Vous avez franchi le cap de la dématérialisation en mettant en place un processus de contractualisation/souscription dématérialisé ? Il vous faut maintenant réfléchir à une solution d’archivage électronique à valeur probante.
Voici les six critères à prendre en compte pour être certain de faire le bon choix :
1. Ne pas confondre GED et SAE
Si un Système d’Archivage Electronique gère et contrôle des documents numériques, les indexe et les stocke comme le ferait une GED, il répond à une logique de conservation et de conformité légale/règlementaire (et même de préservation au sens strict du terme) de documents électroniques et dispose donc d’un certain nombre de fonctions complémentaires couvrant ces aspects. Un SAE doit, en premier lieu, garantir et maintenir l’intégrité des documents électroniques (qu’ils ne puissent être modifiés ou involontairement altérés durant leur conservation), afin de disposer de preuves recevables en cas de contentieux (et justifier des contrôles effectués durant la conservation et les résultats obtenus). C’est à dire maintenir leur valeur probatoire. Ce qui n’est pas le cas d’une GED.
2. Choisir une solution en conformité avec les normes en vigueur
S’il s’agit d’un SAE, c’est la norme AFNOR NF Z 42-013 qui fait foi si le projet est exclusivement français et c’est son équivalent ISO 14641-1 qui prévaut si le projet est international. La certification se fait sur la base d’un audit réalisé par un prestataire indépendant agréé pour cela par le Cofrac (Comité français d’accréditation) et sur la base d’un référentiel officiel AFNOR/ISO, et non sur la base d’une déclaration du prestataire. Ce qui n’est pas du tout la même chose. Deux autres agréments font office de référence : l’agrément SIAF (Service Interministériel des Archives de France) pour les archives courantes et intermédiaires des collectivités publiques et l’agrément HDS (Hébergeur de Données de Santé) délivré par l’ASIP (après validation de la Cnil) pour les documents contenant des données de santé à caractère personnel.
3. Savoir précisément où sont localisées les documents et données archivées
Pour les documents contenant des données à caractère personnel (nom, adresse, mail, téléphone, etc.), ce qui est le cas des documents à caractère contractuel lorsqu’ils sont émis en B2C, la localisation doit se faire sur le territoire français ou dans un pays de l’Union Européenne car la localisation hors France et UE est « encadrée » par la Cnil. Certains pays étant, en effet, considérés comme inadéquats et beaucoup nécessitent une autorisation préalable de la Cnil.
4. Connaître en détails les engagements pris par le prestataire s’agissant des documents eux-mêmes
Le prestataire s’engage-t-il uniquement sur une maintenance corrective et évolutive du logiciel (et son partenaire/fournisseur hébergeur sur la disponibilité du logiciel en termes d’accès) ? Ou s’engage-t-il sur les documents confiés eux-mêmes (non perte, intégrité) ? S’engage-t-il sur une durée « ferme » de conservation (correspondant à la durée légale) ?
Et de quels moyens financiers, humains et techniques dispose-t-il pour rassurer quant à sa capacité à assurer les engagements pris ? Notamment en termes de performances (rapidité d’accès, disponibilité, etc.), d’autonomie énergétique, d’indépendance vis à vis des autres clients de l’hébergeur ou encore d’assurance.
Ces questions méritent d’être posées et les réponses doivent pouvoir lever toute ambiguïté.
5. Avoir des garanties quant aux moyens de sécurité mis en oeuvre
Il est impératif de choisir une solution en conformité avec les normes en vigueur relatives à la sécurité. S’il s’agit d’un SAE en mode SaaS délivré par un prestataire de type Tiers-Archiveur grâce à une solution cloud, la norme ISO/IEC 27001, qui expose les exigences relatives aux systèmes de management de la sécurité des informations (SMSI), est un sérieux gage de confiance. L’obtention d’un « label » lié à la cybersecurité (France Cybersecurity par exemple) ou la fourniture de résultats de tests d’intrusion périodiques attestant d’un bon niveau de sécurité, sont nécessaires pour instaurer cette confiance. Enfin, il convient de s’assurer que le prestataire a bien mis en œuvre une redondance du SAE afin que le service soit disponible sans coupure et limiter ainsi les risques de pertes de données en cas de défaillance matérielle.
6. S’assurer de la réversibilité
Le prestataire est-il en mesure de fournir, en cas de rupture de contrat, et pour chaque archive, à la fois le document archivé, mais aussi tous les éléments de traçabilité (horodatage d’archivage, empreintes, journal du cycle de vie de l’archive, journal des événements, journal des accès) ? Même chose en cas de contentieux nécessitant la fourniture d’éléments à la justice : le prestataire peut-il fournir, pour l’archive concernée, un dossier de preuve contenant l’archive, son horodatage, son empreinte, son scellement, un contrôle d’intégrité, l’algorithme utilisé afin de permettre à l’éventuel expert commis par le juge d’effectuer une vérification d’intégrité et la vérification de la signature apposée sur le scellement, etc. La remise d’un dossier de preuve complet est essentielle.
En tenant compte de ces 6 critères, vous pourrez ainsi vous orienter vers des solutions pérennes, fiables, robustes, conformes et performantes. Et non vers des solutions à bas coût qui vous causeront tôt ou tard un important préjudice.