Catégorie dans Archivage électronique

Quelques repères sur le cloud computing

Concept marketing, progrès technologique ou porte ouverte à l’insécurité juridique ? Cet entretien de Maître Bernard Lamon (avocat spécialiste en droit de l’informatique et des télécommunications), par une approche didactique et des exemples parlants, pose les bonnes questions et fait ressortir, les principaux enjeux du cloud computing.

D’entrée, Maître Lamon reconnaît que le cloud, malgré son côté « marketing » est un réel progrès technique et économique. Cependant, son but est faire prendre conscience aux entreprises que ce progrès n’est pas exempt d’une certaine insécurité juridique. Il insiste notamment sur la nécessité de consulter attentivement les contrats et les annexes de qualité de service (ou level service agreement) avant de signer quoique ce soit. Je le rejoins particulièrement quand il met en garde sur la valeur des données concernées par des prestations de cloud : plus les données sont stratégiques, plus la prudence est de rigueur. Le chef d’entreprise ou le décideur doit alors penser « durée de contrat », « réversibilité », « récupération des données » et coût évidemment. Car les prix du cloud montent singulièrement quand l’entreprise doit faire face à des problèmes.

Aussi la posture de Maître Lamon est intéressante car, tout en encourageant les entreprises à se doter d’outils informatiques performants, il invite leurs dirigeants à se poser les bonnes questions : quels sont les besoins de l’entreprise en terme de sécurité, quels sont ses intérêts et ceux de ses clients, quels sont les obligations légales, quelles lois s’appliquent au prestataire de cloud computing ?

Beaucoup de sujets sont traités dans cet entretien : présentation du marché, cloud souverain à la française, assurance des prestations informatiques, contentieux informatiques, Patriot Act, etc…. Et comme tout le monde, j’en retiens surtout la fin quand l’avocat dit qu’il préfère agir préventivement pour ses clients plutôt que de « jouer » le pompier quand le problème arrive et qu’il doit plaider leur cause devant un juge. Anticiper, n’est-ce pas toujours le meilleur des investissements !

Les risques de perdre des données vous font peur ! Pour vous rassurer (ou pas…), lisez :

–       Cybercriminalité : analyser la valeur de ses données pour mieux se défendre

Cybercriminalité : analyser la valeur des données et mieux se défendre

Toute politique de conservation ou de sécurité doit partir d’une analyse de la valeur des données. C’est ce qui nous a été démontré dans une conférence donnée au Musée des Transmisions de Rennes sur la cybercriminalité.

J’ai assisté en 2010 à une conférence organisée par le CIDAN* « Réseaux et systèmes d’information dans les entreprises, les administrations et les collectivités : quelles menaces, quelles parades » par le capitaine Yohan Dubanchet, professeur à l’école des Transmissions de Rennes.

L’exposé, clair et synthétique, avait permis aux participants d’être sensibilisés aux menaces qui pèsent sur nos systèmes d’information et d’être informés des principaux outils de prévention à mettre en œuvre. Car l’enjeu est de taille : les réseaux et systèmes d’information sont devenus les centres nerveux de nos sociétés.

Après avoir montrer la difficulté d’identifier les menaces et nous avoir fait réfléchir sur les risques liés au cloud computing, le capitaine Dubanchet a conclu son intervention en rappelant que « les données sont le cœur du système. C’est à l’entreprise, l’institution qu’il revient d’en déterminer la valeur pour que la technique puisse les sanctuariser ».

Ce principe est absolument fondamental : l’analyse de la valeur des informations, de leur criticité, de leur sensibilité doit être au cœur de toute réflexion touchant au système d’information (externalisation de l’hébergement, choix des système de sécurité, dématérialisation). En effet, nous sommes à la croisée des chemins : la technique ne pourra pas tout devant les nouvelles menaces et l’inflation documentaire. Rationalisons notre production documentaire. Coupons le robinet (voir mon précédent article sur les usages). Identifions les documents vitaux, réapproprions nous les bonnes pratiques. Alors une politique de sécurité responsable pourra être mise en œuvre. Ne croyez-vous pas ?

*Le CIDAN est l’association Civisme Défense Armée Nation, www.cidan.org

Comment donner une valeur probante aux documents numériques ?

La valeur probante des documents numériques est un sujet majeur. La dématérialisation des processus y est pour beaucoup, la multiplication des contestations de preuves devant les juges aussi. Un vaste marché s’ouvre pour les prestataires de signature électronique et d’horodatage. Mais la solution est-elle seulement technologique pour créer des documents probants ?

Renforcer la confiance en amont

En effet, pour avoir confiance dans un document papier, celui-ci doit contenir un minimum d’éléments. Ces éléments sont :

  • l’auteur (un nom, un logo) ;
  • la date ;
  • l’objet (un titre ou un en-tête) ;
  • le destinataire ;
  • les éléments de contenu qui justifient ou tracent l’activité ou l’échange.

Le document n’a pas obligatoirement besoin d’être signé pour gagner la confiance, c’est le cas des factures. A ceci près que les factures contiennent toujours un numéro d’enregistrement qui renforce sa valeur probante. Celui-ci induit le rattachement de la facture à un processus comptable.  En effet, la traçabilité de ce processus la renforce la valeur probante de la facture.  Or dans l’environnement numérique, renforcer l’authenticité des écrits numériques, réputés plus vulnérables, est nécessaire par des bonnes pratiques rédactionnelles dès la production du document. C’est pourquoi, il faut :

  1. maintenir un certain formalisme dans la rédaction des documents numériques : auteur, date, objet signifiant, destinataire ;
  2. attribuer aux documents un numéro qui se réfère à un tableau d’enregistrement. Par exemple, ce qui existe pour le courrier papier doit aussi exister pour les mails engageants ;
  3. figer les documents (ou les données) et le tableau d’enregistrement dans un format PDF(A) ;
  4. associer un système d’horodatage ou de signature électronique pour les documents juridiquement les plus sensibles ;

Prévoyez ce processus pour tous les contenus numériques qui engagent la responsabilité de l’entreprise ou tracent son savoir-faire. De plus, n’oubliez pars que l’authenticité d’un document ou de données doit être garantie  pendant la durée de conservation nécéssaire pour être reconnue comme fiables et opposables.

Pourquoi j’aime toujours le papier pour archiver des documents importants ?

Les entreprises et les institutions publiques courent toutes après la dématérialisation de leurs documents papier. Je constate que la motivation relève autant d’un souci d’efficacité et d’économies budgétaires que d’un souci d’image. « Le papier ? C’est pour les ringards ! Et puis grâce à l’informatique, fini la paperasse. Soyons moderne, numérisons, dématérialisons, mettons sur le cloud ! »

Loin de moi l’idée de faire à l’archiviste rétrograde déjà nostalgique du bon vieux papier. Néanmoins, je reste vigilante sur mes pratiques quand il s’agit de conserver des documents qui, par exemple, engagent ma responsabilité. Le document papier reste dans certain cas le support de conservation le plus sûr et le plus économique.

Evidemment, le numérique est le monde vers lequel nous allons. Mais le dématérialisation des documents qui nous engagent vers ce support ne doit pas être réalisé sans préparation. Il relève d’un choix qui doit impérativement prendre en compte :

  • la valeur des informations,
  • leur portée juridique et stratégique,
  • leur degré de confidentialité,
  • la longueur de leur durée de conservation et leur volume.

Par exemple, je ne trouve pas raisonnable de dématérialiser le processus des délibérations d’un conseil municipal qui ont une durée de conservation illimitée.  En effet, l’archivage sur support numérique demande de tels moyens humains, techniques et financiers que je doute qu’il soit viable sur le long et très long terme.

Les exemples de documents devenus inconsultables pour cause d’obsolescence technologiques sont nombreux. On peut les récupérer bien sûr, mais au prix de quels investissements ?

Pensez à tout le matériel nécéssaire pour accéder  à un document numérique ?  Électricité + ordinateur + système d’exploitation compatible + logiciel compatible. Alors qu’une délibération papier et simplement lisible à l’oeil nu. Je dis bien à l’oeil nu (ou avec des lunettes).

Enfin, la loi oblige la conservation de certaines preuves sur support papier, comme le rappelle cet article très pragmatique du Journal de l’Éco.

Donner une valeur probante aux documents numériques

Pour avoir confiance dans un document papier, il doit contenir un minimum d’éléments qui sont : l’auteur (un nom, un logo), la date, l’objet (un titre ou un en-tête), le destinataire et les éléments de contenus qui justifient ou tracent l’activité, l’échange… Le document n’a pas forcément besoin d’être signé pour gagner la confiance d’un tiers, c’es la cas des factures. A ceci-près que les factures contiennent toujours un numéro d’enregistrement qui renforce sa valeur probante, car il induit leur rattachement à un processus comptable de nature à consolider son authenticité et sa véracité. Or dans l’environnement numérique, il est nécessaire de bien renforcer l’authenticité des écrits numériques, réputés plus vulnérables (art. 1366 du code civil), par des bonnes pratiques administratives :

  1. maintenir un certain formalisme dans la rédaction des documents numériques : auteur, date, objet signifiant, destinataire, logo ;
  2. attribuer aux documents un numéro qui se réfère à un tableau d’enregistrement. Par exemple, ce qui existe pour le courrier papier doit aussi exister pour les mails engageants ou les rapports de synthèse ;
  3. de figer les documents (ou les données) et le tableau d’enregistrement dans un format PDF ;
  4. d’y associer un système d’horodatage ou de signature électronique pour les documents juridiquement les plus sensibles ;

Il est important de prévoir ce processus pour tous les contenus numériques qui engagent la responsabilité de l’entreprise ou tracent son savoir-faire, afin de lui permettre de disposer, pendant la durée de conservation nécessaire, d’informations numériques fiables et opposables.