Categorías: Todo - conservation

por Frédéric Ducoron hace 2 años

209

FEUILLE DE ROUTE_SAE_EF

L'archivage à valeur probante repose sur des principes stricts définis par des normes, telles que celles d'AFNOR. Il est essentiel d'assurer l'intégrité des données archivées, garantissant qu'

FEUILLE DE ROUTE_SAE_EF

FEUILLE DE ROUTE_SAE_EF

Bibliographie

Qu’est-ce qu’un fonds documentaire
Nommé également collection, un fonds documentaire désigne donc un ensemble de ressources de différentes natures : ouvrages, archives, documents sonores ou audiovisuels. Constituer des collections et les classer sont les tâches quotidiennes des personnes chargées de l’archivage des documents reçus ou émis. La construction d’un fonds documentaire permet de valoriser le pouvoir informationnel de l’entreprise tout au long de son activité.

Cpte.rendu_ALTO SAE_17/05/2022

Conduite du changement
Un espace d'information et de formation à destination des utilisateurs d’ Alto va être ouvert aux membres du COPRO au moment de la mise en service, un mail vous sera envoyé
Exemples des fonds AFD identifiés par ordre décroissant de priorité
Méthode pour estimer la complexité de traitement des fonds


Méthode utilisée pour les identifier les fonds AFD éligibles à l’archivage en 2023
il n’est pas prévu de prendre en charge de nouveaux fonds en 2022
ce même travail serait à réaliser par PROPARCO et Expertise France pour identifier leurs besoins d’archivage électronique prioritaires
Cette analyse reste à finaliser afin d’affiner les priorités et de définir les modalités de préparation et déploiement de ces fonds avec les métiers concernés
Ces fonds ont ensuite été priorisés en pondérant les enjeux (les 2 premiers ayant un poids plus important) et également les opportunités
Un premier travail de recensement des fonds éligibles à l’archivage électronique selon 4 enjeux

2_CONFORMITE RGPD (données personnelles)

4_VALEUR HISTORIQUE (versement à Bercy)

3_LONGUE DURÉE (conservation > 10 ans)

1_INTÉGRITÉ (documents engageants)

Floriant Chappart d’Expertise France demande si la trajectoire SI est nécessaire pour avancer.
Élodie Lesoeur précise qu’il n’y a pas de rapprochement prévu sur 2023 côté SI. Tant que le SI n’est pas commun il est difficile d'avancer. Cependant un coffre propre à Expertise France est prévu avec XELIANS : on pourrait le mettre en place avec une refacturation, sans avoir besoin de passer par le SI de l'AFD (pour rappel ALTO étant en mode SaaS, avec une gestion totalement indépendante des coffres des 3 entités).

Élodie Lesoeur rappelle l’enjeu d’avoir un retour des métiers sur le déploiement en 2023 : la revue de trajectoire est en cours, elle permet de déterminer les projets SI pour l’année suivante en accord avec les métiers.

Sans attendre, le référencement des fonds Expertise France candidats à l’archivage électronique peut d’ores et déjà être entrepris, et ce en s’appuyant sur la méthode mise en place par l’équipe projet.

Présentation des fonds prioritaires_page 5/7
Dossier passation <40k€ : exigence de la commande publique de bien conserver ces documents engageants durant le marché puis ensuite 10 ans à compter de la fin d’exécution du marché.
Les dossiers DRH ont de forts enjeux d'intégrité, avec les deux dimensions de signature électronique et de dématérialisation fidèle (dématérialisation d’originaux papier, la copie fiable qui en est issue disposant de la même force probante que l’original). Dans ces deux cas, il est nécessaire de les coupler avec une solution d’archivage électronique, propre à garantir l'intégrité, en s’assurant d’archiver concomitamment les documents et le dossier de preuve associé. Autres exemples où intervient la signature électronique : Conventions de financement, Résolutions d'octroi, Conventions de recherche et de collaboration de recherche.
Evaluation de la complexité des fonds à traiter_Page 4/7
Les fonds éligibles ont été analysés afin de qualifier les niveaux de besoins, qui sont de 3 ordre

Un besoin sera qualifié de complexe dès lors qu’il y a une interface à créer avec un SI de l’AFD, ou que se cumulent plusieurs aspects amenant de la complexité (exemple du fonds Publications, dont les contenus sont très différents et très hétérogènes).

Un besoin moyen suppose un profil d’archivage à créer et/ou présentant une certaine complexité, de fonds hétérogènes ou dispersés par exemple

Un besoin simple suppose qu’il existe un profil d’archivage (description du fonds selon le format SEDA) : il s’agit de fonds pour lesquels on pourra s’appuyer sur le travail réalisé lors de la phase pilote, et qui ne présente pas de complexité particulière

Méthode pour identifier les fonds AFD éligibles à l'archivage électronique_Page 4/7
Afin d’établir la liste des fonds éligibles à l’archivage électronique à l’AFD (le même travail sera à réaliser par Proparco et Expertise France), l’équipe projet s’est appuyée sur quatre enjeux :

Avant que nos fonds ne soient rendus éligibles, il faut auparavant que notre plan de classement_2021 soit stabilisé. Nous sommes tributaires de l'AFD

Une fois établi ce recensement, qui a permis d’identifier 31 fonds éligibles, un second travail a consisté à prioriser ces fonds en pondérant les quatre enjeux, en accordant un poids plus grand (moins d’importance que d’urgence) aux deux premiers critères. Il en est ressorti une liste de 17 fonds prioritaires, présentés slides 10 et 11. On y trouvera des exemples des fonds retenus au regard des quatre enjeux

La valeur historique (versement à terme à Bercy) ou valeur de mémoire pour l’AFD

La conservation longue durée, 10 ans ou plus

La conformité RGPD, qui demande à gérer finement le cycle de vie des données personnelles et les droits d’accès

Objet : Sandrine Aufray souligne que le principal objet de ce COPRO est de présenter les fonds candidats à l’archivage électronique identifiés par l’équipe ALTO en vue des déploiements post-pilotes, à partir de 2023, et d’échanger sur ces propositions avec les membres du COPRO.

Les référentiels de la signature électronique

Le coffre-fort numérique, solution sécurisée d’archivage à valeur probante.

Ce service protège les données contre les risques de pertes liés à un incident technique (panne informatique), un virus, ou un incendie… Il permet en outre à ses utilisateurs autorisés d’y accéder en permanence en ligne, via une connexion internet.

L’article 87 de la loi pour une République numérique du 7 octobre 2016 a défini le coffre-fort numérique (art. 137 du Code des postes et communications électroniques) en énonçant les fonctions qu’il remplit :


  1. Réception, stockage, suppression et transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine ;
  2. Traçabilité des opérations réalisées sur ces documents ou données et disponibilité de cette traçabilité pour l’utilisateur ;
  3. Identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L 136 ;
  4. Garantie d’un accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service, à cet utilisateur ou à des tiers autorisés après avoir recueilli l’accord express de l’utilisateur conformément à la loi sur la protection des données personnelles ;
  5. Possibilité pour l’utilisateur de récupérer les documents et les données stockés dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données.

Le coffre-fort numérique peut prévoir en outre des services de confiance au sens du Règlement européen n° 910/2014 EIDAS du 23 juillet 2014 sur l’identification électronique et les services de confiance, tels que la signature électronique ou l’envoi recommandé électronique


Le coffre-fort numérique va beaucoup plus loin : il permet de conserver des documents dématérialisés sur un support informatique, mais son accès est limité à un certain nombre d’utilisateurs identifiés par un mécanisme d’authentification. L’intégrité des documents est garantie par un horodatage et des scellés. Les modalités d’archivage s’inscrivent dans la durée, en fonction des obligations règlementaires notamment.

Autres articles de référence

L’article 87 de la loi pour une République numérique 

Il complète le Code des Postes et des communications électroniques avec l’article L. 137 qui définit précisément la nature d’un coffre-fort numérique1. Les fournisseurs qui proposent des services de coffre-fort doivent respecter la définition et les obligations listées ci-dessous, sous peine de sanctions.   

  1. La réception, le stockage, la suppression et la transmission de données ou documents électroniques dans des conditions permettant de justifier de leur intégrité et de l’exactitude de leur origine.  
  2. La traçabilité des opérations réalisées sur ces documents ou données et la disponibilité de cette traçabilité pour l’utilisateur. 
  3. L’identification de l’utilisateur lors de l’accès au service par un moyen d’identification électronique respectant l’article L. 136. 
  4. De garantir l’accès exclusif aux documents électroniques, données de l’utilisateur ou données associées au fonctionnement du service à cet utilisateur, aux tiers autres que le prestataire de service de coffre-fort numérique, explicitement autorisés par l’utilisateur à accéder à ces documents et données et, le cas échéant, au prestataire de service de coffre-fort numérique réalisant un traitement de ces documents ou données au seul bénéfice de l’utilisateur et après avoir recueilli son accord exprès dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés 
  5. De donner la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert ou non aisément réutilisable qui peuvent être restitués dans leur format d’origine, dans des conditions définies par décret.  

Le règlement européen n° 910/2014 (EIDAS) du 23 juillet 2014 

Ce règlement a pour objectif de renforcer la confiance dans les transactions électroniques entre les citoyens, les entreprises et les autorités publiques. Il porte principalement sur l’identification électronique, mais aussi sur la confiance des services numériques grâce à la mise en place de procédures sécurisées : signature, cachet, horodatage et envoi recommandé électroniques, mais aussi authentification de sites internet. 

Vous avez maintenant toutes les clés en main pour comprendre le principe de l’archivage électronique et le mettre en place selon des procédures en conformité avec la loi. Faire appel à un tiers reste la solution la plus adaptée pour les petites et moyennes structures comme le sont généralement les cabinets d’expertise-comptable. Aidez-vous de ce guide pour faire le bon choix de prestataire et lancez-vous ! 

Le coffre-fort doit respecter les normes ainsi que les dispositions légales suivantes : AFNOR NF Z42-020 : mesures techniques et organisationnelles à mettre en œuvre pour le versement, l’archivage, la consultation, l’élimination et la restitution des documents électroniques. Décret du 30 mai 2018 : garantie de confidentialité grâce au chiffrement des données et des documents numériques. Certification ISO 27001 : sécurité des systèmes informatiques. Certification ISO 9001 : sites de stockage et respect des procédures liées à l’authentification et l’intégrité des documents archivés (horodatage, journal de preuves, signature électronique, etc.)
Archivage à valeur probante
le cadre de l’archivage à valeur probante a été précisé, notamment par des normes AFNOR. Cet archivage doit obéir à trois principes

Intelligibilité : Les documents doivent être lisibles lors de leur restitution, grâce à l’usage de formats standards (de type PDF, par exemple)

Intégrité : Cette mesure consiste à assurer que les pièces ou données numérisées n’ont fait l’objet d’aucune modification, altération ou dénaturation depuis leur archivage électronique. Pour ce faire, les données doivent être figées, les technologies de stockage non-réinscriptibles, l’accès fortement sécurisé ; la traçabilité des consultations et des actions doit être assurée.

Authenticité : Il s’agit de fournir les éléments permettant d’établir que la copie numérique est bien conforme au document initial. A cet effet, on précisera qui a créé le document, à quelle date, son contenu… L’authenticité est assurée par l’horodatage et le scellement de la pièce avant son archivage, voire par une signature électronique

On considère que l’archivage électronique a valeur probante lorsqu’il « met en œuvre les mesures techniques et organisationnelles nécessaires pour enregistrer, stocker et restituer les documents ou données numérisés, de manière à en assurer leur bonne conservation et leur intégrité pendant toute leur durée de vie ». La dématérialisation a fait son entrée dans notre droit par le biais de la loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux nouvelles technologies de l’information. Ce texte a admis qu’un document électronique pouvait avoir la même force probante qu’un document papier, à condition que la personne dont émane le document électronique puisse être dûment identifiée et que le document soit établi et conservé dans des conditions de nature à en garantir l’intégrité (article 1316-1 du Code civil).
Les normes de l'archivage électronique
Les normes du records management

Iso 30300, Iso 30301 et Iso 30302 (2011 à 2014 ; révision en cours)

La série de normes Iso 30300 définit les principes des systèmes de gestion des documents d’activité (SGDA). Elle décrit également la mise en œuvre et le fonctionnement des SGDA.

Les normes Iso 30300 et Iso 30301 datent de l’année 2011. En 2014, le sous-comité de normalisation TC46/SC11 consacrée à la gestion des documents d’activité a publié la dernière (pour le moment) de la série des normes déclaratives du records management (RM) : la norme Iso 30302.

Cas par cas, la norme Iso 30300 « définit les termes et définitions qui s’appliquent aux normes relatives aux SGDA », précise le site de l’Iso.

La norme Iso 30301 définit les exigences d’un SGDA (principes, rôles de la direction…). C’est cette norme qui constitue le référentiel phare pour le management d’un SGDA.

Enfin, la norme Iso 30302 est consacrée à la mise en œuvre du SGDA et comprend également la liste des documentations à élaborer pour le bon fonctionnement d’un SGDA et sa mise en état d’auditabilité

Iso 19005-1 (2005, révisée en 2011 et 2012)

La norme Iso 19005-1 est une norme internationale qui définit le format PDF/A-1 (basé sur le format PDF1.4 de Adobe System) comme format de fichier de documents électroniques placés dans un SAE devant être conservés sur du long terme.

Ce format est fidèle au document original (image, police et taille d’écriture par exemple), ce qui permet de consulter un document sans que le logiciel sur lequel il a été créé ne soit installé sur le terminal utilisé.

Cette norme a été déclinée en 2011 (Iso 19005-2 PDF/A-2) et en 2012 (Iso 19005-3 PDF/A-3) pour faire évoluer les formats vers des améliorations techniques et fonctionnelles (couleur, fichiers ou collections de données embarqués dans les fichiers PDF, etc.). Citons également la norme Iso 32000-1, année 2008

OAIS (Iso 14721:2012) (2002, révisée en 2012)

La norme OAIS (système ouvert d’archivage de l’information), enregistrée depuis 2003 puis révisée en 2012 sous le nom de norme Iso 14721:2012 décrit le modèle pour la conception et la mise en place d’un SAE pour que ce dernier soit pérenne peu importe les évolutions numériques. Cette norme explique et décrit la structure de l’archivage et du fonctionnement d’un SAE. Elle propose un schéma conceptuel du SAE.

>Lire aussi : Archivage électronique : comment (bien) archiver des données sensibles ou confidentielles ?

NF 461 — Système d’archivage électronique (2013)

Si les normes NF Z 42-013 et Iso 14641:2018 sont des normes déclaratives, le référentiel de certification NF 461 concerne les organismes qui ont mis en place et maintiennent en état de fonctionnement leur SAE selon la NF Z 42-013 et son équivalent Iso. La certification NF 461 – Système d’archivage électronique est délivrée par Afnor Certification et prouve la conformité d’un SAE.

NF Z 42-013 (1999, révisée en 2009 et en cours de révision en 2019 ; nouvelle version prévue en 2020)

La norme NF Z 42-013 est une norme française (Afnor) qui précise de nombreuses mesures techniques et organisationnelles autour du fonctionnement d’un système d’archivage électronique (SAE).

Cette norme déclarative met l’accent sur la traçabilité de tous les processus autour du SAE (enregistrement, stockage, restitution de documents électroniques au sein du SAE…). L’objectif est de garantir l’intégrité des documents, autrement dit un archivage électronique qui peut être à vocation probante.

La nouvelle version inclut le modèle OAIS (Iso 14721 en tant de modèle de référence) comme l’intégration dans les nouvelles architectures type Saas ou cloud.

La NF Z 42-013 révisée a été traduite en anglais et a donné naissance à la norme Iso 14641-1, devenue, en 2018, Iso 14641:2018 : « Archivage électronique — Conception et exploitation d’un système informatique pour la conservation intègre de documents électroniques — Spécifications »

échange de données pour l'archivage - SEDA
Le standard d'échange de données pour l'archivage modélise les différentes transactions qui peuvent avoir lieu entre des acteurs dans le cadre de l'archivage de données. Ces transactions sont au nombre de six : le transfert, la demande de transfert, la modification, l'élimination, la communication et la restitution. Les acteurs sont eux au nombre de cinq : le service producteur, le service versant, le service d'archives, le service de contrôle et le demandeur d'Archives.
eIDas (2016)

L’encadrement de la signature électronique s’appuie sur le règlement européen Electronic IDentification Authentication and trust Services ou eIDAS du 28 août 2014 et applicables depuis le 1er juillet 2016 (règlement sur l’identification électronique et les services de confiance).

Sont reconnus trois niveaux de signature :

- La signature électronique simple :

« données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer » ;

- La signature électronique avancée :

Elle satisfait aux exigences suivantes : être liée au signataire de manière univoque, permettre d’identifier le signataire, avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif, et être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

- La signature électronique qualifiée :

Signature électronique avancée basée sur un certificat qualifié (recours à une autorité de certification) et créée au moyen d’un dispositif de signature qualifié (certificat, cryptographique de la signature).

Le référentiel général de sécurité (RGS)

Le référentiel général de sécurité (RGS) connaît une version 2.0 avec l’arrêté du Premier ministre du 13 juin 2014 (remplace la version du 6 mai 2010). Il définit les règles que les administrations et collectivités doivent respecter en matière de sécurité des systèmes d’information, notamment pour la signature électronique.

La signature électronique d’une administration n’est valable que si l’on recourt à un procédé « qui permette l’identification du signataire, garantisse le lien de la signature avec la décision à laquelle elle s’attache et assure l’intégrité de cette décision » (article L212-3, Code des relations entre le public et l’administration)