l’archivage à valeur probatoire, quelle solution choisir ?

La dématérialisation ne cesse de croitre au sein des organisations. Pour leur permettre de répondre à des enjeux importants ainsi qu’à des contraintes légales et règlementaires de plus en plus fortes, éditeurs et fournisseurs proposent de nombreux services et outils de gestion documentaire, au risque d’engendrer parfois des confusions. Quels sont les éléments clés à prendre en compte pour la sélection et la mise en œuvre d’un système d’archivage à valeur probatoire ?

Nous avons vu dans un précédent article que l’archivage probatoire a pour vocation de maintenir la valeur probante (recevabilité juridique) d’archives et qu’un système d’archivage à valeur probatoire se distingue d’un système d’archivage classique (intégré par exemple à un système GED ou ECM) notamment par des processus spécifiques. Ces processus permettent de garantir la conservation sécurisée et l’intégrité des documents (des archives) sur des durées définies, qui peuvent être très longues.

Un tel système doit donc satisfaire des exigences fonctionnelles, techniques et normatives mais doit aussi répondre à des exigences légales qui régissent le domaine de l’archivage électronique.

Dans leur démarche, les organisations tiendront donc compte de ces différents exigences et de leurs propres requis, et veilleront à orienter leur choix vers des solutions d’archivage probatoires pérennes, fiables, conformes aux standards et performantes.

La sélection et la mise en place d’un système d’archivage probatoire requiert donc de respecter une démarche rigoureuse nécessitant un savoir-faire et une bonne connaissance des solutions du marché.

Archivage à valeur probatoire et traçabilité

D’une manière générale, les éléments de traçabilité d’un système d’archivage probatoire sont essentiels. La traçabilité permet le suivi de toutes les activités et opérations le long du cycle de vie d’une archive : sa prise de valeur (signature, horodatage, checksum), son versement, les opérations de conversion de formats, de migration de supports que l’archive peut subir, les opérations de consultation de l’archive, d’élimination/destruction.

Il convient de s’assurer que la traçabilité ait un caractère systématique et qu’elle enregistre tous les événements qui ont pu affecter le fonctionnement du système ou les archives. Cette traçabilité s’exprime elle-même par la journalisation et donc produit le journal des événements, qui est lui-même un document à vocation probatoire. La traçabilité inclus par exemple les opérations suivantes :

Versement d’une archive (date, heure, …)
Conversion d’une archive : à partir de quel format, vers quel format, durée de l’opération, relevé des incidents éventuels au cours de la conversion
Changement de support : de quel support à quel support, date et heure de l’opération, durée de l’opération, relevé des incidents éventuels au cours de la migration
Toutes traces relatives à la consultation des archives : date et heure notamment, durée de la consultation
Toutes les traces des opérations de destruction d’une archive : gel d’une archive, confirmation, validation, méthodes misent en œuvre, date et heure, bordereau (traces) de destruction.

Le Cloud comme modèle d’archivage à valeur probatoire

Chaque organisation, en fonction du niveau de sensibilité de ses archives, décidera de les verser et de les stocker dans l’environnement qui lui semble le plus adapté, tout en maintenant une politique d’archivage centrale mais applicable à chaque environnement. Les modèles de type Cloud connaissent un grand succès. Parmi les modèles d’architecture de type Cloud relatifs aux systèmes d’archivage électronique probatoire, on distingue :

Le modèle de type IaaS
Le modèle de type SaaS

On trouve aussi des modèles d’archivage probatoire de type hybride. Les services offerts à travers le Cloud se conjuguent comme étant : Tier Archiveur (avec obligation de résultats) et CSB (Cloud Service Broker). Des services multiples afin de répondre plus finement aux besoins de chaque entreprise sont disponibles (y compris le modèle MaaS).

Différentes contraintes sont à considérer avant de fixer son choix sur un modèle. Notamment les contraintes légales (provenance des archives, localisation des archives), les contraintes techniques (pérennisation des archives, lisibilité, intégrité des archives dans le temps), des contraintes de certification et des contraintes de sécurité. Un des risques de l’archivage probatoire via une architecture de type Cloud est la dépendance technologique vis-à-vis du prestataire, c’est-à-dire l’impossibilité de changer pour un autre fournisseur, revenir à une solution internalisée ou hybride sans perte ou altération des archives, y compris la récupération des journaux d’événements.

Ce risque doit alors être maitrisé par l’exigence contractuelle d’une clause de réversibilité et/ou d’interopérabilité (nouveau système d’archivage probatoire compatible versus l’ancien). La clause de réversibilité devra être accompagnée d’un plan de réversibilité détaillé. Également, en cas de faillite du prestataire, l’entreprise propriétaire des archives devrait pourvoir les récupérer sans difficulté, à condition que celles-ci soient séparables de toutes autres archives au moment de l’ouverture de la procédure de faillite du prestataire.

Quelle approche pour un système d’archivage à valeur probatoire ?

Un système d’archivage probatoire doit répondre à la fois à des besoins fonctionnels, techniques (sécurité, infrastructure) et normatifs. Mais aussi à des exigences légales et/ou réglementaires régissant le domaine de l’archivage électronique. A ces exigences s’ajoute, notamment dans le cas d’une solution Cloud, la politique de coût. De nombreux coûts cachés, par exemple, liés à l’augmentation du volume d’archive, du nombre d’utilisateurs, des déploiements supplémentaires (tel que l’intégration avec les systèmes métiers de l’entreprise) sont à considérer et à anticiper.

Dans cette démarche, nous appliquons une approche structurée et pragmatique afin d’orienter et de conseiller nos clients. Nous analysons les solutions d’archivage depuis plusieurs années et nous maintenons une grille de référence quant aux différentes solutions et prestations offertes selon plusieurs axes : fonctionnel, technique – sécurité et infrastructure, normatif, légal/réglementaire et gestion des coûts (investissement et exploitation de la solution). Nos analyses englobent aussi bien des solutions on premise, on Cloud que des solutions de type Hybride. De plus, nous analysons également les approches de type TA et CSB.

L’approche structurée et pragmatique que nous mettons en œuvre par Itecor pour répondre au plus près des besoins des organisations est résumée ci-après. Elle comprend les étapes suivantes :

Étape 1 : Analyse de la production documentaire et de l’environnement juridique de l’entreprise concernée. Cette étape permet de délimiter le périmètre quant à l’archivage probatoire, en analysant le contexte juridique et réglementaire auquel est soumis l’entreprise et ses échanges documentaires (soit sa Gouvernance documentaire)
Étape 2 : Étude de faisabilité. L’étude examine les aspects organisationnels, techniques, juridiques et financiers. Elle prend également en compte différents standards et meilleures pratiques (MoReq, ISO15489 – RM, ISO14641, …). Les différentes parties prenantes sont impliquées (principalement les métiers producteurs et consommateurs d’archives, l’Informatique, les archivistes, le département juridique et les auditeurs). Le but est de déterminer la solution la plus adaptée aux besoin de l’entreprise.
Étape 3 : Le Cahier des Charges. Selon le choix de l’entreprise de mettre en place un archivage probatoire interne ou externe, le cahier des charges sera plus ou moins complexe. Il se déclinera sur plusieurs axes : les requis fonctionnels, techniques (sécurité, élasticité de l’infrastructure), processus archivistiques, requis légaux, requis normatifs, coûts liés à la solution, projet de mise en œuvre, contrat de service (SLA), etc. …
Étape 4 : L’analyse des réponses et le choix du prestataire. Le prestataire retenu doit présenter des garanties de pérennité. Il faudra aussi être attentif aux standards mis en œuvre par la solution proposée (certification de la solution par exemple). La réversibilité des archives doit aussi être vérifiée et représente un critère de sélection important.
Étape 5 : Mise en œuvre d’un système pilote. Nous aidons l’entreprise à déterminer en amont les services, fonctions et documents qui constitueront le premier test du système d’archivage probatoire, ceci en adéquation avec la définition de la Gouvernance documentaire. La réalisation d’un audit de conformité (norme ISO 14721) permettra à l’entreprise d’avoir une validation finale du système pilote.
Étape 6 : Le déploiement du système d’archivage probatoire. Nous assurons également un suivi rigoureux du déploiement du projet. Chaque nouvelle implémentation devra faire l’objet d’un audit de conformité initial. En plus des coûts de maintenance matériel et logiciel, il faut également garder à l’esprit que la solution entraînera chaque année des frais associés à son audit de conformité.

Pour conclure

La valeur probatoire des documents doit s’inscrire dans un ensemble d’éléments archivistiques définis tels que le plan de classement, les contrôles et la sécurité, les délais de conservation et la notion de sort final des documents, la capture des documents, les règles de nommage, les métadonnées, l’identification, la recherche, et la restitution.

En addition, des règles organisationnelles (Politique ou Gouvernance documentaire) doivent aussi être clairement définies. Ces règles précisent les fonctions des différents acteurs (archivistes, auditeurs internes, juristes, producteurs, …) et permettent d’assurer la correcte interopérabilité du système d’archivage à valeur probatoire avec les systèmes métiers de l’entreprise, tout en garantissant l’authenticité, l’intégrité, la fiabilité, la confidentialité et la traçabilité des documents électroniques.

Cet Insight fait partie d’une série de contenus sur la gestion des services. Pour creuser les problèmes de gouvernance et de gestion des services, et identifier les solutions et les meilleures pratiques, suivez-nous sur nos réseaux sociaux. Lire aussi :

Tags:

More insights

All insights

taking corporate social responsibility into account in project management

governance & service management

April 08, 2024

ITOM can now realise the promises of ITSM

governance & service management

April 08, 2024

What Is Wegrow?

company newsgovernance & service management

April 04, 2024

Cookie	Duration	Description
__hssrc	Session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	New Relic uses this cookie to store a session identifier so that New Relic can monitor session counts for an application.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.

Cookie	Duration	Description
__hstc	1 year 24 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_ga_JYCPSB48B8	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_*	1 minute	Google Analytics sets this cookie to store a unique user ID.
_gid	1 day	Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 2 months 25 days 10 hours	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.

Cookie	Duration	Description
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	Session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.

trusted advisor for your digital transformation

l’archivage à valeur probatoire, quelle solution choisir ?