1. Gestion des documents d’activité électroniques
Principes, Exigences, Valeur probante
Sylvie Dessolin-Baumann
Directrice du Centre National d’Archives
de la Formation Professionnelle (AFPA )
Représentant l’AAF et Présidente de la
Commission AFNOR CN46-11
Bruno Couderc
Administrateur
Fédération des Tiers de Confiance
2. Rappel : Documents d’activité / Records
Documents d'activité (ISO 30300: 2011) :
Informations créées, reçues et préservées comme preuve et actif par une
personne physique ou morale dans l’exercice de ses obligations légales ou la
conduite de son activité.
« Documents d’activité » et GDA « gestion des documents d’activité » (ISO
15489:2002, ISO 30300:2011) incluent les documents numériques natifs issus
des processus métiers (applications métiers, bases de données, bureautique,
mails…) ainsi que les documents nativement papier ou imprimés des
processus hybrides, dématérialisés (numérisés)
3. 3
Champ de l’organisation et de la gestion en charge d’un contrôle
efficace et systématique de la création, de la réception, de la conservation,
de l’utilisation et du sort final des documents d’activité, y compris des
processus de capture et de préservation de la preuve et de l’information
liées aux activités et aux opérations sous la forme de documents
d’activité. (ISO30300 , 2011)
[Adapté de l’ISO 15489-1:2001, définition 3.16]
Comment ? La gestion des documents d’activité
4. Caractéristiques du document d’activité
Selon ISO 15489:2001
4 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
Document
d’activité
Authenticité
FiabilitéIntégrité
Exploitabilité
authenticité : le document peut
prouver qu’il est bien ce qu’il
prétend être, qu’il a été
effectivement produit ou reçu
par la personne qui prétend
l’avoir produit ou reçu, et qu’il a
été produit ou reçu au moment
(date et heure) où il prétend
l’avoir été.
intégrité : le document
(information et support) est
complet et n’a pas été altéré.
fiabilité : le contenu du
document peut être considéré
comme la représentation
complète et exacte des
opérations, des activités ou des
faits.
exploitabilité : le document est
exploitable s’il est localisé,
repéré, décrit et analysé.
5. Caractéristiques du SYSTÈME de Gestion des Documents
d’Activité Electronique
• Continuum : le système doit gérer l’ensemble du cycle de vie du document sans rupture
• Fiabilité : tous les documents de l’organisme (du périmètre) doivent être intégrés
systématiquement ; le système doit constituer la source première d’information sur les
activités décrites et fournir un accès immédiat à tous les documents pertinents et à leurs
métadonnées
• Intégrité : des mesures de contrôle d’accès, de l’identité de l’utilisateur, de la validité de
la destruction et de la sécurité doivent exister.
• Conformité : le système doit être conforme à toutes les exigences des process et de
l’environnement réglementaire
• Etendue : le système doit gèrer l’ensemble des documents issus de l’ensemble des
activités de l’organisme ou de l’entreprise, ou au moins de l’entité où il est mis en place
• Caractère systématique : les documents doivent être produits, conservés et gérés de
manière systématique.
6. La valeur probante dans l’environnement
électronique
• Valeur probante de l’écrit numérique
• Jusqu’en 2000 en France : c’était l’indissociabilité entre un support matériel durable et
l’information qu’il porte*, qui faisait la qualité d’une preuve.
• La loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies
de l’information et relatives à la signature électronique, a constitué une « révolution
numérique. »
(*) D’après Françoise Banat Berger et Claude Huc, http://www.piaf-archives.org/espace-formation/mod/resource/view.php?id=200
6 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
7. La valeur probante dans l’environnement
électronique
• La loi n°2000-230 du 13 mars 2000 modifiant le Code civil reconnaît la validité comme preuve
juridique des documents numériques, au même titre que la preuve écrite sur papier, à condition
de pouvoir justifier de leur
• et de leur
• L’article 1316-1 du Code stipule :
« L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier,
sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et
conservé dans des conditions de nature à en garantir l'intégrité. »
7 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
8. L’authenticité dans l’environnement
électronique : la signature électronique
La signature électronique :
Les deux grandes fonctions de la signature (définition fonctionnelle) : identification et
manifestation de la volonté de consentir à des obligations.
• « La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle
manifeste le consentement des parties aux obligations qui découlent de cet acte.
• Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte».
• (Article 1316-4, premier alinéa)
8 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
9. L’authenticité dans l’environnement
électronique : la signature électronique
La signature électronique
« Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification
garantissant son lien avec l’acte auquel elle s’attache. … » (Article 1316-4, second alinéa)
« La fiabilité de ce procédé est présumée, jusqu’à preuve du contraire, lorsque la signature est créée, l’identité
du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat. »
(Article 1316-4, second alinéa)
9 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
10. De la signature électronique à
l’empreinte
• - La signature cryptographique à clé publique
• - Le calcul d’empreinte (hash) *
• Le processus de signature électronique (ou d’empreinte) garantit l’intégrité du
document au cours de son transfert et donne au destinataire la certitude de
l’identité de l’expéditeur.
• Cela répond à deux exigences clés de la GDAE
• (* )voir : Françoise Banat Berger et Claude Huc, http://www.piaf-archives.org/espace-
formation/mod/resource/view.php?id=200
11. L’authenticité dans l’environnement
électronique : l’horodatage
•
• Aujourd'hui, tous les documents émanant des administrations ou des entreprises sont d'abord
élaborés sous forme informatique, puis le cas échéant édités pour être transmis sous forme papier.
• Exemple : la Facture. Les entreprises sont autorisées à conserver sous forme électronique
uniquement, les factures qu'elles transmettent sous forme papier à leurs clients, à condition
d'utiliser un système technique répondant à certaines conditions (B.O.des Impôts du 11/01/07) :
« 16. L'opération d'enregistrement doit intervenir à une date la plus proche possible de celle de l'opération
d'impression de l'original de la facture sur support papier. Le système informatique doit permettre d'identifier ces
deux dates.
17. A cet égard, un système informatique qui assurerait l'alimentation de la base de conservation d'une manière
automatique et à un moment quasi concomitant à celui de l'impression de l'original papier constituerait un facteur
d'appréciation favorable ».
11 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
12. Exigences appliquées aux documents
d’activité électroniques : l’intégrité
A l'occasion de la réforme du droit de la preuve consacrée par la loi n°2000-230 du 13
mars 2000, la notion de fidélité et de durabilité a été traduite par le critère fonctionnel
global d’« intégrité » mentionné par l'article 1316-1 du Code Civil.
L'intégrité d'un document numérique peut, en pratique, être assurée par différents
moyens techniques, notamment le calcul d’empreinte
12 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
13. La fiabilité dans l’environnement
électronique
• Un document fiable est un document dont le contenu peut être
considéré comme la représentation complète et exacte des
opérations, des activités ou des faits qu'il atteste, et sur lequel
on peut s'appuyer lors d'opérations, d'activités ou de faits
ultérieurs.
• Il convient que les documents d’activité soient créés au
moment de l’événement auquel ils se rapportent ou juste
après, par des personnes qui ont une connaissance directe des
faits ou par des systèmes utilisés systématiquement pour
réaliser l’opération. (ISO15489 :2001 /7.2.3)
13 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
14. Exigences appliquées aux documents
d’activité électroniques : l’exploitabilité
L’exploitabilité d'un document d’activité (ISO 15489:2001)
• Un document d’activité́ exploitable doit être relié à l'activité ou à l’opération à l'origine de
sa création. Les liens entre les documents d’activité́ et les opérations associées qu'ils
documentent doivent être maintenus.
• Les métadonnées contribuent à l'exploitabilité d'un document d’activité́ en fournissant
toute l'information qui peut être nécessaire à sa récupération et sa communication, par
exemple un identifiant unique et permanent.
14 Sylvie Dessolin-Baumann- Directrice C. Nat. Archives de la Form. Prof. - AFPA - France
15. Les exigences du RM transposées dans
l’environnement numérique
Authenticité
Intégrité , fidélité
Fiabilité
Exigences Traduction dans
l’environnement numérique
Horodatage
Empreinte numérique
Migration des
formats et des
supports
Exploitabilité
Métadonnées
Signature E
16. 16
Principes pour la gestion des documents d’activité dans
l’environnement électronique (ISO16175)
Gestion des Documents Numériques / Séance 1 /
Caractéristiques S. DESSOLIN-BAUMANN
• La norme ISO 16175-1 a essentiellement pour objectif de transposer les
principes généraux du records management dans un environnement
électronique.
• Elle inclut la notion de valeur probante des documents développée dans
la norme ISO 15489 tout en recentrant principalement les exigences sur
la capture des documents d’activité et leurs métadonnées,
l’identification, le classement, les référentiels de conservation et la
destruction.
• Lourdes Fuentes-Hashimoto : La mise en œuvre de la norme ISO 16 175 (ICA-Req) : deux retours d’expérience,
in Gazette des Archives n,°228, 2012/4
17. ISO 16175-1 : 4 principes directeurs liés aux
documents
Gestion des Documents Numériques / Séance 1 /
Caractéristiques S. DESSOLIN-BAUMANN
• organiser et gérer l’information métier de manière à constituer
une trace fiable et probante de l’activité
• relier celle-ci à son contexte au travers de métadonnées
• la conserver et la rendre accessible aux utilisateurs autorisés
aussi longtemps que nécessaire
• être en mesure de la détruire de manière organisée,
systématique et auditable.
18. ISO 16175-1 principes directeurs liés aux
systèmes (SGDAE)
Gestion des Documents Numériques / Séance 1 /
Caractéristiques S. DESSOLIN-BAUMANN
• que le SGDAE intègre la gestion de l’information métier comme une brique du
processus métier
• que les systèmes de capture et de gestion s’appuient sur des métadonnées
normalisées,
• que les systèmes assurent une interopérabilité pérenne entre plateformes et domaines
d’activités
• qu’ils reposent autant que possible sur des standards ouverts et soient indépendants
de toute solution technologique,
• qu’ils permettent des imports et des exports de masse en utilisant des formats
ouverts,
• qu’ils maintiennent l’information métier dans un environnement sécurisé,
• que la validation et la capture des documents traçant les activités soient aussi simples
que possible pour les utilisateurs, en particulier
• que les métadonnées soient principalement générées par le SGDAE.
19. 19
Métadonnées pour la GDA dans l’environnement électronique (ISO
23081)
• Les métadonnées sont essentielles pour établir de manière incontestable le
type, la structure et l’intégrité du document à tout moment, et pour attester de
sa relation avec les autres documents (ISO 15489 9.3).
Les métadonnées du records management sont utilisées pour identifier,
authentifier et contextualiser les documents d’activité , ainsi que les personnes,
les processus et les systèmes qui les créent , les classent les maintiennent et les
utilisent et les règles appliquées.
Elles garantissent l’authenticité, la fiabilité, l’exploitabilité et l’intégrité des
documents d’activité
ISO 23081-1 (partie 4)
• l’article de C. Maday et M. Taillefer
« Les métadonnées du records management du point de vue des normes ISO » La Gazette des
archives, n° 228 / année 2012-4
20. PRESERVER LA VALEUR DES DAE
20
DAE nativement électroniques
DAE issus d’un processus de dématérialisation
Notion d’objet numérique ou électronique
Les risques : obsolescence, altération, ….
21. 21
"COPIE NUMERIQUE FIDELE"
Deux types de fidélité des copies :
Formelle
Informationnelle
Processus de numérisation produisant des copies
fidèles (fichiers de format standard assorti
d’attributs (horodatage, signature du prestataire,
empreinte, métadonnées, …
22. 22
Comment s’assurer d’une copie fidèle
(formelle)?
• Elle doit, visuellement, se présenter comme l'original, avec les indications du
papier à en tête et la signature de l'expéditeur.
• Techniquement, cela peut se traduire par la création d'un enregistrement
numérique de type PDF du courrier original signé, qui sera horodaté, le cas
échéant sécurisé par un calcul d'empreinte (ou « hash ») permettant de
garantir qu'aucune modification ne pourra lui être apporté par la suite et,
surtout, conservé par un système qui garantisse la traçabilité de toutes les
opérations effectuées sur le document après sa création.
23. 23
"COPIE NUMERIQUE FIDELE"
Travaux en cours à l’AFNOR
Objectif : une norme au 1er semestre 2016
Adossement à une certification (prestataire interne ou
externe)
En parallèle : projet de modification de l’art. 1348
du Code Civil
Possibilité de destruction des documents papier
dd’origine
24. 24
La norme NF Z 42013 (ISO 14641)
• La norme NF Z 42013 « spécifications relatives à la conception et l’exploitation de
systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents
stockés dans ces systèmes », désormais portée à l’international sous le numéro ISO
14641. Première version 1999. révisée en 2009, ce qui a permis notamment d’élargir
son périmètre à tous les types de supports numériques et non plus aux seuls disques
optiques numériques non réinscriptibles.
• Norme + technique que fonctionnelle, se concentrant sur les caractéristiques du
système informatique sur lequel s’appuie le SGDAE. Elle met l’accent sur la traçabilité
de tous les processus en oeuvre comme la numérisation de documents, l’horodatage,
les communications, etc. ainsi que sur les exigences du système en matière desécurité
et d’accès.
• Elle définit les clauses nécessaires dans un contrat de service passé avec un tiers
archiveur.
• Elle insiste sur la question de l’intégrité des documents et sur la capacité à apporter la
preuve de cette intégrité. Elle aborde aussi la nécessité de disposer d’une description
détaillée de tous les constituants du système et d’une traçabilité exhaustive de tous les
changements. c
25. 25
LA NORME NF Z42-013 (ISO 14641)
Spécifie des solutions pour préserver la valeur des
DAE (et des informations associées) :
Pérennité
Intégrité
Preuve des garanties par un système de journalisation
Garanties apportées par une certification Afnor
(marque NF461)
26. 26
LA NORME NF Z42-013
Révision en cours :
Objectif : fin 2016
Prendre en compte les évolutions techniques, par
exemple le stockage dans le cloud
Standardiser les méthodes et les solutions
d’interopérabilité et de réversibilité
Intégrer, à titre d’exigences, les dispositions normatives
de sécurité des systèmes d’information