE, un certain nombre de documents sont fournis dans le jeu de tests.

documents pour les tests si le SAE accepte les documents dans des formats PDF/A : o document PDF/A valide o document PDF/A non valide

documents pour les tests si le SAE accepte les documents dans des formats PDF non /A : o document PDF valide o document PDF non valide

documents pour les tests si le SAE accepte des documents balisés : o fichier XML conforme au format de description qui l’accompagne. o fichier XML non conforme au format de description qui l’accompagne.

documents pour les tests si le SAE accepte des documents structurés : o fichier EDI conforme avec sa structure qui l’accompagne o fichier EDI non conforme avec sa structure qui l’accompagne

documents pour les tests si le SAE accepte des documents images : o fichier image JPG-JFIF o fichier image JPG-JFIF non valide o fichier image TIFF (multi page, avec une compression standard) o fichier image TIFF non valide

documents pour les tests si le SAE possède un dispositif de numérisation o lots de documents : comportant texte, images, … o mire noir et blanc



Outils mis à disposition de l’auditeur Les outils suivants sont fournis à l’auditeur pour lui permettre d’effectuer ces tests :

viewer PDF

navigateur internet

document étalon et empreintes associées

Scénarios de tests

Initialisation et connexion N° Chapitre de

la norme Cas de tests Conditions

éventuelles Tests à réaliser

I010 7 Tentative de connexion frauduleuse au SAE, puis connexion effective.

Vérifier que l’utilisateur avec un mauvais login / mot de passe ne peut pas se connecter. Se connecter avec un utilisateur valide. Vérifier le journal des évènements, il doit contenir les traces liées aux échecs et aux connexions réussies.

I011 7.1 Cas des supports amovibles Vérification des journaux

Vérifier la présence d’un fichier d’initialisation des media. Vérifier la présence d’attestation d’ouverture des journaux et de chainage des journaux (le journal doit contenir une trace le liant au journal précédent).

Dépôt de document

N° Chapitre de la norme

Cas de tests Conditions éventuelles

Tests à réaliser

D010 Chap 8 Chap 9

Dépôt de document PDF

Le SAE accepte des PDFs

Existence d’une attestation de dépôt dans le journal de cycle de vie des archives. Les éléments obligatoires a minima sont vérifiés :

- la date de versement

- L’identifiant unique de l’archive

- L’empreinte du document numérique si le support de stockage n’est pas de type WORM physique

- L’adresse logique de stockage

- Le service versant

- Le service d’archivage. L’auditeur vérifie la valeur empreinte du document étalon

D011 Chap 7 Vérification des média amovible

Le SAE utilise des média amovibles

Le média amovible comportant le document est fourni à l’auditeur sur un poste permettant sa consultation. L’auditeur vérifie la présence et le contenu des documents sur le média.



D012 Chap 10 Dépôt de document PDF valide

Le SAE effectue un contrôle du format PDF

Dépôt d’un document au format PDF valide. Le SAE vérifie le document PDF et l’accepte. Il existe une attestation de dépôt du document PDF bien formé et une trace dans le journal du cycle de vie des archives

D013 Chap 10 Dépôt de document PDF non valide

Le SAE effectue un contrôle du format PDF

Dépôt d’un document au format PDF non valide. Le SAE signale la non-conformité du fichier. Elle est enregistrée dans le journal des évènements ou dans le journal de cycle de vie.

D014 Chap 10 Dépôt de document PDF/A non valide

Le SAE effectue un contrôle du format PDF/A

Dépôt d’un document au format PDF/A non valide. Le SAE signale la non-conformité du fichier. Elle est enregistrée dans le journal des évènements ou dans le journal de cycle de vie.

D015 Chap 10 Dépôt de document XML bien formé sans schéma

Le SAE accepte des documents XML

Dépôt d’un document au format xml bien formé. Le SAE vérifie le document xml et l’accepte. Il existe une attestation de dépôt du document xml bien formé et une trace dans le journal du cycle de vie des archives

D016 Chap 10 Dépôt de document XML mal formé


Dépôt d’un document au format xml mal formé. Le SAE signale la non-conformité du fichier. Elle est enregistrée dans le journal des évènements ou dans le journal de cycle de vie.

D017 Chap 10 Dépôt de document XML valide


Dépôt d’un document au format xml valide. Le SAE vérifie le document xml et l’accepte. Il existe une attestation de dépôt du document xml valide et une trace dans le journal du cycle de vie des archives

D018 Chap 10 Dépôt de document XML non valide


Dépôt d’un document au format xml non valide. Le SAE signale la non-conformité du fichier. Elle est enregistrée dans le journal des évènements ou dans le journal de cycle de vie.

D019 Chap 10 Dépôt de document EDI valide

Le SAE accepte des documents EDI

Dépôt d’un document au format edi valide. Le SAE vérifie le document edi et l’accepte. Il existe une attestation de dépôt du document edi valide et une trace dans le journal du cycle de vie des archives

D020 Chap 10 Dépôt de document EDI non valide

Le SAE accepte des documents EDI

Dépôt d’un document au format edi non valide. Le SAE signale la non-conformité du fichier. Elle est enregistrée dans le journal des évènements ou dans le journal de cycle de vie.

D021 Chap 10 Dépôt d’images valides

Le SAE accepte des images JPG-JFIF

Dépôt d’un document au format jpg-jfif valide. Le SAE vérifie le document jpg-jfif et l’accepte. Il existe une attestation de dépôt du document jpg-jfif valide et une trace dans le journal du



cycle de vie des archives

D022 Chap 10 Dépôt d’images valides

Le SAE accepte des images TIFF

Il existe une attestation de dépôt du document tiff et une trace dans le journal du cycle de vie des archives

D023 Chap 10 Dépôt d’images non valides

Le SAE accepte des images JPG-JFIF

Dépôt d’un document au format jpg-jfif non valide. Le SAE signale la non-conformité du fichier. Elle est enregistrée dans le journal des évènements ou dans le journal de cycle de vie.

D024 Chap 10.2 Dépôt d’image numérisée

Le SAE permet la capture de document numérisé.

Dépôt d’un document au format tiff non valide. Le SAE signale la non-conformité du fichier. Elle est enregistrée dans le journal des évènements ou dans le journal de cycle de vie.

D025 Chap 10.2 Numérisation d’une mire normalisée

Le SAE permet la capture de document numérisé.

Numérisation de la mire Couleur et de la mire Noir et blanc Analyse de l’image obtenue et constater les différences

D026 Chap 10.2 Numérisation Le SAE permet la capture de document numérisé.

Numérisation du jeu de test Contrôle visuel du document numérisé a minima (Cf.10.2.2) Vérification de la présence et de l’exactitude des données des index techniques.

D027 Chap 10 Vérification de la copie des archives

Le SAE doit déposer les documents sur des sites de stockage différents. L’auditeur vérifie la présence des documents concernés sur les différents sites. Il compare les empreintes des deux copies des documents, pour s’assurer qu’il s’agisse bien des documents déposés.

D028 Conversion d’un document

Le SAE procède à des conversions de format (image vers PDF/A par exemple…)

Conversion d’un pdf test vers un pdf/A La conversion doit être intégralement tracée dans le journal de cycle de vie des archives en comportant les empreintes sources et empreintes cibles.

D029 10.1.7 Métadonnée Les métadonnées associées au document doivent être disponibles : - l’identité de l’organisme qui procède au transfert des documents à archiver ; - l’identité du service d’archivage qui reçoit les documents à archiver ; - la date et l'heure de création ou d'arrivée du lot d’archives transféré ; - la méthode de conversion éventuellement appliquée au document d'origine lorsque le format d’origine du document n’est pas un des formats prévus; - le format des documents archivés;



- la durée de conservation et le sort final des documents archivé ; - les droits d’accès associés aux documents archivé ;

Consultation, communication



Eléments à vérifier

C010 11.1 Consultation de document PDF/A et PDF

Le SAE accepte des PDF et des PDF/A

Le document est communiqué à l’auditeur. Soit Il s’affiche à l’auditeur au travers du logiciel, soit ce dernier utilise un viewer PDF pour consulter le document. il est identique au document qui a été déposé au niveau de son contenu. Le fichier est identique (taille, empreinte, … ) au document d’origine.

C011 11.1.2 Consultation de document XML


Le document xml est communiqué. L’empreinte du fichier est identique à celle du document d’origine.

C012 11.1.1 Consultation d’image

Le SAE accepte des documents JPG-JFIF

Le document jpg-jfif est communiqué. L’empreinte du fichier est identique à celle du document d’origine.

C013 10.2 Consultation de document issu de la numérisation

Le SAE accepte des documents numérisés.

Le document restitué correspond au document numérisé. Il est fidèle au document d’origine.

C014 10.1.8 Fonction de recherche

La fonction de recherche doit permettre de retrouver les documents du jeu de test sur la base des métadonnées associées. Les documents retournés par la recherche doivent pouvoir être consultés (soit directement dans le logiciel, soit en réceptionnant une copie visualisée sur le poste de l’auditeur).

C015 11.1 Attestation de copie

La fonction de communication doit permettre de fournir une attestation de copie comportant au minimum des éléments de preuve suivants :

- Identification du demandeur

- Emetteur de l’attestation

- Métadonnées permettant d’identifier le(s)

document(s) consulté(s)

- Enregistrement des traces du journal de cycle

de vie des archives



Destruction / restitution



Eléments à vérifier

DR010 11.2 Tentative de destruction d’un document dont la date de fin de dépôt n’est pas atteinte.

Le SAE doit refuser la destruction avec le profil utilisé par l’auditeur.

DR011 11.2 Modification de la durée de conservation d’un document

Le SAE (ou la politique d’archivage) accepte de modifier la durée de conservation

La réalisation de ce test nécessite le recours à un profil dédié. La durée de conservation de l’archive est modifiée. Le journal du cycle de vie des archives enregistre la modification de la durée de conservation.

DR012 11.3 Destruction d’un document.

L’auditeur reçoit une demande d’accord de destruction du document versé. L’auditeur vérifie les attestations de destruction sur l’ensemble des copies de l’archive. Il vérifie que les médias ne comportent plus le document.

DR013 11.2 Restitution Le SAE restitue les archives selon le formalisme décrit dans le DDTS. A l’issue de la restitution, les documents sont bien détruits. Le journal du cycle de vie des archives enregistre la restitution. Il existe une attestation de restitution du document.