Nouvelles exigences de compliance pour la communication par e-mail
Aujourd'hui, l'e-mail s'est imposé comme forme de communication usuelle dans les entreprises. De plus en plus de processus se déroulent actuellement sans papier, par e-mail, que ce soit en interne ou en externe entre partenaires commerciaux.
1 Situation initiale
1.1 Les e-mails, entre success story et problème
Aujourd'hui, l'e-mail s'est imposé comme forme de communication usuelle dans les entreprises. De plus en plus de processus se déroulent actuellement sans papier, par e-mail, que ce soit en interne ou en externe entre partenaires commerciaux.
Le nombre croissant d'e-mails et leur utilisation pour transmettre des informations commerciales sensibles placent les entreprises face à de nouvelles exigences légales et techniques.
Selon les enquêtes IDC, un utilisateur moyen reçoit et envoie en moyenne environ 84 e-mails par jours. Ces chiffres ne cessent d'augmenter et la communication par e-mail remplace de plus en plus la voie postale traditionnelle. Nous constatons quotidiennement combien les e-mails améliorent notre communication et simplifient les processus de coordination.
Mais cette croissance exponentielle n'est pas sans causer certains problèmes. L'immense succès que connaît ce vecteur de communication s'accompagne de problèmes croissants.
Outre les coûts et la stabilité du système, l'archivage des e-mails se justifie aussi par la compliance. L'utilisation des e-mails comme moyen de communication à part entière pose de nouvelles exigences légales et fiscales pour la conservation, l'archivage et le traitement du média qu'est le courrier électronique.
1.2 Un flot de réglementations
La communication par e-mail étant devenue un outil indispensable en interne comme en externe, la question se pose de savoir comment se servir de ce canal de communication en se conformant aux directives internes de compliance et à la législation externe.
La situation juridique est malheureusement complexe. D'une part, les exigences issues de la législation nationale comme le code de commerce (HGB) en Allemagne ou les dispositions fiscales comme les principes d'accès aux données et de confirmation de l'authenticité de documents numériques (GDPdU) s'appliquent.
D'autre part, les entreprises sont soumises aux législations locales des marchés cibles, comme par exemple le Sarbane-Oxley-Act aux États-Unis ou la réglementation édictée par le Minefi en France.
Viennent s'y ajouter des réglementations spécifiques à la branche ou à la fonction comme la MiFID dans le domaine des services financiers ou les réglementations spéciales pour les collaborateurs des Investor Relations contenues dans la loi sur le négoce des titres. Par ailleurs, il convient également de prendre en compte les réglementations adoptées volontairement comme par exemple le Corporate Governance Codex ou Bâle II.
La profusion des exigences est source de confusion, d'autant plus qu'elles se contredisent parfois entre elles : Alors que le HGB laisse à l'entreprise le choix de la forme de conservation, les GDPdU imposent la forme électronique originale pour les informations à caractère fiscal.
Souvent, ce sont les services techniques des entreprises qui seront confrontés à la manière d'appliquer ces réglementations. Mais la question est de savoir comment les services informatiques doivent traiter cet imbroglio d'exigences.
Pour résumer, notons néanmoins que tous les experts s'accordent à dire qu'une partie importante de la communication par e-mail devrait être archivée à long terme. Les analystes Carolyn DiCenzo et Kenneth Chin de Gartner Research le formulent explicitement : « An effective e-mail management policy is essential for organizations in today's litigious environment.»
1.3 Que se passe-t-il dans les entreprises?
Dans la plupart des entreprises, ce problème n'est encore abordé que de manière très désordonnée. Les utilisateurs sont livrés à eux-mêmes pour gérer leurs e-mails, ce qui constitue une charge de travail importante, et ils suppriment ou archivent les e-mails selon leur propre appréciation.
L'archivage s'effectue le plus souvent sous forme de fichiers *.pst ou .nsf totalement inappropriés pour une conservation à long terme. Lorsque des collaborateurs quittent l'entreprise ou changent de poste, la communication par e-mail constitue donc dans une large mesure une boîte noire.
La recherche de communications par e-mail peut se révéler compliquée, aléatoire et lacunaire en cas de nécessité. La restauration des e-mails à partir des backups peut mobiliser d'énormes ressources au niveau du Helpdesk/Admin et durer plusieurs jours, voire des semaines.
Les utilisateurs passent des heures à organiser manuellement leurs boîtes aux lettres pour respecter les restrictions de fichiers mail ou archiver des informations importantes. Gartner Research a calculé qu'une entreprise de 1 000 collaborateurs investit environ 80 000 dollars par mois dans la gestion manuelle des e-mails. Malgré ce travail de titan, des problématiques essentielles du point de vue de la compliance ne trouvent pas de solution.
2 Une approche de solution qui a fait ses preuves du point de vue de l'informatique
2.1 Concentration sur l'essentiel
Nous avons étudié en détail les différentes exigences et réglementations relatives à la compliance. Ces exigences peuvent être classées en deux catégories : Les exigences générales concernant l'archivage et la recherche, et les exigences spécifiques relatives aux processus, aux structures et aux mécanismes de contrôle.
Nous pensons que l'informatique devrait se concentrer sur les exigences générales et laisser aux services spécialisés le soin de clarifier les exigences spécifiques.
Du point de vue de la compliance, on détaille donc les exigences-clés suivantes :
1. L'archivage sûr et à long terme de tous les e-mails entrants, sortants et internes, y compris les métadonnées ? et les pièces jointes, sous une forme non modifiable et permettant une restauration au format d'origine ;
2. La mise en place d'un modèle extensible d'un point de vue technique et organisationnel, même si le nombre d'e-mails double tous les 3 ans ;
3. Une fonction de recherche performante dans tous les e-mails et pièces jointes, indépendamment de leur format.
Ces fonctions centrales permettent de satisfaire à toutes les exigences de compliance pour la communication par e-mail du point de vue de l'informatique.
Il est recommandé pour l'informatique de mettre en place une infrastructure de base qui établit à court terme les bases nécessaires à la satisfaction des exigences de compliance.
L'objectif central de cette solution devrait consister à associer le désagrément nécessaire, c'est-à-dire le respect des prescriptions légales et des directives de compliance adoptées volontairement, à un intérêt, c'est-à-dire la mise à profit d'améliorations informatiques et de potentiels d'économie.
Cette approche nous permet de définir une procédure judicieuse en deux étapes :
Etape 1 : Vous appliquez les exigences-clés du point de vue de l'informatique au moyen d'une solution d'archivage appropriée des e-mails.
Etape 2 : Une fois que les services spécialisés auront fait leur part du travail et formulé des processus et des structures spécifiques, vous intégrez ces applications à votre solution d'archivage des e-mails.
Vous devez accomplir immédiatement l'étape 1. Tout e-mail que vous n'archivez pas aujourd'hui de manière sûre peut être décisif demain. Cette première étape peut être réalisée en quelques jours sans nécessiter de grand projet. L'informatique satisfera ainsi aux exigences fondamentales en matière de compliance et sera en mesure de reproduire chaque e-mail à tout moment et sans gros travail.
Pour permettre la réalisation de la deuxième étape, les services spécialisés sont tout d'abord invités à appliquer en détail les exigences légales en les traduisant par des processus. Il s'agit là d'un gros travail de précision, tant sur le plan juridique qu'organisationnel, dont les résultats ne se feront sentir qu'au bout de plusieurs mois, voire plusieurs années.
De plus, les détails sont appelés à changer fréquemment et des exigences totalement nouvelles sont susceptibles de venir s'ajouter. Cette seconde étape sera donc en quelque sorte un processus d'adaptation permanent pour les services spécialisés.
C'est la raison pour laquelle aucun directeur informatique responsable ne peut se permettre d'attendre les prescriptions des services spécialisés pour appliquer les exigences centrales génériques. Il s'exposerait au danger d'être tenu pour responsable en cas de doute pour une communication par e-mail non reproductible.
Etant donné que l'introduction d'une composante d'archivage des e-mails permet des économies substantielles dans le domaine de l'infrastructure et des coûts administratifs, il est du reste recommandé de mettre en place cette technologie dans l'entreprise dans la mesure du possible.
En dépit des similitudes théoriques, la pratique montre que les entreprises ne parviennent pas à régler la question de l'archivage des e-mails de la même manière que la gestion des documents. Les raisons sont moins liées à la technologie en elle-même qu'à la façon de procéder.
Les approches traditionnelles d'Enterprise Content Management sont souvent vouées à l'échec en matière de communication par e-mail du seul fait qu'elles débouchent sur des processus de coordination et de définition compliqués avec les services spécialisés au sujet des structures d'archivage, des registres d'indexation etc.
2.3 Une liste de contrôle pour le choix d'un système
Au total, cinq critères essentiels doivent être pris en compte pour le choix d'une solution d'archivage des e-mails sous l'angle de la compliance :
- Possibilité d'une journalisation complète et d'un archivage sélectif basé sur des règles
Les entreprises sont dans l'obligation légale d'observer les prescriptions en matière de protection des données pour ce qui est des e-mails à caractère privé. Selon la situation et l'usage des e-mails privés dans l'entreprise, des directives d'archivage différentes doivent s'appliquer. Une journalisation complète de tous les e-mails n'est donc pas applicable durant la première étape pour des raisons liées à l'entreprise, même si cela doit être l'objectif visé à terme.
- Recherche en plein texte dans toutes les pièces jointes (y compris documents scannés par OCR)
De nombreuses entreprises reçoivent des documents intéressants du point de vue de la compliance comme des contrats etc. sous forme numérisée, soit en pièce jointe à un e-mail, soit par fax avec envoi interne par e-mail.
La plupart des systèmes d'archivage des e-mails disponibles sur le marché ne permettent pas la recherche en plein texte dans les documents scannés parce qu'ils ne disposent pas d'une technologie OCR intégrée.
L'idée fondamentale d'une recherche exhaustive s'en trouve contrariée dans la mesure où des documents importants ne restent introuvables. En cas de doute, il ne reste plus à l'entreprise qu'à éplucher manuellement les e-mails contenant des documents pertinents, travail fastidieux s'il en est.
- Compatibilité avec plusieurs infrastructures de messagerie électronique
Dans une époque comme la nôtre marquée par les fusions et acquisitions, il peut vite arriver qu'une entreprise abrite plus d'une infrastructure de messagerie électronique.
À cela s'ajoutent les migrations entre les différents univers de produits. Le produit d'archivage choisi doit être compatible avec un vaste éventail de plates-formes. Selon nous, la compatibilité avec IBM Lotus Notes, Microsoft Exchange, Novell GroupWise et les plates-formes basées sur SMTP et IMAP représente un minimum.
- Mise en place rapide
Comme nous l'avons vu, la rapidité de la mise en oeuvre est un facteur décisif quant il est question de choisir un système d'archivage des e-mails. Les éléments centraux des exigences de compliance devraient être mis en place en quelques jours.
- Développement d'archives complètes en vue de la compliance
La plate-forme d'archivage de base devrait être en mesure d'intégrer, outre les e-mails, d'autres formats et médias tels que des documents, des enregistrements téléphoniques, des vidéos ou des contenus en ligne. Ce n'est qu'ainsi qu'un processus d'e-Discovery à long terme pourra se voir accorder l'importance qu'il mérite.
Conclusion
La croissance quantitative et qualitative de la communication par e-mail requiert d'emprunter de nouvelles voies pour la gestion technique et organisationnelle des e-mails. Aujourd'hui déjà, les nombreuses exigences de compliance exigent un archivage sécurisé et sans lacunes des e-mails.
Le nombre des réglementations à observer en matière de compliance étant déjà considérable, même pour les petites entreprises, il n'est pas judicieux que le service informatique se penche en détail sur ces exigences pour dresser un catalogue de critères en vue du choix d'un logiciel d'archivage des e-mails.
Le service informatique doit plutôt choisir un produit satisfaisant aux exigences centrales mentionnées dans ce document technique. Lors de la sélection du produit, il convient de veiller tout particulièrement à ce que sa mise en place puisse s'effectuer sans lourd projet informatique.