dossier :Sécurité Record management ou archivage ? Catherine Leloup, Administrateur de l’AFAI Le terme « Record management » traduit un concept anglo-saxon qui a souvent bien du mal à trouver son équivalent dans les cultures latines. Pourtant il y en a un qui convient bien : gestion des archives. Encore faut-il s’entendre sur la notion d’archives et bien en analyser les enjeux, notamment au plan de la maîtrise des risques. • La revue n° 85 - Février 2007 1. Que signifie « Record management » ? 8 Le terme « record », qu’on traduit littéralement par enregistrement, recouvre toute information (donnée ou document) qui trace l’activité de l’entreprise. C’est donc aussi bien une commande qu’une facture, un rapport d’étude du côté document, qu’un planning ou un budget ou une écriture comptable au niveau données. Le « record management » a, comme son nom l’indique, pour but de gérer ces enregistrements tout au long de leur cycle de vie, depuis la création jusque et y compris la destruction. La réglementation américaine permet en effet aux « attorneys », dès lors qu’un procès est lancé, de se livrer à une « discovery », autrement dit de rechercher parmi l’ensemble des enregistrements de l’entreprise, ceux qui serviraient la cause de la partie adverse et apporteraient des preuves de ses dires. C’est donc à la fois une obligation légale de mettre à disposition l’ensemble des enregistrements disponibles, mais aussi une question de sécurité, dans la mesure où il convient de s’assurer que les enregistrements reflètent bien les activités de l’entreprise (ce qu’elle a fait) et non pas d’éventuelles discussions internes. C’est donc aussi une politique du strict nécessaire qui allie la protection des informations essentielles et la suppression impitoyable des informations sans valeur pour l’entreprise ou l’organisation, le tout dans le respect des obligations réglementaires et légales. Les piliers d’un « record management » sont donc : • une typologie des enregistrements, qui définit pour chacun, leur criticité pour l’entreprise, la durée de conservation, le lieu de stockage au cours de sa vie, le responsable (ou propriétaire), • des processus organisés de gestion de ces enregistrements : stockage, diffusion, suppression, etc., • un ou des outils automatisés qui vont en particulier assurer : – l’unicité de stockage de chaque enregistrement : afin d’éviter toutes duplications et être ainsi certain, lors de la suppression, qu’aucune copie ne subsiste, – le stockage des enregistrements dans les réservoirs appropriés, avec au besoin le déplacement d’un réservoir vers un autre, au cours du cycle de vie de l’enregistrement, – le respect des règles de confidentialité. Quelque part, il s’agit de piloter la gestion des informations, en prenant en compte l’ensemble des supports – papier, électronique, etc. – des modalités de production – base de données, outils bureautiques, messages électroniques, etc. – pour garantir qu’à tout moment l’information de référence pour l’entreprise ou l’organisation est correctement stockée. 2. Et une vraie gestion des archives ? 2.1. Archives Le terme « archives » est souvent entendu au sens commun comme le stock de papiers inutilisés qui dort dans les armoires et objet d’une grand messe – en général au moment des périodes de sous-activité de l’entreprise, au mois d’août – de nettoyage ou de déménagement auprès d’un tiers archiveur. Pourtant en France, la définition des archives est très clairement exposée dans la loi 79-18 du 03/01/1979, abrogée depuis, mais dont l’essentiel a été repris dans le code du patrimoine1, livre II au chapitre 1er, articles L. 211-1 à L. 214-7, et que, malheureusement beaucoup ignorent : Article L. 211-1 : « Les archives sont l'ensemble des documents, quels que soient leur date, leur forme et leur support matériel, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité ». Article L. 211-4 : « Les archives publiques sont : a) les documents qui procèdent de l'activité de l'État, des collectivités territoriales, des établissements et entreprises publics ; b) les documents qui procèdent de l'activité des organismes de droit 1. Voir : www.legifrance.gouv.fr 8 Sécurité :dossier c) les minutes et répertoires des officiers publics ou ministériels ». Les archives privées étant celles ne rentrant pas dans le cadre de l’article L. 211-4. Article L. 212-15 : « Les archives privées qui présentent pour des raisons historiques un intérêt public peuvent être classées comme archives historiques, sur proposition de l'administration des archives, par décision de l'autorité administrative ». Le texte explique également les règles de conservation et le caractère imprescriptible des archives publiques ou historiques. Autrement dit, une archive existe dès sa création, doit être gérée tout au long de son cycle de vie et reflète l’activité de l’entreprise ou organisation. Ce concept est donc quasiment identique à celui de « record ». La seule différence est dans la notion de document, qui a en France, une connotation implicite de l’ensemble constitué d’un contenu et d’un contenant. 2.2. La gestion des archives Le code du patrimoine évoque classement, durée de conservation, confidentialité (en particulier via la gestion des archives contenant des données personnelles). Une vraie gestion d’archives, au sein d’une entreprise ou d’une organisation, doit gérer l’ensemble du cycle de vie des archives en distinguant les quatre étapes classiques : • archives vivantes, d’utilisation courante, • archives semi-vivantes, d’utilisation plus rare, • archives mortes, exceptionnelle, d’utilisation • archives historiques, pour lesquelles l’archive revêt un intérêt historique, au-delà de la preuve d’activité de l’entreprise ou de l’organisation. 9 Avec une logique de tri entre chaque étape, de conditions et de durée de conservation, de règles de confidentialité et donc d’accessibilité, sans oublier la notion de propriétaire, responsable de la bonne tenue des archives au cours de leur vie. Les piliers d’une politique d’archivage sont donc : • les chartes d’archivage : – charte de conservation, qui précise comment sont stockées et conservées les archives en matière de lieu, durée, conditionnement, ainsi que leur propriétaire, – charte de consultation, qui précise les conditions d’accès aux archives, et notamment les questions d’accessibilité ; • les règles de confidentialité, et notamment les niveaux de confidentialité en vigueur et leur signification, par exemple vis-à-vis de la reproduction ou de la diffusion des contenus, • les processus de gestion, qui décrivent les modalités de versement des archives, de tri préalable, de conditionnement, etc., • un ou des outils automatisés qui vont supporter ces processus. 3. Des notions proches Les finalités du « record management » et de la gestion d’archives sont finalement assez proches, même si le « record management » va quelque part plus loin, en se comportant comme un chef d’orchestre des systèmes – notamment automatisés – en place : « Record management » Gestion d’archives Informations gérées Tout type : données, documents Documents seulement Unicité de stockage Oui Non. La gestion d’archives n’implique pas nécessairement la destruction des copies Règles de gestion de la confidentialité Oui Oui Gestion du cycle de vie de l’information Oui, y compris unicité Oui, pour l’archive de référence Gestion des durées de conservation Oui Oui Gestion des « réservoirs » de stockage Oui et quelle qu’en soit la nature : papier ou outils informatiques, y compris bases de données ou outils de messagerie électronique, systèmes documentaires ou collaboratifs, etc. Oui pour les supports papier et de plus en plus les documents électroniques, dans des systèmes ad hoc Contrôle des accès à l’information Oui Oui Nécessité de la définition d’un propriétaire Oui, via la typologie des enregistrements Oui, via la charte de conservation En effet, le « record management » s’attache à l’unicité de stockage de l’information et à sa prise en compte globale, quel qu’en soit le support et la nature. cas de procès ou de contrôle externe de ses activités, « record management » et gestion d’archives sont aussi et surtout des aides à la maîtrise des risques : 4. …Aux enjeux vitaux pour l’entreprise • Au plan financier, ou plus exactement vis-à-vis de la rationalisation des coûts de gestion dans l’entreprise : quand on sait qu’un document est en moyenne dupliqué 6 à Au-delà de la capacité pour l’entreprise ou l’organisation à justifier en • La revue n° 85 - Février 2007 privé chargés de la gestion des services publics ou d'une mission de service public ; 9 dossier :Sécurité 10 fois dans l’organisation, tant en matière de stockage que de temps passé à classer ces copies, les enjeux peuvent être considérables. • Au plan de la gestion de la confidentialité : des règles précises qui non seulement définissent les niveaux de confidentialité, mais aussi et surtout les conditions d’utilisation – en matière de diffusion ou de réutilisation des contenus par exemple – sont autant d’outils pour minimiser les risques de fuite ou de fraude. • Au plan de l’intégrité de l’information : le stockage unique garanti par le « record management » est indéniablement une aide à l’obtention de l’intégrité, grâce à la suppression des copies et à la typologie précise des informations. Par exemple, si une gestion d’archives définit un dossier donné, elle peut ou pas en préciser le contenu ; en « record management », c’est indispensable. • Au plan de l’accès à l’information : si en effectuant une recherche dans un système de « record management », on ne trouve pas l’information, c’est qu’elle n’existe pas ou plus, car elle a été volontairement détruite. La gestion des archives est aussi conçue pour permettre des recherches efficaces largement après la période d’utilisation courante des archives. En outre, les projets en la matière induisent des effets largement bénéfiques comme : • La sensibilisation des utilisateurs à : – la notion de copyright, – la protection des données personnelles, – la réutilisation d’information, et les bonnes pratiques correspondantes, – la notion de propriétaire de l’information dans l’entreprise ou l’organisation, et donc de responsabilité. • La définition de bonnes pratiques en matière d’utilisation des systèmes automatisés comme la messagerie, la bureautique, les espaces partagés, etc. • La réflexion de fond sur les méthodes de gestion de l’information et les responsabilités. Comme tout outil d’aide à la maîtrise des risques, « record management » et gestion d’archives relèvent d’un cocktail de management, d’organisation et d’outils informatiques, dont la combinaison harmonieuse sera le garant du succès. • La revue n° 85 - Février 2007 L’irruption du client dans des Directions des Systèmes d’Information, parfois un peu isolées dans leur tour d’ivoire, peut se révéler assez décapante. C’est pourtant le seul moyen d’aligner les attentes des Métiers aux services offerts par la DSI. Cet ouvrage décrit de façon très opérationnelle la mise en place et le pilotage des centres de services internes ou externalisés. En s’appuyant sur ITIL et sur la norme ISO 20000, on y trouve une explication éclairante des avancées majeures de ces standards pour la qualité des services offerts. 10 Par ailleurs, le lien est fait entre la gouvernance des systèmes d’information et la régulation de la demande des utilisateurs, que ce soit en TMA ou en niveau de service. Un exemple de balanced scorecard (BSC) illustre une voie pour piloter l’activité de la DSI. Enfin, un guide d’audit permet de mener des évaluations de situations concrètes pour s’améliorer.