9h05 fntc couderc_dessolin_baumann

Gestion des documents d’activité électroniquesPrincipes, Exigences, Valeur probante

Sylvie Dessolin-BaumannDirectrice du Centre National d’Archives de la Formation Professionnelle (AFPA )

Représentant l’AAF et Présidente de la Commission AFNOR CN46-11

Bruno Couderc Administrateur

Fédération des Tiers de Confiance

Rappel : Documents d’activité / Records

Documents d'activité (ISO 30300: 2011) :Informations créées, reçues et préservées comme preuve et actif par une

personne physique ou morale dans l’exercice de ses obligations légales ou la conduite de son activité.

« Documents d’activité » et GDA « gestion des documents d’activité » (ISO 15489:2002, ISO 30300:2011) incluent les documents numériques natifs issus des processus métiers (applications métiers, bases de données, bureautique,

mails…) ainsi que les documents nativement papier ou imprimés des processus hybrides, dématérialisés (numérisés)

3

Champ de l’organisation et de la gestion en charge d’un contrôle efficace et systématique de la création, de la réception, de la conservation, de l’utilisation et du sort final des documents d’activité, y compris des processus de capture et de préservation de la preuve et de l’information liées aux activités et aux opérations sous la forme de documents d’activité. (ISO30300 , 2011)

[Adapté de l’ISO 15489-1:2001, définition 3.16]

Comment ? La gestion des documents d’activité

Caractéristiques du document d’activitéSelon ISO 15489:2001

4 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France

Document d’activité

Authenticité

FiabilitéIntégrité

Exploitabilité

authenticité : le document peut prouver qu’il est bien ce qu’il prétend être, qu’il a été effectivement produit ou reçu par la personne qui prétend l’avoir produit ou reçu, et qu’il a été produit ou reçu au moment (date et heure) où il prétend l’avoir été.intégrité : le document (information et support) est complet et n’a pas été altéré.fiabilité : le contenu du document peut être considéré comme la représentation complète et exacte des opérations, des activités ou des faits.exploitabilité : le document est exploitable s’il est localisé, repéré, décrit et analysé.

Caractéristiques du SYSTÈME de Gestion des Documents d’Activité Electronique

• Continuum : le système doit gérer l’ensemble du cycle de vie du document sans rupture• Fiabilité : tous les documents de l’organisme (du périmètre) doivent être intégrés

systématiquement ; le système doit constituer la source première d’information sur les activités décrites et fournir un accès immédiat à tous les documents pertinents et à leurs métadonnées

• Intégrité : des mesures de contrôle d’accès, de l’identité de l’utilisateur, de la validité de la destruction et de la sécurité doivent exister.

• Conformité : le système doit être conforme à toutes les exigences des process et de l’environnement réglementaire

• Etendue : le système doit gèrer l’ensemble des documents issus de l’ensemble des activités de l’organisme ou de l’entreprise, ou au moins de l’entité où il est mis en place

• Caractère systématique : les documents doivent être produits, conservés et gérés de manière systématique.

La valeur probante dans l’environnement électronique

• Valeur probante de l’écrit numérique• Jusqu’en 2000 en France : c’était l’indissociabilité entre un support matériel durable et

l’information qu’il porte*, qui faisait la qualité d’une preuve.

• La loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relatives à la signature électronique, a constitué une « révolution numérique. »

(*) D’après Françoise Banat Berger et Claude Huc, http://www.piaf-archives.org/espace-formation/mod/resource/view.php?id=200


La valeur probante dans l’environnement électronique

• La loi n°2000-230 du 13 mars 2000 modifiant le Code civil reconnaît la validité comme preuve juridique des documents numériques, au même titre que la preuve écrite sur papier, à condition de pouvoir justifier de leur

• et de leur

• L’article 1316-1 du Code stipule :« L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier,

sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. »


L’authenticité dans l’environnement électronique : la signature électronique

La signature électronique :Les deux grandes fonctions de la signature (définition fonctionnelle) : identification et

manifestation de la volonté de consentir à des obligations.• « La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle

manifeste le consentement des parties aux obligations qui découlent de cet acte. • Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte».• (Article 1316-4, premier alinéa)


L’authenticité dans l’environnement électronique : la signature électronique

La signature électronique « Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. … » (Article 1316-4, second alinéa)

« La fiabilité de ce procédé est présumée, jusqu’à preuve du contraire, lorsque la signature est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat. » (Article 1316-4, second alinéa)


De la signature électronique à l’empreinte• - La signature cryptographique à clé publique • - Le calcul d’empreinte (hash) *

• Le processus de signature électronique (ou d’empreinte) garantit l’intégrité du document au cours de son transfert et donne au destinataire la certitude de l’identité de l’expéditeur.

• Cela répond à deux exigences clés de la GDAE

• (* )voir : Françoise Banat Berger et Claude Huc, http://www.piaf-archives.org/espace-formation/mod/resource/view.php?id=200

http://www.piaf-archives.org/espace-formation/mod/resource/view.php?id=200

L’authenticité dans l’environnement électronique : l’horodatage•

• Aujourd'hui, tous les documents émanant des administrations ou des entreprises sont d'abord élaborés sous forme informatique, puis le cas échéant édités pour être transmis sous forme papier.

• Exemple : la Facture. Les entreprises sont autorisées à conserver sous forme électronique uniquement, les factures qu'elles transmettent sous forme papier à leurs clients, à condition d'utiliser un système technique répondant à certaines conditions (B.O.des Impôts du 11/01/07) :

« 16. L'opération d'enregistrement doit intervenir à une date la plus proche possible de celle de l'opération d'impression de l'original de la facture sur support papier. Le système informatique doit permettre d'identifier ces deux dates. 17. A cet égard, un système informatique qui assurerait l'alimentation de la base de conservation d'une manière automatique et à un moment quasi concomitant à celui de l'impression de l'original papier constituerait un facteur d'appréciation favorable ».


Exigences appliquées aux documents d’activité électroniques : l’intégrité

A l'occasion de la réforme du droit de la preuve consacrée par la loi n°2000-230 du 13 mars 2000, la notion de fidélité et de durabilité a été traduite par le critère fonctionnel global d’« intégrité » mentionné par l'article 1316-1 du Code Civil.

L'intégrité d'un document numérique peut, en pratique, être assurée par différents moyens techniques, notamment le calcul d’empreinte


La fiabilité dans l’environnement électronique

• Un document fiable est un document dont le contenu peut être considéré comme la représentation complète et exacte des opérations, des activités ou des faits qu'il atteste, et sur lequel on peut s'appuyer lors d'opérations, d'activités ou de faits ultérieurs.

• Il convient que les documents d’activité soient créés au moment de l’événement auquel ils se rapportent ou juste après, par des personnes qui ont une connaissance directe des faits ou par des systèmes utilisés systématiquement pour réaliser l’opération. (ISO15489 :2001 /7.2.3)


Exigences appliquées aux documents d’activité électroniques : l’exploitabilitéL’exploitabilité d'un document d’activité (ISO 15489:2001)• Un document d’activit exploitable doit être é́ relié à l'activité ou à l’opération à l'origine de

sa création. Les liens entre les documents d’activit et les opérations associées qu'ils é́documentent doivent être maintenus.

• Les métadonnées contribuent à l'exploitabilité d'un document d’activit en fournissant é́toute l'information qui peut être nécessaire à sa récupération et sa communication, par exemple un identifiant unique et permanent.


Les exigences du RM transposées dans l’environnement numérique

Authenticité

Intégrité , fidélité Fiabilité

Exigences Traduction dans l’environnement numérique

Horodatage

Empreinte numérique

Migration des formats et des supports

Exploitabilité

Métadonnées

Signature E

16

Principes pour la gestion des documents d’activité dans l’environnement électronique (ISO16175)

Gestion des Documents Numériques / Séance 1 / Caractéristiques S. DESSOLIN-BAUMANN

• La norme ISO 16175-1 a essentiellement pour objectif de transposer les principes généraux du records management dans un environnement électronique.

• Elle inclut la notion de valeur probante des documents développée dans la norme ISO 15489 tout en recentrant principalement les exigences sur la capture des documents d’activité et leurs métadonnées, l’identification, le classement, les référentiels de conservation et la destruction.

• Lourdes Fuentes-Hashimoto : La mise en œuvre de la norme ISO 16 175 (ICA-Req) : deux retours d’expérience, in Gazette des Archives n,°228, 2012/4

ISO 16175-1 : 4 principes directeurs liés aux documents


• organiser et gérer l’information métier de manière à constituer une trace fiable et probante de l’activité

• relier celle-ci à son contexte au travers de métadonnées • la conserver et la rendre accessible aux utilisateurs autorisés

aussi longtemps que nécessaire• être en mesure de la détruire de manière organisée,

systématique et auditable.

ISO 16175-1 principes directeurs liés aux systèmes (SGDAE)


• que le SGDAE intègre la gestion de l’information métier comme une brique du processus métier

• que les systèmes de capture et de gestion s’appuient sur des métadonnées normalisées,

• que les systèmes assurent une interopérabilité pérenne entre plateformes et domaines d’activités

• qu’ils reposent autant que possible sur des standards ouverts et soient indépendants de toute solution technologique,

• qu’ils permettent des imports et des exports de masse en utilisant des formats ouverts,

• qu’ils maintiennent l’information métier dans un environnement sécurisé, • que la validation et la capture des documents traçant les activités soient aussi simples

que possible pour les utilisateurs, en particulier • que les métadonnées soient principalement générées par le SGDAE.

19

Métadonnées pour la GDA dans l’environnement électronique (ISO 23081)

• Les métadonnées sont essentielles pour établir de manière incontestable le type, la structure et l’intégrité du document à tout moment, et pour attester de sa relation avec les autres documents (ISO 15489 9.3).

Les métadonnées du records management sont utilisées pour identifier, authentifier et contextualiser les documents d’activité , ainsi que les personnes, les processus et les systèmes qui les créent , les classent les maintiennent et les utilisent et les règles appliquées.

Elles garantissent l’authenticité, la fiabilité, l’exploitabilité et l’intégrité des documents d’activité

ISO 23081-1 (partie 4)• l’article de C. Maday et M. Taillefer

« Les métadonnées du records management du point de vue des normes ISO » La Gazette des archives, n° 228 / année 2012-4

PRESERVER LA VALEUR DES DAE

20

DAE nativement électroniques DAE issus d’un processus de dématérialisation

Notion d’objet numérique ou électronique

Les risques : obsolescence, altération, ….

21

"COPIE NUMERIQUE FIDELE" Deux types de fidélité des copies :

Formelle Informationnelle

Processus de numérisation produisant des copies fidèles (fichiers de format standard assorti d’attributs (horodatage, signature du prestataire, empreinte, métadonnées, …

Les risques : obsolescence, altération, ….c

22

Comment s’assurer d’une copie fidèle (formelle)? • Elle doit, visuellement, se présenter comme l'original, avec les indications du

papier à en tête et la signature de l'expéditeur.

• Techniquement, cela peut se traduire par la création d'un enregistrement numérique de type PDF du courrier original signé, qui sera horodaté, le cas échéant sécurisé par un calcul d'empreinte (ou « hash ») permettant de garantir qu'aucune modification ne pourra lui être apporté par la suite et, surtout, conservé par un système qui garantisse la traçabilité de toutes les opérations effectuées sur le document après sa création.

23

"COPIE NUMERIQUE FIDELE" Travaux en cours à l’AFNOR

Objectif : une norme au 1er semestre 2016Adossement à une certification (prestataire interne ou

externe)

En parallèle : projet de modification de l’art. 1348 du Code Civil

Possibilité de destruction des documents papier dd’origine

24

La norme NF Z 42013 (ISO 14641)• La norme NF Z 42013 « spécifications relatives à la conception et l’exploitation de

systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes », désormais portée à l’international sous le numéro ISO 14641. Première version 1999. révisée en 2009, ce qui a permis notamment d’élargir son périmètre à tous les types de supports numériques et non plus aux seuls disques optiques numériques non réinscriptibles.

• Norme + technique que fonctionnelle, se concentrant sur les caractéristiques du système informatique sur lequel s’appuie le SGDAE. Elle met l’accent sur la traçabilité de tous les processus en oeuvre comme la numérisation de documents, l’horodatage, les communications, etc. ainsi que sur les exigences du système en matière desécurité et d’accès.

• Elle définit les clauses nécessaires dans un contrat de service passé avec un tiers archiveur.

• Elle insiste sur la question de l’intégrité des documents et sur la capacité à apporter la preuve de cette intégrité. Elle aborde aussi la nécessité de disposer d’une description détaillée de tous les constituants du système et d’une traçabilité exhaustive de tous les changements. c

25

LA NORME NF Z42-013 (ISO 14641) Spécifie des solutions pour préserver la valeur des

DAE (et des informations associées) :Pérennité IntégritéPreuve des garanties par un système de journalisation

Garanties apportées par une certification Afnor (marque NF461)

26

LA NORME NF Z42-013

Révision en cours :Objectif : fin 2016Prendre en compte les évolutions techniques, par

exemple le stockage dans le cloud Standardiser les méthodes et les solutions

d’interopérabilité et de réversibilité Intégrer, à titre d’exigences, les dispositions normatives

de sécurité des systèmes d’information

Technology

9h05 fntc couderc_dessolin_baumann