Les entreprises françaises archivent mieux et plus qu’avant, mais elles peinent à se conformer aux obligations légales et n’identifient pas toujours les risques associés.
Dans un mouvement perpétuel qui entraîne chaque entreprise à dématérialiser toujours plus de documents, se pose la question de la gestion du patrimoine informationnel lorsque le papier a disparu. On y répond par une gouvernance documentaire dont l’un des enjeux est de déterminer précisément où sont conservées les données numériques, et comment les produire en cas de nécessité. La plupart des entreprises sont aujourd’hui au fait de l’importance d’archiver et non plus seulement de stocker. On leur vend des GED, des coffres forts électroniques, des SAE. Autant de solutions qui permettent d’archiver mais pas avec le même degré de sécurité. C’est la notion de risques, et donc leur gestion, qui arbitre le choix entre ces différentes approches. « L’archivage est vu comme une finalité pour garantir ce qu’on appelle la valeur probante mais finalement, on s’occupe un peu moins des processus complets qui permettent d’archiver les documents dont l’intégrité est garantie dès le début de la chaîne. Si l’archivage est aujourd’hui un des éléments qui peut garantir qu’un document ne sera pas altéré, le process complet n’est pas toujours tracé, et il arrive que l’on rentre en archive des documents qui ne sont pas authentifiés », souligne Jacques Robin, directeur associé d’Amexio.
Consultation et réversibilité des données
Selon les activités en jeu, les entreprises doivent répondre à des exigences légales et réglementaires. L’un des objectifs de l’archivage est de garantir une conservation de l’information sur du court et moyen terme ou sur des durées courant sur plusieurs décennies. Les archives dites courantes concernent l’ensemble des documents relatifs aux affaires en cours. Lorsqu’elles ne sont plus considérées comme courantes, les archives intermédiaires sont encore consultées ponctuellement. Le très long terme, 50, 70, 100 ans et plus, définit quant à lui les archives dites définitives. Editeurs et tiers archiveurs assurent la consultation et la réversibilité des données, quelle que soit la durée du temps passé. L’externalisation est souvent l’approche retenue car elle permet à l’entreprise de bénéficier des évolutions des technologies, sans avoir à consentir de lourds investissements. De fait, l’offre des plateformes de services est riche, mais savoir à qui on confie ses données est important. « Sur les métiers de la confiance, les entreprises ont besoin d’être rassurées sur le fait que la technologie proposée est développée ou pour le moins maîtrisée en France, avec des infrastructures situées sur le territoire, et c’est une tendance qui ne va certainement pas baisser en 2016 », souligne Charles du Boullay, DG de CDC Arkhinéo.
Un système normatif exigeant
La fameuse norme française NFZ 42-013 précise les mesures techniques et organisationnelles autour du fonctionnement d’un Système d’Archivage Electronique. Elle garantit notamment la vocation probatoire des documents qui y sont archivés. La norme ISO 14641 est son pendant international. Par rapport à cette norme NFZ 42-013, il existe la certification AFNOR NF 461 qui est la certification la plus poussée dont peut se prévaloir un SAE. La norme NFZ 42-020 concerne pour sa part le coffre-fort numérique. Enfin, les normes ISO 30 301 et 15 489 cadrent le record management (gestion du cycle de vie des données et des documents).
Coffre-fort électronique ou SAE ?
Les factures dématérialisées au sens fiscal, les bulletins de paye ou encore les contrats sont autant de preuves qu’un système de stockage classique ne saurait conserver avec toutes les garanties requises. En tant que progiciel, le coffre-fort électronique est, lui, en mesure de sceller un document, de créer un journal de preuves, d’horodater ou encore de préserver la qualité d’une signature. Il dépasse les fonctions de conservation pour remplir un rôle d’attestation de dépôt ou d’utilisation des archives. La solution se place au-dessus du système de stockage classique en permettant notamment un contrôle des entrées et sorties des archives sans avoir besoin d’accéder directement aux documents. Mais le coffre-fort électronique n’est qu’une composante d’un SAE, système d’archivage électronique, sans lequel le dispositif ne peut présenter toutes les garanties d’authentification d’un document. Par exemple, seul un chaînage complet d’archives réalisé par un SAE est en mesure de garantir qu’un document placé dans le coffre-fort électronique est bien un original. Autrement dit, un système d’archivage préserve un document à vocation probatoire, tandis qu’un coffre-fort électronique abrite un document mis à disposition selon un haut niveau de sécurité. L’un peut très bien être utilisé sans l’autre.