Mettre en œuvre une politique légale et efficace de record management Paris Ulys Lunch - conférence 16 mars 2006 Etienne Wery Avocat aux barreaux de Paris et de Bruxelles Associé (cabinet ULYS – Chargés d’enseignement à l’Université Paris I (Panthéon-Sorbonne)

Plan de l’exposé = plan (chrono)logique d’une opération typique C. P. & direction 1. Définir la/les finalité(s) poursuivies 2. Identifier les contraintes 3. Choisir les moyens 4. Evaluer et (faire) évoluer

C. P. & direction 1. Définir la/les finalité(s) poursuivies 2. Identifier les contraintes 3. Choisir les moyens 4. Evaluer et (faire) évoluer

Autant de finalités que d’entreprises : le prêt-à- porter n’existe pas :  Quelques exemples fréquents : –Diminution des coûts –Gestion des volumes stockés : augmentation … ou diminution du volume stocké –Sécurité juridique –Sécurité économique –Amélioration de l’image de l’entreprise

Diminution des coûts  Gain d’argent / d’espace au niveau du stockage  Gain de temps : –Archivage plus rapide –Recherche plus rapide donc salariés moins mobilisés –Facilité d’accès aux données: réutilisation du savoir plus facile Gestion des volumes  Augmenter le volume stocké  Diminuer le volume stocké

Sécurité juridique accrue  Gestion des « originaux » et des preuves  Traçabilité (auteur, suivi des consultations et opérations)  Viser : –L’intégrité : ni modifiés ni modifiables –La fiabilité : validation à l’archivage –L’authenticité –La (ré) exploitation –La pérennité Sécurité économique accrue  Business continuity ; Disaster recovery plan  Syndrome 9-11 : réduire le risque par l’éclatement géographique  Politique d’anticipation  Préparation et formation d’un comité de crise : –Information du comité –Evaluation des dégâts –Décisions et suivi –Communication

C. P. & direction 1. Définir la/les finalité(s) poursuivies 2. Identifier les contraintes 3. Choisir les moyens 4. Evaluer et (faire) évoluer

 Contraintes légales –nationales –internationales (Discovery procedure, Anti-Fraud Act, Sarbanes- Oxley Act, etc.)  Contraintes internes (ISO, IAS, …)  Contraintes liées à la forme –électroniques –non électroniques (papier, audio (ordre de bourse), image, …) –Parfois la loi exige une conservation « en la forme » sauf dérogation (ex. : factures)  Contraintes techniques  Contraintes financières

Distinction entre les différentes archives  Art. L du code du patrimoine: « Les archives sont l'ensemble des documents, quels que soient leur date, leur forme et leur support matériel, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité ».  Art. L du même code: « Les archives publiques sont : a) Les documents qui procèdent de l'activité de l'Etat, des collectivités territoriales, des établissements et entreprises publics ; b) Les documents qui procèdent de l'activité des organismes de droit privé chargés de la gestion des services publics ou d'une mission de service public ; c) Les minutes et répertoires des officiers publics ou ministériels. »  Le code du patrimoine  Les obligations des collectivités territoriales

Durées de conservation – variables selon :  Critères « objectifs » –Le secteur –La fonction –La finalité –Voir tableau synoptique –Droit(s) applicable(s)  Valeur « subjective » de l’information

Le cas particulier des données personnelles : Délibération de la CNIL du 11/10/2005 sur l’archivage électronique dans le secteur privé  Les données archivées sont-elles soumises à la loi ? Oui « lorsque les données ont été reçues, collectées, établies ou transformées sous forme électronique par toute personne, service ou organisme privé dans l’exercice de son activité »  La CNIL distingue trois types d’archives : (1) courantes ; (2) intermédiaires ; et (3) définitives  Respecter le droit à l’oubli avec des durées distinctes selon la catégorie  Eviter la dilution des données dans l’infrastructure informatique  Assurer la sécurité des données ; les protéger contre tout détournement, perte ou usage illicite  Gestion des droits d’accès et des procédés d’anonymisation en cas de conservation à LT  Développer des procédures formalisées

C. P. & direction 1. Définir la/les finalité(s) poursuivies 2. Identifier les contraintes 3. Choisir les moyens 4. Evaluer et (faire) évoluer

Deux moyens principaux 1.Une méthodologie parfaite 2.Des choix techniques avisés

Comité de pilotage 1bis Sensibilisation 2bis Soutien 7bis Adoption 8bis Diffusion Comité de pilotageDirection Si nécessaire

A chaque étape, un jeu de dominos 1. Définir l’objectif 2. Définir les moyens 3. Définir les outils de contrôle 4. Passage au stade suivant

Des choix techniques avisés –Choix d’un système –Choix d’un support –Choix des informations conservées –Choix des normes –Choix des modes de restitution

Quelques exigences relatives au système :  Fiable : a fait l’objet de tests et vérifications régulières  Intègre : permet la conservation des documents pendant tout leur cycle de vie  Sécurisé et crypté contre les accès ou actes malveillants  Résistant aux évolutions technologiques  Capable de gérer une masse croissante de données  Interopérable : permettant l’accès à tous dans plusieurs entreprises d’un groupe si besoin  Intelligible au niveau de la recherche

Quelques exigences relatives au support :  Aujourd’hui, les CD-R et DVD-R ont la cote : –Norme NF Z –Non réinscriptibles pour éviter toute altération de données –Valeur de l’investissement faible car compatible avec tous les lecteurs et graveurs de faible coût –Possibilité de créer des clés de chainage  Et demain ? Madame Soleil est la seule à connaitre la réponse …

Quelques exigences relatives à l’information stockée :  L’information elle-même  Et les informations relatives à l’information : –Métadonnées d’identification minimales heure et date titre du document brève description Auteur –Métadonnées complémentaires description du contexte description du contenu description de la structure droits d’accès durée de conservation …

Quelques exigences relatives à la restitution :  Quelles informations sont mises à disposition ? –copie du document sur support amovible –impression –simple affichage –sur support direct (CD, etc…) –par base de données, mot-clé, juke box  Possibilité de diffuser à son tour l’information?  Mettre en place des profils  Octroyer des habilitations et préciser les modalités de consultation de chaque type

Quelques exigences relatives aux normes :  Toutes autres choses étant égales par ailleurs, privilégier des formats standards et ouverts  Conséquences sur les supports – Entretien – Duplication  Conséquences sur la restitution : –Conservation d’ancien matériel  Conséquences sur la maintenance  Conséquences sur les frais de formation du personnel et la dépendance au personnel

C. P. & direction 1. Définir la/les finalité(s) poursuivies 2. Identifier les contraintes 3. Choisir les moyens 4. Evaluer et (faire) évoluer

Evaluer  Contrôle du système et de son adaptation –Réalisation d’audits –Sondages des utilisateurs –Mesures correctives –Impliquer régulièrement des contrôleurs externes  Contrôle du respect des règles  Vérification de l’adéquation entre le résultat obtenu et la finalité de départ –Important car c’est ce qui a justifié le choix de l’archivage –Opérer un audit –Etre prêt, dans les cas extrêmes, à envisager la réversibilité

(Faire) Evoluer  En fonction de l’évolution de la finalité  En fonction de l’évolution des contraintes : –Les durées et obligations légales peuvent changer –Les durées de conservation peuvent varier selon les textes –Les contraintes peuvent changer quand l’entreprise change (extension géographique, nouveaux métiers, etc.

Mettre en œuvre une politique légale d’archivage électronique et de records management Paris Ulys Lunch - conférence 16 mars 2006 Etienne Wery Avocat aux barreaux de Paris et de Bruxelles Associé (cabinet ULYS – Chargés d’enseignement à l’Université Paris I (Panthéon-Sorbonne)