Archivage électronique : il faut voir au-delà de la simple conservation
L’archivage électronique est bien plus qu’un simple processus de stockage et de partage de l’information. Il garantit la confiance dans les documents et vise à maintenir leur recevabilité juridique durant cette conservation.
L’archivage électronique à vocation probatoire au sein d’un SAE (système d’archivage électronique) va bien au-delà de la simple "conservation" passive de fichiers sur des disques ou au sein d’une GED (gestion électronique de documents). Bon nombre d’organisations n’ont pas encore pleinement conscience de cette nuance et confondent les deux types d’outils. Ils sont pourtant radicalement différents, tant en termes d’usages que de fonctionnalités, et même complémentaires.
Il est important de bien faire la distinction entre d’une part une GED, qui se présente comme un système de gestion de l’information permettant de décrire, de classer et partager des documents, de collaborer en vue de leur création ou encore de gérer leur "versionning" et d’autre part, l’archivage électronique qui, quant à lui, permet de garantir l’intégrité, la disponibilité, la confidentialité et la pérennité dans le temps de documents électroniques "finalisés". L’archivage électronique est ainsi bien plus qu’un simple processus de stockage et de partage de l’information. Il garantit la confiance dans les documents et vise à maintenir leur recevabilité juridique durant cette conservation.
Stockage vs intégrité, pérennité et traçabilitéAvec l’essor du cloud et la prolifération des logiciels de réplication et de sauvegarde, les services informatiques ont l’impression de pouvoir conserver facilement et sur une longue durée les informations de leurs bases documentaires. Or tout cela ne constitue absolument pas un archivage, qui lui s’inscrit dans une logique de conformité légale ou de pérennité patrimoniale. Seul un SAE est à même de fournir un environnement informatique sécurisé garantissant l’intégrité et la pérennité des documents probants de l’organisation ainsi que la traçabilité des actions intervenants durant leur cycle de vie.
Pérennité des formats et lisibilité des documentsL’archivage d’un document passe nécessairement par une opération de versement dans un système d’archivage. Lors de cette opération, le document doit, si nécessaire au regard du format de fichier utilisé, être préalablement converti dans un format pérenne (comme le format PDF/A) de même que ses informations (métadonnées) descriptives et applicatives encapsulées (XML par exemple), avec la durée de conservation requise. Des informations sur les droits d’accès et/ou de confidentialité de l’archive permettant de conserver l’ensemble du contexte historique du document doivent être ajoutées. La pérennité et la lisibilité des documents archivés impliquent l’utilisation de formats de fichiers qui resteront lisibles sur le long terme, mais aussi le contrôle et la validation technique de ces derniers au moment du versement. Une procédure obligatoire afin de garantir cette "relisibilité" dans le temps des documents archivés.
Certification du SAESi la conformité aux normes concernant l’archivage de documents est très importante, elle ne doit toutefois pas être basée sur un simple processus "déclaratif" : il faut que le prestataire puisse en justifier, ce qui se fait par la certification NF461. Dans le cas de l’existence d’une GED au sein de l’entreprise, l’utilisateur peut visualiser une icône représentant le document. Si celui-ci est contesté, il peut cliquer sur la vignette afin de visualiser le fichier original archivé dans le SAE, ainsi que les éléments de preuve associés (signature électronique, rapport de vérification d’intégrité, rapport de validation de la signature électronique etc.).
Cas particulier : la signature électroniqueDans toute situation, il faut être capable de démontrer qu’un document existait bel et bien à une date “certaine”, autrement dit, une date non modifiable par l’administrateur du réseau ou du logiciel utilisé pour la conservation. Il convient aussi d’assurer l’intégrité des archives, voire de la chaîne d’archives, afin de se protéger contre une éventuelle destruction (y compris une mauvaise manipulation d’un utilisateur), insertion ou opération malveillante. Les documents signés électroniquement en particulier nécessitent une validation de la signature en amont (faute de quoi cela n’est plus possible une fois que le certificat électronique utilisé pour la signature sera arrivé à échéance de ses 2 ou 3 ans de vie) et impliquent une veille technologique avec différentes actions à mener pendant la phase de conservation pouvant aller, afin de se prémunir d’une obsolescence ou compromission de l’algorithme utilisé dans la signature, jusqu’à une sur-signature du document concerné grâce à un nouvel algorithme plus sûr et plus performant.
Dossier de preuve et réversibilitéL’intérêt de l’archivage électronique par rapport à une simple GED réside aussi dans la complétude et la qualité du dossier de preuve (traçabilité/journalisation des événements, preuve d’intégrité, date certaine, algorithme utilisé etc.). Quant à la réversibilité, elle ne consiste pas simplement à restituer le fichier, mais aussi tous les éléments nécessaires au maintien de la valeur probante et de la traçabilité.
Sécurité renforcéeNotez qu’un SAE permet de protéger les documents de l’entreprise, y compris face à des malveillances internes ou à des erreurs de manipulation d’utilisateurs ayant des droits en suppression. D’abord, le SAE permet de réaliser des vérifications périodiques d’intégrité sur l’ensemble des documents archivés, afin que ce ne soit pas au moment d’une restitution ou d’un contentieux que l’on s'aperçoive d’une rupture d’intégrité et donc d’une non recevabilité. Ensuite, avec le SAE, il est également possible de lancer manuellement des rapports d’intégrité sur une archive donnée avant de la partager avec son service juridique ou un conseil externe en cas de contentieux ou de contrôle. Enfin, si le SAE est certifié NF461, la destruction est "encadrée" et ne peut être opérée qu’en plusieurs étapes avec différents niveaux de validation.
La GED et le SAE sont complémentairesIl ne faut donc pas confondre un système d'hébergement de fichiers dans le cloud ou une GED, avec un système d’archivage électronique de long-terme. Le premier est une "commodité" censée faciliter l’activité de l’organisation au quotidien, alors que le second constitue un point clé de la pérennité et la conformité des écrits électroniques de l’entreprise. La différence la plus notable réside dans la garantie d'intégrité et d'authenticité confirmant que ces fichiers n'ont pas subi de modification. Impossible donc de substituer l’un à l’autre. Chacun possède ses caractéristiques et ses fonctionnalités propres qui en font des outils complémentaires.