L'archivage numérique à valeur probante: au coffre!
Patrimoine de l'entreprise, les données sensibles dématérialisées sont soumises à des modalités de conservation strictes. En effet, la reconnaissance par le législateur de la vocation probatoire de ces contenus impose la mise en place d'un système d'archivage électronique sophistiqué.
Je m'abonneDématérialisation oblige, le volume de données personnelles et professionnelles emmagasinées dans le monde frôlerait, selon le cabinet IDC, 2 zêta-octets, l'équivalent de deux milliards de disques durs d'une capacité d'un téra-octet (1 024 octets) chacun. Une croissance qui n'est pas prête de régresser puisque selon la dernière étude d'IBM, la masse mondiale d'information devrait doubler d'ici fin 2011. Les seuls e-mails collectés enregistrent, en volume, une croissance annuelle moyenne de 25 à 30 %.
La gestion des documents électroniques apparaît nettement comme un enjeu critique pour les entreprises, car une partie de ces" données constitue un patrimoine intellectuel, culturel, administratif et légal considérable. Accord commercial, convenu dans un échange de courriels, plan CAO du train d'atterrissage ou encore fiches de paie: les entreprises ont une montagne de contenus sensibles à gérer et à conserver.
Que faire de toutes ces informations? Les conserver sur des serveurs de stockage classiques? « Funeste erreur! », déclare Nathalie Kosciusko-Morizet. La ministre de l'Economie numérique rappelle que, selon le rapport rendu par l'Académie scientifique, les supports numériques couramment utilisés (disques durs, bandes magnétiques, disques optiques, etc.) se dégradent rapidement, ne garantissant pas une conservation illimitée. D'ailleurs, les supports de stockage ne protègent pas l'intégrité des contenus virtuels. Les entreprises ne peuvent donc pas courir le risque de les voir falsifiés, ou plus radicalement détruites. D'un point de vue économique, conserver sur des serveurs de stockage des données électroniques «dormantes» n'est pas neutre. Les coûts de volume de stockage, d'équipement, de maintenance et de communication/réseau sont disproportionnés par rapport à l'accès à des données qui seront exploitées de rares fois lors d'hypothétiques contrôles (audits, sociaux, fiscaux, etc.). Aussi, mettre en place une solide politique d'archivage n'est plus aujourd'hui une option.
Jean-Marc Rietsch, Fedisa
« L'archivage informatique ne doit pas être vécu comme un problème, mais comme un atout pour l'entreprise. »
Impératifs juridiques
Cette dernière décennie, le législateur n'a eu de cesse de se pencher sur la question des modalités de conservation des contenus électroniques. La première loi, datée du 13 mars 2000, introduit la notion de vocation probatoire pour les écrits électroniques, c'est-à-dire visant à servir de preuve en cas de litige. Cette disposition reconnaît à l'écrit sous forme électronique les mêmes propriétés que celles du contenu sur papier, mais à une condition: garantir son intégrité. Cette contrainte suppose que les entreprises assurent l'authenticité et la pérennité des données conservées. « Les documents administratifs, les déclarations sociales et fiscales sont soumis à un délai de conservation pouvant courir jusqu'à 30 ans, explique JeanMarc Rietsch, président de la fédération de l'ILM, du stockage et de l'archivage (Fedisa). Plus long encore, les établissements de santé sont tenus de garder les données médicales dématérialisées des patients à vie. » Quant aux banques, elles ont l'obligation de conserver dix ans les images des chèques capturées lors de l'enregistrement de ce moyen de paiement. A ce jour, seules 35 % des entreprises interrogées pratiqueraient l'archivage de leurs contenus à valeur probatoire (selon Markess International).
zoom
La norme NF Z 42-013
Dans sa dernière révision de 2009, la norme Afnor (Association française de normalisation) NF Z 42-013 précise les différentes modalités liées à la mise en place d'un système d'archivage électronique à des fins personnelles ou commerciales. Son titre est d'ailleurs explicite: «Spécifications relatives à la conception et à l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des documents stockés dans ces systèmes». Outre la pérennité et l'intégrité des données conservées, NF Z 42-013 énumère d'autres caractéristiques exigées d'un bon SAE. Sont ainsi pointés: la sécurité des accès et la protection des sites, la traçabilité exigeant un journal des opérations relatives aux traitements des données, l'exhaustivité garantit par la mise en place de moyens de contrôle des données conservées. La norme fait référence à plusieurs dispositifs précédemment édités dont les référentiels ISO 15489, MoReq et OAIS. Le respect de la norme NF Z 42-013 ne constitue en aucun cas une obligation légale dans l'élaboration d'un SAE. Elle doit être considérée comme un guide de bonnes pratiques pour les entreprises, afin qu'elles puissent se prémunir de tout risque de mauvaise gestion de leurs archives, pouvant donner lieu à contentieux.
Daniel Watelet, EMC
« Certains acheteurs nous demandent de quantifier le tempshomme nécessaire pour intégrer les solutions par leurs propres moyens dans leur système d'information. »
Un atout pour l'entreprise
« La question de l'archivage informatique ne doit pas être vécu comme un problème, mais comme un atout pour l'entreprise », poursuit le président de la Fedisa. Un avis partagé par Bertrand Garé, directeur associé du cabinet de consulting Jemm Research. Selon lui, l'Union européenne prévoit une économie globale de 40 milliards d'euros grâce à la dématérialisation fiscale de l'ensemble des factures des entreprises de la zone d'ici à f n 2012. Une estimation qui tient compte des gains en matière de temps, de prix de facturation mais aussi en termes d'espace accaparé par les archives physiques. En contrepartie, à combien se chiffre en moyenne l'archivage électronique? « On peut estimer un coût de l'ordre de 10 centimes d'euro par document pour une durée de conservation de dix ans, sur la base moyenne d'un document de 100 Ko et de 100 000 documents par an, déclare Jean-Marc Rietsch, avec un retour sur investissement au bout d'un an et demi. » Il est également possible d'estimer un coût au giga-octet prenant notamment en compte l'acquisition du SAE (Système d'archivage électronique, lire l'encadré p. 50) et son intégration au sein de l'infrastructure informatique générale de l'entreprise. « Certains acheteurs nous demandent en effet de quantifier le temps-homme nécessaire à l'intégration par leurs propres moyens de solutions d'archivage dans leur système d'information », témoigne Daniel Watelet, consultant chez EMC.
Si l'of re est pléthorique sur le marché - « l'heure n'est pas encore à la concentration », souligne Bertrand Garé (Jemm Research) - on distingue tout de même trois catégories de prestataires. Première catégorie: les «tiers archiveurs» dont l'essentiel du métier consiste à conserver les documents pour les entreprises sur leurs propres sites. Deuxième groupe, les éditeurs de solutions et de plateformes de dématérialisation électronique qui proposent - directement ou via leurs partenaires - des options de stockage externalisé. Et pour terminer, les traditionnels constructeurs d'équipements de stockage informatique: Hitachi, HP, IBM, EMC... A ces derniers, il est souvent fait le reproche de proposer des systèmes ne répondant pas aux exigences des réglementations européennes et françaises, notamment à la norme NF Z 42-013 (lire l'encadré p. 49). « Ces solutions sont surtout adaptées aux contraintes techniques imposées par la loi américaine Sarbanes-Oxley, explique Alain Borghesi, viceprésident de la FNTC. Il est donc préférable de les compléter par des logiciels d'archivage spécifiques, par exemple ceux destinés à la conservation des documents RH. » Autre limite des solutions de constructeurs: le manque de réversibilité. «Lorsque ces solutions d'archivage sont directement embarquées sur les équipements vendus par les constructeurs, il est très dificile de s'en défaire», critique Didier Louvet, directeur des services infrastructures chez l'éditeur APX. Une prudence en la matière semble donc de mise.
zoom
Que cache l'appellation SAE?
Pour garantir l'intégrité des documents conservés, le système d'archivage est notamment composé d'un coffre-fort numérique dans lequel sont placées les informations dématérialisées. Ces dernières sont intégrées via un mécanisme de scellement pour assurer leur sécurité. Ce mécanisme est caractérisé par la mise en place d'un procédé appelé empreinte, sorte d'identifiant unique attribué à un fichier. Cette empreinte sera accompagnée d'une signature électronique combinée à un jeton d'horodatage, délivrés par un tiers de confiance, renforçant ainsi la preuve de l'intégrité du document. Le système d'archivage électronique peut donc s'avérer complexe pour l'entreprise, d'où l'intérêt du tiers archiveur.
Alain Borghesi, FNTC
«Assurer son archivage électronique à vocation probante, c'est garantir la pérennité du patrimoine informationnel.»
Trois catégories d'archives
Concrètement, il est important d'analyser la volumétrie des informations à conserver aux fins de les discriminer entre elles. La commission nationale informatique et liberté (Cnil) recommande cette politique d'archivage différenciée en fonction de la nature des données à enregistrer. La Cnil propose un classement en trois catégories, définies par le Code du patrimoine, les archives dites «courantes» (documents actifs, révisables, etc.), les archives «intermédiaires» à caractère administratif (fscal, social, comptable, etc.) et les archives dites «définitives» à valeur strictement historique, scientifique ou statistique. Les documents courants et intermédiaires devront être archivés jusqu'au terme de leur durée d'exploitation, dépendant de leur nature. Les «intermédiaires» - utilisées de manière limitée, voir exclusive, par certains services bénéficieront d'un droit d'accès spécifique, conformément à l'article 34 de la loi Informatique et liberté.
Dernière question: faut-il posséder en interne son système d'archivage électronique? Si la majorité des établissements bancaires et des collectivités locales intègre elle-même un SAE dans leur service informatique, cette option n'est pas toujours optimale pour les entreprises. «Assurer soi-même son archivage à vocation probante, c'est être capable de garantir la pérennité de son patrimoine informationnel en appliquant au jour le jour les évolutions technologiques, légales, sociales et fiscales qui s'imposent, explique Alain Borghesi (FNTC). Si tel n'est pas le cas, mieux vaut déléguer ses archives à un tiers de confiance. »