av Frédéric Ducoron för 2 årar sedan
219
Mer av detta
2_CONFORMITE RGPD (données personnelles)
4_VALEUR HISTORIQUE (versement à Bercy)
3_LONGUE DURÉE (conservation > 10 ans)
1_INTÉGRITÉ (documents engageants)
Élodie Lesoeur rappelle l’enjeu d’avoir un retour des métiers sur le déploiement en 2023 : la revue de trajectoire est en cours, elle permet de déterminer les projets SI pour l’année suivante en accord avec les métiers.
Sans attendre, le référencement des fonds Expertise France candidats à l’archivage électronique peut d’ores et déjà être entrepris, et ce en s’appuyant sur la méthode mise en place par l’équipe projet.
Un besoin sera qualifié de complexe dès lors qu’il y a une interface à créer avec un SI de l’AFD, ou que se cumulent plusieurs aspects amenant de la complexité (exemple du fonds Publications, dont les contenus sont très différents et très hétérogènes).
Un besoin moyen suppose un profil d’archivage à créer et/ou présentant une certaine complexité, de fonds hétérogènes ou dispersés par exemple
Un besoin simple suppose qu’il existe un profil d’archivage (description du fonds selon le format SEDA) : il s’agit de fonds pour lesquels on pourra s’appuyer sur le travail réalisé lors de la phase pilote, et qui ne présente pas de complexité particulière
Avant que nos fonds ne soient rendus éligibles, il faut auparavant que notre plan de classement_2021 soit stabilisé. Nous sommes tributaires de l'AFD
Une fois établi ce recensement, qui a permis d’identifier 31 fonds éligibles, un second travail a consisté à prioriser ces fonds en pondérant les quatre enjeux, en accordant un poids plus grand (moins d’importance que d’urgence) aux deux premiers critères. Il en est ressorti une liste de 17 fonds prioritaires, présentés slides 10 et 11. On y trouvera des exemples des fonds retenus au regard des quatre enjeux
La valeur historique (versement à terme à Bercy) ou valeur de mémoire pour l’AFD
La conservation longue durée, 10 ans ou plus
La conformité RGPD, qui demande à gérer finement le cycle de vie des données personnelles et les droits d’accès
Ce service protège les données contre les risques de pertes liés à un incident technique (panne informatique), un virus, ou un incendie… Il permet en outre à ses utilisateurs autorisés d’y accéder en permanence en ligne, via une connexion internet.
L’article 87 de la loi pour une République numérique du 7 octobre 2016 a défini le coffre-fort numérique (art. 137 du Code des postes et communications électroniques) en énonçant les fonctions qu’il remplit :
Le coffre-fort numérique peut prévoir en outre des services de confiance au sens du Règlement européen n° 910/2014 EIDAS du 23 juillet 2014 sur l’identification électronique et les services de confiance, tels que la signature électronique ou l’envoi recommandé électronique
Le coffre-fort numérique va beaucoup plus loin : il permet de conserver des documents dématérialisés sur un support informatique, mais son accès est limité à un certain nombre d’utilisateurs identifiés par un mécanisme d’authentification. L’intégrité des documents est garantie par un horodatage et des scellés. Les modalités d’archivage s’inscrivent dans la durée, en fonction des obligations règlementaires notamment.
Il complète le Code des Postes et des communications électroniques avec l’article L. 137 qui définit précisément la nature d’un coffre-fort numérique1. Les fournisseurs qui proposent des services de coffre-fort doivent respecter la définition et les obligations listées ci-dessous, sous peine de sanctions.
Ce règlement a pour objectif de renforcer la confiance dans les transactions électroniques entre les citoyens, les entreprises et les autorités publiques. Il porte principalement sur l’identification électronique, mais aussi sur la confiance des services numériques grâce à la mise en place de procédures sécurisées : signature, cachet, horodatage et envoi recommandé électroniques, mais aussi authentification de sites internet.
Vous avez maintenant toutes les clés en main pour comprendre le principe de l’archivage électronique et le mettre en place selon des procédures en conformité avec la loi. Faire appel à un tiers reste la solution la plus adaptée pour les petites et moyennes structures comme le sont généralement les cabinets d’expertise-comptable. Aidez-vous de ce guide pour faire le bon choix de prestataire et lancez-vous !
Intelligibilité : Les documents doivent être lisibles lors de leur restitution, grâce à l’usage de formats standards (de type PDF, par exemple)
Intégrité : Cette mesure consiste à assurer que les pièces ou données numérisées n’ont fait l’objet d’aucune modification, altération ou dénaturation depuis leur archivage électronique. Pour ce faire, les données doivent être figées, les technologies de stockage non-réinscriptibles, l’accès fortement sécurisé ; la traçabilité des consultations et des actions doit être assurée.
Authenticité : Il s’agit de fournir les éléments permettant d’établir que la copie numérique est bien conforme au document initial. A cet effet, on précisera qui a créé le document, à quelle date, son contenu… L’authenticité est assurée par l’horodatage et le scellement de la pièce avant son archivage, voire par une signature électronique
Iso 30300, Iso 30301 et Iso 30302 (2011 à 2014 ; révision en cours)
La série de normes Iso 30300 définit les principes des systèmes de gestion des documents d’activité (SGDA). Elle décrit également la mise en œuvre et le fonctionnement des SGDA.
Les normes Iso 30300 et Iso 30301 datent de l’année 2011. En 2014, le sous-comité de normalisation TC46/SC11 consacrée à la gestion des documents d’activité a publié la dernière (pour le moment) de la série des normes déclaratives du records management (RM) : la norme Iso 30302.
Cas par cas, la norme Iso 30300 « définit les termes et définitions qui s’appliquent aux normes relatives aux SGDA », précise le site de l’Iso.
La norme Iso 30301 définit les exigences d’un SGDA (principes, rôles de la direction…). C’est cette norme qui constitue le référentiel phare pour le management d’un SGDA.
Enfin, la norme Iso 30302 est consacrée à la mise en œuvre du SGDA et comprend également la liste des documentations à élaborer pour le bon fonctionnement d’un SGDA et sa mise en état d’auditabilité
La norme Iso 19005-1 est une norme internationale qui définit le format PDF/A-1 (basé sur le format PDF1.4 de Adobe System) comme format de fichier de documents électroniques placés dans un SAE devant être conservés sur du long terme.
Ce format est fidèle au document original (image, police et taille d’écriture par exemple), ce qui permet de consulter un document sans que le logiciel sur lequel il a été créé ne soit installé sur le terminal utilisé.
Cette norme a été déclinée en 2011 (Iso 19005-2 PDF/A-2) et en 2012 (Iso 19005-3 PDF/A-3) pour faire évoluer les formats vers des améliorations techniques et fonctionnelles (couleur, fichiers ou collections de données embarqués dans les fichiers PDF, etc.). Citons également la norme Iso 32000-1, année 2008
La norme OAIS (système ouvert d’archivage de l’information), enregistrée depuis 2003 puis révisée en 2012 sous le nom de norme Iso 14721:2012 décrit le modèle pour la conception et la mise en place d’un SAE pour que ce dernier soit pérenne peu importe les évolutions numériques. Cette norme explique et décrit la structure de l’archivage et du fonctionnement d’un SAE. Elle propose un schéma conceptuel du SAE.
>Lire aussi : Archivage électronique : comment (bien) archiver des données sensibles ou confidentielles ?
Si les normes NF Z 42-013 et Iso 14641:2018 sont des normes déclaratives, le référentiel de certification NF 461 concerne les organismes qui ont mis en place et maintiennent en état de fonctionnement leur SAE selon la NF Z 42-013 et son équivalent Iso. La certification NF 461 – Système d’archivage électronique est délivrée par Afnor Certification et prouve la conformité d’un SAE.
La norme NF Z 42-013 est une norme française (Afnor) qui précise de nombreuses mesures techniques et organisationnelles autour du fonctionnement d’un système d’archivage électronique (SAE).
Cette norme déclarative met l’accent sur la traçabilité de tous les processus autour du SAE (enregistrement, stockage, restitution de documents électroniques au sein du SAE…). L’objectif est de garantir l’intégrité des documents, autrement dit un archivage électronique qui peut être à vocation probante.
La nouvelle version inclut le modèle OAIS (Iso 14721 en tant de modèle de référence) comme l’intégration dans les nouvelles architectures type Saas ou cloud.
La NF Z 42-013 révisée a été traduite en anglais et a donné naissance à la norme Iso 14641-1, devenue, en 2018, Iso 14641:2018 : « Archivage électronique — Conception et exploitation d’un système informatique pour la conservation intègre de documents électroniques — Spécifications »
L’encadrement de la signature électronique s’appuie sur le règlement européen Electronic IDentification Authentication and trust Services ou eIDAS du 28 août 2014 et applicables depuis le 1er juillet 2016 (règlement sur l’identification électronique et les services de confiance).
Sont reconnus trois niveaux de signature :
- La signature électronique simple :
« données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer » ;
- La signature électronique avancée :
Elle satisfait aux exigences suivantes : être liée au signataire de manière univoque, permettre d’identifier le signataire, avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif, et être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
- La signature électronique qualifiée :
Signature électronique avancée basée sur un certificat qualifié (recours à une autorité de certification) et créée au moyen d’un dispositif de signature qualifié (certificat, cryptographique de la signature).
Le référentiel général de sécurité (RGS) connaît une version 2.0 avec l’arrêté du Premier ministre du 13 juin 2014 (remplace la version du 6 mai 2010). Il définit les règles que les administrations et collectivités doivent respecter en matière de sécurité des systèmes d’information, notamment pour la signature électronique.
La signature électronique d’une administration n’est valable que si l’on recourt à un procédé « qui permette l’identification du signataire, garantisse le lien de la signature avec la décision à laquelle elle s’attache et assure l’intégrité de cette décision » (article L212-3, Code des relations entre le public et l’administration)