9h05 fntc couderc_dessolin_baumann

3 377 vues

Publié le

journée du 2 octobre

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
3 377
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2 112
Actions
Partages
0
Téléchargements
37
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

9h05 fntc couderc_dessolin_baumann

  1. 1. Gestion des documents d’activité électroniques Principes, Exigences, Valeur probante Sylvie Dessolin-Baumann Directrice du Centre National d’Archives de la Formation Professionnelle (AFPA ) Représentant l’AAF et Présidente de la Commission AFNOR CN46-11 Bruno Couderc Administrateur Fédération des Tiers de Confiance
  2. 2. Rappel : Documents d’activité / Records Documents d'activité (ISO 30300: 2011) : Informations créées, reçues et préservées comme preuve et actif par une personne physique ou morale dans l’exercice de ses obligations légales ou la conduite de son activité. « Documents d’activité » et GDA « gestion des documents d’activité » (ISO 15489:2002, ISO 30300:2011) incluent les documents numériques natifs issus des processus métiers (applications métiers, bases de données, bureautique, mails…) ainsi que les documents nativement papier ou imprimés des processus hybrides, dématérialisés (numérisés)
  3. 3. 3 Champ de l’organisation et de la gestion en charge d’un contrôle efficace et systématique de la création, de la réception, de la conservation, de l’utilisation et du sort final des documents d’activité, y compris des processus de capture et de préservation de la preuve et de l’information liées aux activités et aux opérations sous la forme de documents d’activité. (ISO30300 , 2011) [Adapté de l’ISO 15489-1:2001, définition 3.16] Comment ? La gestion des documents d’activité
  4. 4. Caractéristiques du document d’activité Selon ISO 15489:2001 4 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France Document d’activité Authenticité FiabilitéIntégrité Exploitabilité authenticité : le document peut prouver qu’il est bien ce qu’il prétend être, qu’il a été effectivement produit ou reçu par la personne qui prétend l’avoir produit ou reçu, et qu’il a été produit ou reçu au moment (date et heure) où il prétend l’avoir été. intégrité : le document (information et support) est complet et n’a pas été altéré. fiabilité : le contenu du document peut être considéré comme la représentation complète et exacte des opérations, des activités ou des faits. exploitabilité : le document est exploitable s’il est localisé, repéré, décrit et analysé.
  5. 5. Caractéristiques du SYSTÈME de Gestion des Documents d’Activité Electronique • Continuum : le système doit gérer l’ensemble du cycle de vie du document sans rupture • Fiabilité : tous les documents de l’organisme (du périmètre) doivent être intégrés systématiquement ; le système doit constituer la source première d’information sur les activités décrites et fournir un accès immédiat à tous les documents pertinents et à leurs métadonnées • Intégrité : des mesures de contrôle d’accès, de l’identité de l’utilisateur, de la validité de la destruction et de la sécurité doivent exister. • Conformité : le système doit être conforme à toutes les exigences des process et de l’environnement réglementaire • Etendue : le système doit gèrer l’ensemble des documents issus de l’ensemble des activités de l’organisme ou de l’entreprise, ou au moins de l’entité où il est mis en place • Caractère systématique : les documents doivent être produits, conservés et gérés de manière systématique.
  6. 6. La valeur probante dans l’environnement électronique • Valeur probante de l’écrit numérique • Jusqu’en 2000 en France : c’était l’indissociabilité entre un support matériel durable et l’information qu’il porte*, qui faisait la qualité d’une preuve. • La loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relatives à la signature électronique, a constitué une « révolution numérique. » (*) D’après Françoise Banat Berger et Claude Huc, http://www.piaf-archives.org/espace-formation/mod/resource/view.php?id=200 6 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
  7. 7. La valeur probante dans l’environnement électronique • La loi n°2000-230 du 13 mars 2000 modifiant le Code civil reconnaît la validité comme preuve juridique des documents numériques, au même titre que la preuve écrite sur papier, à condition de pouvoir justifier de leur • et de leur • L’article 1316-1 du Code stipule : « L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. » 7 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
  8. 8. L’authenticité dans l’environnement électronique : la signature électronique La signature électronique : Les deux grandes fonctions de la signature (définition fonctionnelle) : identification et manifestation de la volonté de consentir à des obligations. • « La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. • Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte». • (Article 1316-4, premier alinéa) 8 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
  9. 9. L’authenticité dans l’environnement électronique : la signature électronique La signature électronique « Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. … » (Article 1316-4, second alinéa) « La fiabilité de ce procédé est présumée, jusqu’à preuve du contraire, lorsque la signature est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat. » (Article 1316-4, second alinéa) 9 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
  10. 10. De la signature électronique à l’empreinte • - La signature cryptographique à clé publique • - Le calcul d’empreinte (hash) * • Le processus de signature électronique (ou d’empreinte) garantit l’intégrité du document au cours de son transfert et donne au destinataire la certitude de l’identité de l’expéditeur. • Cela répond à deux exigences clés de la GDAE • (* )voir : Françoise Banat Berger et Claude Huc, http://www.piaf-archives.org/espace- formation/mod/resource/view.php?id=200
  11. 11. L’authenticité dans l’environnement électronique : l’horodatage • • Aujourd'hui, tous les documents émanant des administrations ou des entreprises sont d'abord élaborés sous forme informatique, puis le cas échéant édités pour être transmis sous forme papier. • Exemple : la Facture. Les entreprises sont autorisées à conserver sous forme électronique uniquement, les factures qu'elles transmettent sous forme papier à leurs clients, à condition d'utiliser un système technique répondant à certaines conditions (B.O.des Impôts du 11/01/07) : « 16. L'opération d'enregistrement doit intervenir à une date la plus proche possible de celle de l'opération d'impression de l'original de la facture sur support papier. Le système informatique doit permettre d'identifier ces deux dates. 17. A cet égard, un système informatique qui assurerait l'alimentation de la base de conservation d'une manière automatique et à un moment quasi concomitant à celui de l'impression de l'original papier constituerait un facteur d'appréciation favorable ». 11 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
  12. 12. Exigences appliquées aux documents d’activité électroniques : l’intégrité A l'occasion de la réforme du droit de la preuve consacrée par la loi n°2000-230 du 13 mars 2000, la notion de fidélité et de durabilité a été traduite par le critère fonctionnel global d’« intégrité » mentionné par l'article 1316-1 du Code Civil. L'intégrité d'un document numérique peut, en pratique, être assurée par différents moyens techniques, notamment le calcul d’empreinte 12 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
  13. 13. La fiabilité dans l’environnement électronique • Un document fiable est un document dont le contenu peut être considéré comme la représentation complète et exacte des opérations, des activités ou des faits qu'il atteste, et sur lequel on peut s'appuyer lors d'opérations, d'activités ou de faits ultérieurs. • Il convient que les documents d’activité soient créés au moment de l’événement auquel ils se rapportent ou juste après, par des personnes qui ont une connaissance directe des faits ou par des systèmes utilisés systématiquement pour réaliser l’opération. (ISO15489 :2001 /7.2.3) 13 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
  14. 14. Exigences appliquées aux documents d’activité électroniques : l’exploitabilité L’exploitabilité d'un document d’activité (ISO 15489:2001) • Un document d’activité́ exploitable doit être relié à l'activité ou à l’opération à l'origine de sa création. Les liens entre les documents d’activité́ et les opérations associées qu'ils documentent doivent être maintenus. • Les métadonnées contribuent à l'exploitabilité d'un document d’activité́ en fournissant toute l'information qui peut être nécessaire à sa récupération et sa communication, par exemple un identifiant unique et permanent. 14 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
  15. 15. Les exigences du RM transposées dans l’environnement numérique Authenticité Intégrité , fidélité Fiabilité Exigences Traduction dans l’environnement numérique Horodatage Empreinte numérique Migration des formats et des supports Exploitabilité Métadonnées Signature E
  16. 16. 16 Principes pour la gestion des documents d’activité dans l’environnement électronique (ISO16175) Gestion des Documents Numériques / Séance 1 / Caractéristiques S. DESSOLIN-BAUMANN • La norme ISO 16175-1 a essentiellement pour objectif de transposer les principes généraux du records management dans un environnement électronique. • Elle inclut la notion de valeur probante des documents développée dans la norme ISO 15489 tout en recentrant principalement les exigences sur la capture des documents d’activité et leurs métadonnées, l’identification, le classement, les référentiels de conservation et la destruction. • Lourdes Fuentes-Hashimoto : La mise en œuvre de la norme ISO 16 175 (ICA-Req) : deux retours d’expérience, in Gazette des Archives n,°228, 2012/4
  17. 17. ISO 16175-1 : 4 principes directeurs liés aux documents Gestion des Documents Numériques / Séance 1 / Caractéristiques S. DESSOLIN-BAUMANN • organiser et gérer l’information métier de manière à constituer une trace fiable et probante de l’activité • relier celle-ci à son contexte au travers de métadonnées • la conserver et la rendre accessible aux utilisateurs autorisés aussi longtemps que nécessaire • être en mesure de la détruire de manière organisée, systématique et auditable.
  18. 18. ISO 16175-1 principes directeurs liés aux systèmes (SGDAE) Gestion des Documents Numériques / Séance 1 / Caractéristiques S. DESSOLIN-BAUMANN • que le SGDAE intègre la gestion de l’information métier comme une brique du processus métier • que les systèmes de capture et de gestion s’appuient sur des métadonnées normalisées, • que les systèmes assurent une interopérabilité pérenne entre plateformes et domaines d’activités • qu’ils reposent autant que possible sur des standards ouverts et soient indépendants de toute solution technologique, • qu’ils permettent des imports et des exports de masse en utilisant des formats ouverts, • qu’ils maintiennent l’information métier dans un environnement sécurisé, • que la validation et la capture des documents traçant les activités soient aussi simples que possible pour les utilisateurs, en particulier • que les métadonnées soient principalement générées par le SGDAE.
  19. 19. 19 Métadonnées pour la GDA dans l’environnement électronique (ISO 23081) • Les métadonnées sont essentielles pour établir de manière incontestable le type, la structure et l’intégrité du document à tout moment, et pour attester de sa relation avec les autres documents (ISO 15489 9.3). Les métadonnées du records management sont utilisées pour identifier, authentifier et contextualiser les documents d’activité , ainsi que les personnes, les processus et les systèmes qui les créent , les classent les maintiennent et les utilisent et les règles appliquées. Elles garantissent l’authenticité, la fiabilité, l’exploitabilité et l’intégrité des documents d’activité ISO 23081-1 (partie 4) • l’article de C. Maday et M. Taillefer « Les métadonnées du records management du point de vue des normes ISO » La Gazette des archives, n° 228 / année 2012-4
  20. 20. PRESERVER LA VALEUR DES DAE 20  DAE nativement électroniques  DAE issus d’un processus de dématérialisation  Notion d’objet numérique ou électronique  Les risques : obsolescence, altération, ….
  21. 21. 21 "COPIE NUMERIQUE FIDELE"  Deux types de fidélité des copies : Formelle Informationnelle  Processus de numérisation produisant des copies fidèles (fichiers de format standard assorti d’attributs (horodatage, signature du prestataire, empreinte, métadonnées, …
  22. 22. 22 Comment s’assurer d’une copie fidèle (formelle)? • Elle doit, visuellement, se présenter comme l'original, avec les indications du papier à en tête et la signature de l'expéditeur. • Techniquement, cela peut se traduire par la création d'un enregistrement numérique de type PDF du courrier original signé, qui sera horodaté, le cas échéant sécurisé par un calcul d'empreinte (ou « hash ») permettant de garantir qu'aucune modification ne pourra lui être apporté par la suite et, surtout, conservé par un système qui garantisse la traçabilité de toutes les opérations effectuées sur le document après sa création.
  23. 23. 23 "COPIE NUMERIQUE FIDELE"  Travaux en cours à l’AFNOR Objectif : une norme au 1er semestre 2016 Adossement à une certification (prestataire interne ou externe)  En parallèle : projet de modification de l’art. 1348 du Code Civil  Possibilité de destruction des documents papier dd’origine
  24. 24. 24 La norme NF Z 42013 (ISO 14641) • La norme NF Z 42013 « spécifications relatives à la conception et l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes », désormais portée à l’international sous le numéro ISO 14641. Première version 1999. révisée en 2009, ce qui a permis notamment d’élargir son périmètre à tous les types de supports numériques et non plus aux seuls disques optiques numériques non réinscriptibles. • Norme + technique que fonctionnelle, se concentrant sur les caractéristiques du système informatique sur lequel s’appuie le SGDAE. Elle met l’accent sur la traçabilité de tous les processus en oeuvre comme la numérisation de documents, l’horodatage, les communications, etc. ainsi que sur les exigences du système en matière desécurité et d’accès. • Elle définit les clauses nécessaires dans un contrat de service passé avec un tiers archiveur. • Elle insiste sur la question de l’intégrité des documents et sur la capacité à apporter la preuve de cette intégrité. Elle aborde aussi la nécessité de disposer d’une description détaillée de tous les constituants du système et d’une traçabilité exhaustive de tous les changements. c
  25. 25. 25 LA NORME NF Z42-013 (ISO 14641)  Spécifie des solutions pour préserver la valeur des DAE (et des informations associées) : Pérennité Intégrité Preuve des garanties par un système de journalisation  Garanties apportées par une certification Afnor (marque NF461)
  26. 26. 26 LA NORME NF Z42-013  Révision en cours : Objectif : fin 2016 Prendre en compte les évolutions techniques, par exemple le stockage dans le cloud Standardiser les méthodes et les solutions d’interopérabilité et de réversibilité Intégrer, à titre d’exigences, les dispositions normatives de sécurité des systèmes d’information

×