La préservation et la conservation des documents importants à valeur probante nécessitent un système d’archivage électronique. Face aux enjeux liés aux cycles de vie des documents, la mise en œuvre d’un SAE dans une organisation publique ou privée doit suivre des méthodologies et des règles strictes.
Cette mise en place doit obéir à 7 étapes indispensables :
1. L’étude de l’environnement juridique et légal
Cette première étape vise à cerner le périmètre du SAE et implique l’analyse du contexte juridique et réglementaire dans lequel se situe l’organisation. Elle concerne un « inventaire » des documents émis et reçus par l’organisation. Il est donc nécessaire de faire le point sur plusieurs choses :
• les types de documents à archiver (contrats commerciaux, contrats de travail, documents RH, documents liés aux processus achats, factures, documents PDF, …),
• les enjeux économico-juridiques associés aux documents et leur valeur probante,
• les enjeux de cyber-sécurité associés aux documents et leur importance pour le fonctionnement de l’organisation.
Cette étape est fondamentale pour la réussite du projet qui doit rentrer dans le périmètre de la norme AFNOR NF Z42-013 (Iso 14641) en matière d’exigences pour les SAE.
2. L’étude de l’environnement financier et technique
Cette étude implique l’analyse d’un ensemble de points en relation avec leurs aspects organisationnels, techniques, juridiques et financiers afin de choisir la solution la plus adaptée. Pour cela, il est essentiel de se poser certaines questions.
Dans le cas des archives en ligne
• Disposons-nous d’un espace pouvant héberger un local informatique sécurisé à l’état de l’art en matière de sécurité des systèmes d’information ?
• Avons-nous une équipe capable de gérer le respect des normes ISO 14641, ISO 27000, les audits de suivi et les rigoureuses procédures de suivi des incidents ?
• Comment envisager la résilience du système de telle sorte d’assurer la redondance des équipements contenant les documents archivés en toute sécurité ?
• Avons-nous les moyens de mettre en œuvre et de gérer un deuxième centre informatique sécurisé et distant du 1er ?
• Pouvons-nous utiliser des archives « off line » ?
Dans le cas d’un archivage sur des supports amovibles
• Disposons-nous d’une infrastructure qui comporte deux emplacements (redondance toujours) distants de stockage sécurisés pour leur rangement ?
• Pouvons-nous mettre en place des procédures sécurisées pour l’enregistrement, la manipulation et le transfert ?
3. L’élaboration du cahier des charges
Le cahier des charges dépend de la solution SAE retenue. Effectivement, sa réalisation sera très simple dans le cas où l’archivage dépend de supports amovibles tels que des CD et des DVD. A l’inverse, elle sera très complexe si l’installation du SAE demande un nouveau centre informatique sécurisé, car son instruction ne se limitera pas seulement à du matériel et au logiciel, mais elle concernera aussi le bâtiment, l’alimentation énergétique, la prévention, la détection et la lutte contre l’incendie ou encore la climatisation.
Il existe notamment des documents normatifs à suivre dans la rédaction du cahier des charges, en particulier le fascicule de documentation de l’Afnor FD Z 42-018 et la norme Afnor NF Z 42-013 ou ISO 14641.
4. Le choix du prestataire
Afin de mieux choisir son prestataire, il faut avant tout vérifier qu’il réponde correctement au cahier des charges et qu’il dispose des garanties quant à sa pérennité, sa conformité aux normes en vigueur, les moyens d’assurer un service sécurisé et de qualité ou encore la localisation des documents archivés ; surtout dans le cas d’un archivage externalisé. Pour une solution interne, il faut être attentif au respect des standards informatiques et documentaires et à l’accès aux sources des programmes, car les solutions mises en place doivent facilement être reprises soit par le service informatique concerné soit par un autre prestataire.
5. La vérification et la validation des spécifications
Cette étape est généralement assurée par le prestataire retenu et supervisée par un comité de pilotage en interne, qui sera composé de juristes, de financiers, de référents métiers, d’informaticiens, et d’archivistes pour vérifier et valider les spécifications mises en place.
6. L’instauration d’un système pilote
Il serait en effet dangereux de vouloir archiver toutes les informations dès l’ouverture du SAE. C’est pourquoi il vaut mieux déterminer quels services, fonctions et documents vont constituer le premier test du système d’archivage électronique. Il est fortement conseillé de réaliser un premier audit de conformité du SAE à la norme ISO-14641 pour une validation finale du système pilote.
7. Le contrôle permanent de la conformité
Le déploiement du SAE doit être suivi par le comité de pilotage choisi. Sa nouvelle implémentation devra faire l’objet d’un audit de conformité initial. Il y a d’ailleurs une dimension financière à ne pas négliger. Un SAE entraînera chaque année en plus des coûts de maintenance matérielle, logicielle et des frais associés à son audit de conformité.