Fiche A1 / Quelques repères sur le cloud computing

Concept marketing, progrès technologique ou porte ouverte à l’insécurité juridique ? Cet entretien de Maître Bernard Lamon (avocat spécialiste en droit de l’informatique et des télécommunications), par une approche didactique et des exemples parlants, pose les bonnes questions et fait ressortir, les principaux enjeux du cloud computing.

D’entrée, Maître Lamon reconnaît que le cloud, malgré son côté « marketing » est un réel progrès technique et économique.  Cependant, son but est faire prendre conscience aux entreprises que ce progrès n’est pas exempt d’une certaine insécurité juridique. Il insiste notamment sur la nécessité de consulter attentivement les contrats et les annexes de qualité de service (ou level service agreement) avant de signer quoique ce soit. Je le rejoins particulièrement quand il met en garde sur la valeur des données concernées par des prestations de cloud : plus les données sont stratégiques, plus la prudence est de rigueur. Le chef d’entreprise ou le décideur doit alors penser « durée de contrat », « réversibilité », « récupération des données » et coût évidemment. Car les prix du cloud montent singulièrement quand l’entreprise doit faire face à des problèmes.

Aussi la posture de Maître Lamon est intéressante car, tout en encourageant les entreprises à se doter d’outils informatiques performants, il invite leurs dirigeants à se poser les bonnes questions : quels sont les besoins de l’entreprise en terme de sécurité, quels sont ses intérêts et ceux de ses clients, quels sont les obligations légales, quelles lois s’appliquent au prestataire de cloud computing ?

Beaucoup de sujets sont traités dans cet entretien : présentation du marché, cloud souverain à la française, assurance des prestations informatiques, contentieux informatiques, Patriot Act, etc…. Et comme tout le monde, j’en retiens surtout la fin quand l’avocat dit qu’il préfère agir préventivement pour ses clients plutôt que de « jouer » le pompier quand le problème arrive et qu’il doit plaider leur cause devant un juge. Anticiper, n’est-ce pas toujours le meilleur des investissements !

Les risques de perdre des données vous font peur ! Pour vous rassurer (ou pas…), lisez :

–       Cybercriminalité : analyser la valeur de ses données pour mieux se défendre

Pérenniser le capital informationnel d’une entreprise

L’un des objectifs majeurs d’une démarche d’archivage est de préserver les savoirs et les connaissances de l’entreprise au-delà des changements conjoncturels.

Un des gammes de soin pour le visage d’Yves Saint Laurent est le résultat des recherches faites par le docteur Bernard en glycobiologie, il y a quarante ans. Qui pense aujourd’hui que la préservation des documents de recherche peut rapporter demain des millions d’euros ? L’Oréal, entreprise centenaire, sait qu’en misant sur l’innovation (pour gagner de nouveaux marchés), elle doit veiller à capitaliser les savoirs et les connaissances apportés par les hommes et les femmes qui se succèdent dans l’entreprise. C’est pourquoi, elle considère sa politique de conservation documentaire (data policy retention) comme un élément stratégique de son organisation.

Pourtant quelle entreprise ne considère pas ses documents – mails, répertoires, fichiers, dossiers, boîtes – comme des volumes avant tout encombrants ? Alors que beaucoup sont conservés inutilement, d’autres au contraire sont dotés d’une « forte valeur ajoutée » auxquels l’entreprise doit porter toute son attention. Car ces informations sont une source potentielle de richesse ! En ces temps économiques difficiles, préserver les savoirs et les connaissances d’une entreprise par une politique documentaire semble être un choix légitime.

Lire sur le même sujet :

– L’entreprise Sygma a déposé le bilan…après avoir perdu des photographies

– Si on conserve tout, on n’archive rien

Donner une valeur probante aux documents numériques

Pour avoir confiance dans un document papier, il doit contenir un minimum d’éléments qui sont : l’auteur (un nom, un logo), la date, l’objet (un titre ou un en-tête), le destinataire et les éléments de contenus qui justifient ou tracent l’activité, l’échange… Le document n’a pas forcément besoin d’être signé pour gagner la confiance d’un tiers, c’es la cas des factures. A ceci-près que les factures contiennent toujours un numéro d’enregistrement qui renforce sa valeur probante, car il induit leur rattachement à un processus comptable de nature à consolider son authenticité et sa véracité. Or dans l’environnement numérique, il est nécessaire de bien renforcer l’authenticité des écrits numériques, réputés plus vulnérables (art. 1316-1 du code civil), par des bonnes pratiques administratives :

  1. maintenir un certain formalisme dans la rédaction des documents numériques : auteur, date, objet signifiant, destinataire, logo ;
  2. attribuer aux documents un numéro qui se réfère à un tableau d’enregistrement. Par exemple, ce qui existe pour le courrier papier doit aussi exister pour les mails engageants ou les rapports de synthèse ;
  3. de figer les documents (ou les données) et le tableau d’enregistrement dans un format PDF ;
  4. d’y associer un système d’horodatage ou de signature électronique pour les documents juridiquement les plus sensibles ;

Il est important de prévoir ce processus pour tous les contenus numériques qui engagent la responsabilité de l’entreprise ou tracent son savoir-faire, afin de lui permettre de disposer, pendant la durée de conservation nécessaire, d’informations numériques fiables et opposables.

Détruire des documents archivés

Les entreprises et institutions conservent trop de documents inutiles. Pourquoi ? Parce qu’elles ont peur de les détruire : «Ça peut toujours servir»… «On ne sait jamais», toutes les raisons sont bonnes pour ne rien faire mais à trop conserver, cela finit par coûter cher. Quelques repère pour franchir le pas en toute responsabilité.

1. Pour calculer la date de destruction de vos données et documents, réfléchir d’abord à leurs durées de conservation à partir :

  • des obligations légales et réglementaires des activités de l’organisme(article : Durées de conservation)
  • des besoins métiers de l’organismes et de ses collaborateurs : besoins de mémoire, besoins de transmission des savoirs, …

2. Écrire ces durées dans un référentiel, c’est l’outil de calcul des durées de conservation

3. Calculer les dates de destruction et les INSCRIRE sur les boîtes, dossiers, répertoires…

4. Une fois par an :

  • préparer la destruction des documents périmés en remplissant un tableau succinct ; ce tableau est une obligation pour les organismes publics, ça s’appelle un bordereau de destruction. Voici un modèle indicatif.
  • détruire les documents (papier, CD) à l’aide d’un destructeur qui garantisse un minimum de confidentialité (voir l’article sur la destruction des données personnelles)

Si les données ou documents sont stockés chez un prestataire extérieur, prévoyez ces mêmes modalités de destruction dans votre contrat de prestation.

Dernière recommandation, écrire la procédure de destruction dans un document synthétique, cela sert à tous les collaborateurs, ceux d’aujourd’hui et de demain.

Ne pas confondre document inutile et document inutilisé

Nous avons tendance à confondre document inutilisé avec document inutile, surtout si celui-ci présente un âge avancé (cinq ans c’est déjà un âge avancé pour un document). Nous avons tort de croire que, parce qu’un document est ancien ou inutilisé, il n’a pas de valeur.

Les cassettes de Patrick Montel, journaliste à France 2 ont été mises à la benne au prétexte qu’elles avaient «pour la plupart au moins 10 ans d’âge et que par conséquent elles n’avaient plus aucune valeur pour le service» (article de l’Express.fr du 3 mai 2012). Confondre âge des documents et valeur est une erreur, surtout pour une entreprise (France 2) dont le coeur de métier est de produire de l’information audiovisuelle, potentiellement source de savoir (institution publique) et source de revenu (droit d’exploitation des vidéos). C’est en ne faisant pas cette analyse et en n’anticipant pas les risques de pertes que l’agence Sygma a déposé son bilan ou que le photographe Philipp Plisson a perdu tous ses originaux argentiques.

A contrario, force est de constater que beaucoup d’entreprises et d’administration conservent inutilement trop de données. Cela à pour conséquence que :

  • elles ne se soucient pas suffisamment de l’information à forte valeur ajoutée ;
  • elles paient chèrement des services de stockage informatique et papier alors que le problème principal est « l’enflure exponentielle des volumes inutiles et non gérés » (cf. article vanité du blog de Marie-Anne Chabin)
  • elles ne pensent pas à identifier la valeur des documents pour leur adapter les durées et les solutions de conservation les plus pertinentes et les moins couteuses

Il est important d’adapter le mode de conservation des documents à leur valeur, car ils sont aussi le reflet de la valeur de l’administration ou de l’entreprise  !

Qu’est-ce que le records management ?

Le records management est une méthode de travail qui consiste à identifier les documents engageants d’un organisme et à les organiser de telle sorte que l’organisme les conserve le temps nécessaire et les retrouve facilement. Toute entreprise et toute institution publique recherche cela et le records management y pourvoit !

C’est quoi un record/document engageant ?

Un « record » (mot anglais) est un document qui trace une responsabilité ou un savoir-faire : son contenu a suffisamment de valeur pour que l’organisme le conserve. Ce contenu peut être de nature juridique, comptable, technique, informationnelle, administrative. La valeur du « record » tient aussi au fait qu’il est daté, achevé, validé et figé ; on ne peut plus le modifier. Le « record » est aussi bien papier que numérique.

En français, on est obligé d’adjoindre un qualificatif au mot « document » pour exprimer cette notion de valeur qui est implicite dans le mot « record », c’est pourquoi je le traduis par « document engageant ».

Savoir identifier les documents engageant permet de ne pas prendre en compte les copies, brouillons, documents préparatoires personnels qui n’ont pas à être conservé et qui sont très nombreux dans les organismes qui font de plus en plus face à l’infobésité.

Quelles sont les principales étapes de cette méthode de travail ?

  1. étudier les activités de l’organisme, ses obligations légales, ses pratiques et ses besoins pour identifier les documents engageants ainsi que leurs durées de conservation ;
  2. élaborer des règles de gestion dans un référentiel de conservation et de destruction des documents engageants ;
  3. mettre en place des procédures opérationnelles pour le classement et le rangement physique, la destruction des documents engageants ;
  4. Former les collaborateurs à savoir reconnaître les documents engageants dans la jungle des documents qu’ils produisent et reçoivent tous les jours et leur apprendre à les classer et les détruire à bon escient selon les règles du référentiel et des procédures.

Est-ce que le records management permet la gouvernance de l’information ?

Bien entendu, c’est une méthode indispensable pour tout organisme qui souhaite développer une démarche de gouvernance de l’information. Mais il ne couvre pas tous les aspects de la gouvernance de l’information (notamment les aspects techniques de conservation numérique, la veille documentaire, la collecte et le partage des connaissances non écrites, etc…).

Le records management s’appuie-t-il sur une norme ?

Oui, cette norme est internationale. Elle pour code ISO 15489 et pour titre « Records management ». Elle est disponible sur le site de l’AFNOR (payante).

Est-ce que le records management concerne l’archivage ?

C’est la même chose, on peut même traduire « records management » par « archivage » à condition de savoir de quoi vous parlez :

– si, dans votre conception, l’archivage concerne la gestion des documents engageants dès leur production, alors vous faites de l’archivage/records management ;

– si, au contraire, l’archivage consiste  à trier ou à faire trier des documents plusieurs années après leur production ou à les transférer dans des espaces de stockage dédiés, vous ne faites pas de l’archivage/records management mais du tri et du transfert de stockage.

Est-ce que le record management permet de gérer les archives historiques ?

Ce n’est pas fait pour ça. Le records management et la gestion des archives historiques sont deux démarches aux objectifs différents :

– d’un côté le records management vise à protéger les documents engageants d’un risque de perte pendant des durées définies ;

– la gestion des archives historiques consiste à collecter puis traiter et communiquer des documents dont le contenu est une source de connaissance du passé.

Le tableau de gestion est-il un outil de records management ?

Non. Le tableau de gestion relève d’une démarche de préparation de collecte des archives historiques. Il établit des critères de tri des documents en aval de leur production à partir de  listes qui ne font pas la distinction entre « documents engageants » et « documents non engageants. »

Toutes les prestations du cabinet Arkhè Conseil obéïssent aux principes du records management, tous les articles de ce blog aussi. Si vous souhaitez approfondir vos connaissances de cette discipline, retrouvez le programme de formation.