- DOSSIER - ARCHIVAGE DES EMAILS
- intel-logo1
Cerner les enjeux
En croissance constante, la volumétrie des messages électroniques ne pose pas seulement des problèmes de stockage. Elle nécessite aussi une gouvernance fine, adaptée à l’accès à l’information et aux exigences réglementaires. Si ces conditions ne sont pas réunies, la conservation des e-mails peut se transformer en casse-tête. Solutions IT se penche sur les pratiques essentielles à adopter.
Selon Radicati Group, 5 milliards de messageries seront exploitées dans le monde en 2017 avec une croissance annuelle de 250 millions de comptes. Rien qu’en 2015, 205 milliards d’e-mails ont été échangés dans le monde, et les prévisions tablent sur 246 milliards d’ici 2019. La France compte pour 1,4 milliard d’e-mails hors spam. On estime en outre qu’un individu reçoit en moyenne 45 messages électroniques par jour dans le cadre de ses activités professionnelles. Dans un contexte où 90 % des documents créés aujourd’hui le sont au format électronique, le système de messagerie devient le référentiel de données le plus important de l’entreprise. Mais l’essentiel des mails n’est ni classé ni archivé en bonne et due forme. Pire, le traitement des documents engageants pour l’entreprise, à produire en cas de litiges, est loin d’être une réalité. Sans parler de la protection des données véhiculées par les messages ni des potentielles failles de sécurité qu’elles peuvent représenter. Voilà le constat livré par la plupart des professionnels lorsqu’on leur demande de dépeindre la gestion de la messagerie électronique dans les structures privées ou publiques. Or le risque d’indisponibilité de l’information pèse sur toute entreprise qui ne parvient pas à maîtriser la gestion de ses courriers électroniques. Les écueils sont d’ordre procédural mais aussi technique, l’archivage des e-mails renvoyant aux contraintes de l’archivage au sens général du terme, avec ses outils, ses méthodes et sa politique.
Donner à l’e-mail le même statut qu’un document papier ou numérique
Si la législation anglo-saxonne impose l’archivage des courriels, notamment depuis le fameux Sarbanes Oxley Act, il règne en Europe et particulièrement en France un flou juridique quant aux obligations de conservation. On se contente en effet de parler d’archivage légal ou à vocation probatoire en référence à la fameuse loi du 13 mars 2000 qui détermine la valeur du document électronique : « l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ». Dans les faits, la valeur probatoire d’un e-mail est soumise à l’appréciation d’un corps législatif qui ne s’attache jamais aux moyens techniques mis en œuvre, la gestion de la preuve restant libre en droit des affaires ou en droit commercial.
Pour autant, la valeur légale d’un email reste supérieure à celle d’un courrier papier. « Un courriel est un document élaboré et transmis directement sous forme numérisée, mais lors de l’élaboration et de la transmission, ce document se voit adjoindre des métadonnées qui ne sont pas toutes directement visibles mais qui concourent à en garantir intégrité, authenticité et traçabilité : début de la création, envoi, passage dans les différents serveurs d’acheminement, réception, ouverture du document, numéro d’ordre non modifiable, clé de contrôle permettant de détecter des altérations au texte transmis et aux métadonnées, identification des postes et des serveurs émetteurs et récepteurs, etc. Dans ces conditions, un simple courriel est plus probant qu’un courrier ordinaire, voire qu’un courrier recommandé », rappelle Michel Thevenot, fondateur d’Arkheos.
A cela s’ajoutent les pièces jointes aux messages, qui constituent souvent des documents importants et qui nécessitent alors un traitement adapté, défini notamment dans la politique d’archivage, elle-même calquée sur les règles de conservation appliquées à la correspondance papier.
Une politique d’archivage encore peu répandue
Cette politique détermine les principes de gouvernance permettant de se conformer à l’environnement réglementaire, répondre au besoin de mémoire et anticiper le risque de ne pas archiver et conserver certains documents. Elle évalue ainsi la nature des e-mails susceptibles d’engager la responsabilité de l’entreprise et qu’il convient d’archiver pour une durée donnée en fonction des activités de chaque organisation.
Pour les experts, cette politique n’est d’ailleurs pas encore suffisamment répandue dans les entreprises. « Même si elles ne sont pas encore nombreuses à avoir la maturité permettant de définir une politique d’archivage cohérente, les organisations ont pris conscience de l’importance de conserver les e-mails et de préserver la richesse des informations qu’ils peuvent renfermer. Ce niveau de maturité reste bien sûr variable selon la taille des entreprises et de la criticité des données traitées, mais la plupart d’entre elles se posent des questions sur la spécificité de l’e-mail par rapport aux documents engageants, la mise en œuvre des solutions ou encore comment elles peuvent répondre aux exigences de la CNIL. Elles s’interrogent à la fois sur les enjeux techniques et organisationnels », estime Caroline Lestoquoy, consultante produit chez Cimail.
Les offres disponibles sur le marché savent aujourd’hui gérer l’hétérogénéité des formats des messageries. Le processus d’archivage repose sur un système centralisé dans l’entreprise ou dans le cloud et doté d’un certain nombre de briques, par exemple un moteur de règles en entrée qui identifie la valeur des e-mails que l’on doit archiver et active des fonctions de sécurisation et de confidentialité adaptées à cette valeur. C’est donc à l’entreprise de réaliser l’analyse des messages et de spécifier la manière dont les e-mails doivent être déposés, qualifiés, stockés et référencés dans le système d’archivage. Mais la solution doit faire preuve de souplesse : soit laisser l’utilisateur effectuer lui-même son archivage ou définir ses propres règles d’archivage avec ou sans consignes préalables, soit, au contraire, exécuter des archivages automatiques selon une politique définie dont les possibilités doivent être aussi larges que possible, y compris celle d’un archivage continu.
Le statut des e-mails privés au bureau
En France, l’envoi d’e-mails privés sur le lieu de travail doit être accepté par l’entreprise. Mais la CNIL impose aux entreprises de ne pas conserver de données privées. Si un bon système d’archivage électronique est censé filtrer les e-mails à archiver, seul l’employé peut déterminer ce qui est vraiment d’ordre privé. Plusieurs solutions s’offrent à l’entreprise pour gérer correctement ce droit, en conformité avec la directive CNIL : demander aux employés de classer l’e-mail comme personnel avec la balise permise par la messagerie, demander aux employés de rajouter dans l’objet de l’e-mail l’étiquette « Perso » ou « Privé », ou enfin, demander aux employés d’avoir un dossier dans leur boîte aux lettres nommé « Perso ». Avec l’une de ces trois options, le système d’archivage électronique saura faire le tri et éviter l’archivage inopportun d’une correspondance privée.
Déterminer les e-mails à archiver
Quels emails doit-on conserver et archiver, et combien de temps ? Que faire des pièces jointes ? Et les e-mails d’ordre privé ? Autant de questions auxquelles répond Michel Thevenot d’Arkheos. Pour lui, les e-mails externes sont concernés au premier chef. Tout message envoyé à l’extérieur par un employé utilisant la messagerie d’entreprise est engageant pour l’entreprise vis-à-vis du destinataire, sauf convention synallagmatique (contrat bilatéral) contraire avec la personne physique ou morale destinataire. L’entreprise n’est d’ailleurs pas forcément au courant de cet engagement. Inversement, les mails reçus, même à titre personnel, peuvent comporter certains termes engageants pour l’entreprise. Les e-mails internes sont quant à eux souvent porteurs de droits ou de devoirs et sont également engageants. D’autres constituent des dossiers de travail internes quand ils ne participent pas au patrimoine de l’entreprise. Leur conservation apparaît donc légitime.
Si les pièces jointes sont conservées en interne pour d’évidentes raisons documentaires, elles se doivent d’être archivées avec l’email de transmission car leur transmission par voie électronique est engageante. Cela vaut pour tous les fichiers joints aux emails, le lien entre les deux devant toujours être maintenu. Une attention toute particulière doit être portée sur les contrats. Si certains s’affichent dans le corps de l’email et peuvent être signés électroniquement, nombre d’entre eux sont encore insérés en pièces jointes. Ils doivent donc être édités, imprimés, signés à la main, puis scannés avant d’être réexpédiés par email.
Enfin, les principes de sélection des emails à conserver, puis à archiver dans le temps, s’appliquent suivant les mêmes règles de conservation en vigueur pour la correspondance au format papier, et respecter selon le document le délai minimal de conservation.