Archiver des données sensibles implique de prendre en considération l’architecture technique du SAE, les procédures, les politiques d’accès et la gestion dans la durée de ces données. (Pixabay/TayebMEZAHDIA)
L’archivage électronique est un passage obligé pour toutes les organisations souhaitant dématérialiser leurs processus et leurs documents. Et en matière de données sensibles et confidentielles, la vigilance est de mise. De quelles données parle-t-on ? Quels sont les différents aspects d’un projet d’archivage électronique de données sensibles ? Et comment le mettre en oeuvre ?
Trois spécialistes – Pierre Fuzeau, président du Groupe Serda, Hervé Streiff, du groupe Archiveco, et Arnaud Laprevote, CEO de Lybero.net – partagent leur expertise et leurs conseils depuis le Salon Solutions 2019.
Qu’est-ce qu’une donnée sensible ou confidentielle ?
Selon la Cnil, les données sensibles sont des données à caractère personnelles qui révèlent des informations sur l’origine raciale ou ethnique, sur les opinions politiques, l’orientation sexuelle, les convictions religieuses ou philosophiques, ainsi que sur l’appartenance syndicale. Les données de santé ainsi que les données génétiques et biométriques permettant d’identifier une personne constituent également des données sensibles.
Toute donnée auquel l’accès doit être restreint, par une loi ou un règlement, à un groupe spécifique de personnes entrent également dans le périmètre des données confidentielles. Par exemple, le « secret d’Etat » est un classement permettant de protéger une information contre une utilisation qui pourrait nuire à la sécurité nationale (Instruction générale interministérielle n°1300 sur la protection du secret de la défense nationale). Certaines données appartenant à des entreprises privées peuvent également relever du « secret industriel » et donc être associées à des clauses de confidentialité.
En la matière, tout dépend du contexte d’utilisation des données. « Un numéro de carte bancaire n’est pas forcément considéré comme sensible, explique Pierre Fuzeau, président du Groupe Serda ; mais si l’on arrive, par son intermédiaire, à tracer tout ce que vous achetez, cela peut devenir sensible. Imaginez que vous fassiez toutes vos courses dans des magasins hallal, avoir accès à ces informations depuis votre compte bancaire permettrait d’en déduire vos convictions religieuses ».
Les 3 volets de l’archivage numérique de données sensibles
L’archivage numérique s’appuie sur des réglementations (RGPD, règlement eiDas, etc) ainsi que sur des solutions technologiques. Selon Hervé Streiff, directeur Projet R&D Solutions digitales du Groupe Archiveco, archiver numériquement des données sensibles revient à se poser la question suivante : « comment gérer des milliards de documents avec des niveaux de sécurité importants ? ». De son côté, Pierre Fuzeau précise : « En plus de l’aspect « volume », il ne faut pas oublier que les documents et les données sont multiformes, rappelle-t-il ; il peut s’agir de data pure, de fichiers PDF ou de documents Excel. Il faut donc pouvoir traiter ce vaste ensemble de données ».
Selon lui, tout projet d’archivage électronique censé filtrer et traiter des données sensibles doit se baser sur trois aspects :
- un volet « solution » (pour gérer les différents flux)
- un volet « organisation » (ou gouvernance : qui prend les décisions ? Qui est l’administrateur du référentiel ? etc.)
- un volet « infrastructure de stockage » (en cloud, en mode Saas, ou en interne, etc).
Quelle sécurité pour l’archivage de données sensibles ?
Pour Arnaud Laprevote, CEO de Lybero.net, l’archivage de données sensibles doit garantir :
- leur sécurité (qui peut accéder à quelles données ?)
- leur intégrité (l’information contenue dans le document archivé a-t-elle été altérée ?)
- leur traçabilité (quels sont les événements qui ont eu lieu sur le document ?)
- leur pérennité (pour des consultations et usages futurs)
Archivage de données sensibles : appuyez-vous sur les normes !
Ce que confirme Pierre Fuzeau, du groupe Serda : « Respecter les principes du modèle OAIS permet de cloisonner les comptes de différents utilisateurs et faire en sorte que les accès soient bien sécurisés, explique-t-il ; il permet de fédérer des identifiants et de manager des milliers de personnes ».
Pour rappel, le modèle OAIS (pour Open archival information system) est un standard élaboré dans l’univers aérospacial (norme ISO 14 721 élaborée en 2003 et révisée en 2012). Véritable modèle de gestion de flux des archives, il tient compte de la qualité des données produites, du cycle de vie de l’information et de la pérennisation.
La norme NF Z42-013 sur l’archivage électronique fixe le cadre de conservation des documents électroniques de manière pérenne, intègre et sécurisée.
Enfin, la norme NF Z42-026 (mai 2017) définit et précise les conditions à remplir pour produire des copies numériques fidèles, c’est à dire identifique de la forme et du contenu. Rappelons que produire une copie fidèle est la première étape pour obtenir une copie fiable, définie comme étant un document numérique dont l’intégrité est garantie dans le temps et de ce fait destiné à être conservé dans un système d’archivage électronique conforme à la norme NF Z42-013. La modification du Code civil du 1er octobre 2016 (article 1379) établit qu’une copie fiable a la même valeur que son document original.
Il est à noter que les services de la fonction publique peuvent de leur côté s’appuyer sur le programme Vitam, déployé en janvier 2017, qui est un programme interministériel d’archivage électronique porté par trois ministères. En accès libre sur internet, il est basé sur des API qui fonctionnent avec un back office et permet une bonne gestion des données ainsi que l’homogénéisation des archives pour en optimiser l’exploitation.
Comment mettre en place une infrastructure d’archivage numérique de données sensibles ou confidentielles ?
Comme indiqué précédemment, le respect du modèle OAIS permet de décrire, dans les grandes lignes, les fonctions, les responsabilités et l’organisation d’un système d’archivage numérique afin d’en préserver les données sur le long terme et pour en garantir l’accès à un groupe d’utilisateurs identifiés.
La question du chiffrement des données n’est plus à poser aujourd’hui : « Il ne doit jamais y avoir de débat sur le chiffrement, martèle Arnaud Laprevote, de Lybero.net ; tout ce qui transite par le web est nativement chiffré, et les solutions de cryptage permettent aujourd’hui de fiabiliser davantage la gestion des restrictions d’accès aux données sensibles. ».
Pour Hervé Streiff, du groupe Archiveco, tout est affaire de méthodologie : « Il ne faut pas voir l’archivage électronique comme une solution mais comme une méthode, explique-t-il ; il faut avant tout identifier les flux et partir du plus important vers les flux plus secondaires, et ainsi traiter les problèmes progressivement. Cela doit nécessairement s’accompagner d’une conduite du changement ».
Pierre Fuzeau, lui, conclut en insistant sur l’importance du cadrage et l’analyse des risques : « Il faut absolument cadrer tout projet d’archivage numérique et ne surtout pas se lancer dans une mise en oeuvre immédiatement, explique-t-il ; et à l’épicentre de ce cadrage, les risques doivent être absolument envisagés, très en amont ».
Cloud et zéro papier : la démat nouvelle dimension
Cherchant à toujours mieux répondre aux besoins des activités privées et publiques, la dématérialisation ne cesse d’évoluer. Selon le contexte, telle approche conviendra mieux qu’une autre… Affaire d’état du système d’information, de gouvernance et de stratégie. Mais derrière l’engouement pour le cloud (Saas), le marché doit être décrypté. De la Ged au réseau social d’entreprise, de multiples briques et assemblages peuvent servir la dématérialisation, tandis que l’intelligence artificielle bouscule les habitudes.
Les derniers impératifs juridiques sont rappelés. Les concepts et les normes utiles sont décrits.
Des méthodes montrent comment analyser ses processus et flux documentaires et élaborer le Swot déclencheur de son projet de dématérialisation.
Comment se lancer dans la mise en oeuvre ? En connaissant les outils, matériels et logiciels, en acquérant de la méthode et en prenant exemple sur des retours d’expérience : gestion du courrier, traitement de la facture, signature électronique, coffre-fort numérique, automatisation des processus..
Source : www.archimag.com