Découvrez Le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de la dématérialisation et de la transformation numérique !
La mise en place et la gestion d’un système d’archivage électronique (SAE) dans une organisation publique ou privée doivent suivre les étapes classiques de toute conduite de projet informatique.
Étude d’opportunité et environnement juridique
L’obligation de dématérialiser les échanges entre entreprises et organisations va rendre quasiment obligatoire de disposer d’un SAE, qu’il soit interne (via un hébergeur ou non) ou externe (tiers-archivage). Et si un respect total de la norme NF Z42-013 n’est pas une nécessité pour des SAE internes, il est une garantie de confiance pour les SAE externes. C’est d’ailleurs la raison d’être de la certification Afnor associée à cette norme.
Il convient donc de s’interroger : quels types de documents mon organisation reçoit-elle électroniquement ? À ce niveau, il est nécessaire de disposer d’une étude sérieuse de l’existant sur les documents échangés dans et en dehors de l’entreprise afin de définir le périmètre du SAE :
- les types de documents à archiver (messagerie électronique, documents bureautiques, données informatiques, documents au format PDF, etc.) ;
- la valeur juridique des documents échangés.
Cette étude d’opportunité permet de délimiter très précisément le contexte juridique et réglementaire dans lequel se situent l’organisation et ses échanges documentaires. Tout particulièrement, c’est à ce stade qu’il faut décider s’il convient de respecter la norme NF Z42-013 (Iso 14641) et à quel niveau de conformité. Faire appel à des juristes et à des archivistes dès cette étape est fondamental pour une bonne réussite du projet.
Lire aussi : Logiciel de système d'archivage électronique : Comparatif, guide d’achat et fonctionnalités
Étude de faisabilité et environnement financier et technique
Pour faire le choix du SAE, voici un ensemble de points à examiner sous leurs aspects organisationnels, techniques et financiers :
- existe-t-il un espace pouvant accueillir un local informatique sécurisé permettant le respect des normes de sécurité obligatoires d’un SAE (normes de la série Iso 27000, respect du Référentiel général de sécurité ou RGS, haute protection des accès humains et informatiques, etc.) ?
- disposons-nous d’équipes d’exploitation capables de respecter les normes Iso 14641 et Iso 27000, avec des procédures de suivi des incidents rigoureuses ?
- quelle solution de secours sécurisée pouvons-nous envisager pour la duplication des documents archivés ? Est-il impératif de développer un deuxième centre informatique sécurisé ou pouvons-nous utiliser des archives « off line », comme des disques optiques numériques ou des bandes magnétiques ?
Et pour l’archivage sur des supports amovibles :
- notre infrastructure comporte-t-elle deux emplacements de stockage sécurisés pour le rangement des supports ?
- pouvons-nous mettre en place des procédures sécurisées pour l’enregistrement, la manipulation et le transfert des supports ?
Cette étape vise donc directement la direction financière, la direction informatique et la direction juridique, ainsi que les représentants des métiers concernés par le SAE, puisque ce sont eux qui déterminent les points d’accès aux archives.
Lire aussi : Archivage électronique : Lancement du projet Syn’Archives
Le cahier des charges
Le cahier des charges du SAE sera très différent suivant que la solution retenue est un SAE interne ou externe.
Des documents normatifs existent pour nous aider dans cette étape, en particulier le fascicule de documentation Afnor FD Z42-018, et bien entendu la norme Afnor NF Z42-013 (ou Iso 14641).
Mais attention : si la mise en place du SAE demande l’installation d’un nouveau centre de calcul sécurisé, le cahier des charges ne sera pas uniquement du matériel et du logiciel informatique, mais également du bâtiment, de l’alimentation énergétique, de la climatisation, etc.
La mise en place peut ainsi être une opération relativement complexe ou à l’opposé assez simple, si, comme cela est possible, la solution retenue est un archivage sur supports amovibles (comme des CD-R, DVD-R ou cartouche magnétique LTO) avec une station d’enregistrement basique et la réalisation de copies multiples.
Dans tous les cas, le cahier des charges d’un SAE comporte un volet organisationnel qui n’est pas nécessairement à usage externe à l’organisation, mais qui est aussi à usage interne. En effet, l’organisation, les procédures et l’environnement humain d’un SAE sont une composante à ne pas oublier si des normes comme l’Iso 14641 (Afnor NF Z42-013) doivent être respectées.
L’analyse des réponses et le choix du prestataire
À cette étape, il convient de vérifier la conformité de la réponse au cahier des charges, mais également la pérennité du prestataire. C’est l’objet de la certification Afnor « NF Système d’archivage électronique » (référentiel NF 541), qui garantit à la fois le respect de la norme NF Z42-013 et la solidité de l’entreprise (respect des obligations fiscales et sociales, respect du code du travail, etc.).
Pour une solution interne, la solidité du prestataire est moins critique. Il faut s’assurer que les solutions mises en place peuvent facilement être reprises, soit par le service informatique de l’organisation, soit par un autre prestataire.
Lire aussi : D’une Ged à l’autre : comment gérer un décommissionnement ?
Pour cela, le respect des standards informatiques et documentaires et l’accès possible aux sources des programmes sont des éléments fondamentaux qui doivent être soigneusement examinés. Que la solution soit libre ou propriétaire, l’existence d’une communauté d’utilisateurs active est un critère de choix important.
Les spécifications détaillées
Cette étape est généralement menée par le prestataire retenu. Pour un SAE, il est néanmoins très important qu’une équipe pluridisciplinaire comportant des juristes, des financiers, des référents métier, des informaticiens et des archivistes, constitue le comité de pilotage vérifiant et validant toutes les spécifications mises en place.
Installation d’un système pilote
Toutes les étapes précédentes doivent permettre de définir un environnement pilote : quels services, quelles fonctions, quels documents vont constituer le premier test du SAE ? Il serait dangereux de vouloir archiver la totalité des informations de l’organisation dès l’ouverture du SAE.
Il pourrait alors être difficile de tester convenablement la conformité du système. Le cas échéant, un premier audit de conformité du SAE à la norme Iso 14641 est à mener pour une validation finale du système pilote.
Déploiement du SAE
Les étapes de déploiement à l’ensemble des services, fonctions et documents de l’organisation doivent être menées avec un suivi assuré par le comité de pilotage pluridisciplinaire. Chaque nouvelle implémentation doit faire l’objet d’un audit de conformité initial.
Outre les coûts de maintenance matérielle et logicielle, un SAE entraîne chaque année des frais associés à son audit de conformité. Si le SAE est réalisé en interne (via un hébergeur ou non), l’audit de conformité peut être réalisé par un service qualité interne qui doit être indépendant de l’exploitation technique et fonctionnelle du SAE.
Si le SAE est réalisé en externe (tiers archivage), il est important de demander chaque année la communication du rapport d’audit prévu dans la norme NF Z42-013.
La gestion du SAE
Il reste à bien définir comment gérer le système dans le temps, car le SAE a la particularité de devoir conserver ses documents en les gardant lisibles et intègres. Or, avec les enregistrements numériques, plusieurs facteurs vont influer sur cette conservation (format et support des enregistrements, lecteur des supports, pilotes des lecteurs, logiciels, etc.).
Lire aussi : "L’intelligence artificielle a sa place dans le monde des archives"
De plus, des évolutions réglementaires ou normatives pourraient entraîner un ajustement du SAE, sinon pour la totalité des enregistrements, du moins pour les nouveaux, qu’il convient d’anticiper dès sa conception.
Des migrations d’archives nécessaires
Dès que la durée de conservation des archives dépasse 5 ans, l’obsolescence des technologies matérielles et logicielles utilisées dans le SAE contraint à faire évoluer le système. Il est donc impératif de prévoir la migration des archives.
Les grandes fonctions d’un processus de migration sont identiques, que cette migration soit « interne » (modification des supports, modification de version de logiciels, etc.) ou « externe » au SAE (remplacement d’un ancien SAE par un nouveau).
Un processus de migration des archives doit permettre de réaliser les fonctions suivantes :
- vérification de la bonne lisibilité des archives à migrer dans l’ancienne version du SAE ;
- si ce n’est pas déjà fait dans les métadonnées, calcul d’une information d’intégrité (checksum ou empreinte) ;
- si la nouvelle version du SAE n’est pas capable de coexister avec l’ancienne version, extraction des archives et de leurs métadonnées associées sur un support temporaire, dans un format le plus standard possible (métadonnées XML, documents PDF, messages EML) ;
- mise en place de la nouvelle version du SAE ;
- si les deux versions coexistent, recopie des archives et de leurs métadonnées depuis l’ancienne version vers la nouvelle version, sinon importation de l’extraction réalisée préalablement ;
- vérification de l’intégrité des archives, par comparaison de l’information d’intégrité ;
- si toutes les archives ont été migrées, désinstallation de l’ancienne version du SAE.
Les questions à se poser lors d’une évolution
Lorsqu’une évolution est détectée, il faut se poser les questions suivantes :
- dans quel laps de temps le SAE doit-il évoluer ?
- quelles archives doivent migrer, compte tenu de leurs durées de conservation ?
- peut-on conserver le même format pour les informations entre l’ancien et le nouveau SAE ?
- comment vérifie-t-on que la totalité des archives retenues a été migrée ?
- comment vérifie-t-on la conservation de l’information entre l’ancien et le nouveau SAE, tout particulièrement si le format de représentation de l’information change ?
- quelles traces et quels journaux constitutifs d’éléments de preuve doivent être conservés dans le nouveau système ?
Lire aussi : ArchiLab, un enseignement au plus près des besoins informationnels des organisations
Indépendamment des considérations normatives, telles que celles décrites dans la norme NF Z42-013 ou Iso 14461, rédiger un dossier de migration présentant les évolutions à réaliser, les méthodes de migration retenues et le contrôle qualité prévu constitue une bonne pratique. Ce dossier de migration permettra de réfléchir à l’avance sur tous les points, et d’être certain de ne pas oublier un élément important de la migration.
Considérations sur le choix d’un support d’archivage
Le choix d’un support d’archivage se doit d’anticiper les migrations à réaliser, qui seront d’autant plus rapides et économiques si le support peut être lu et écrit rapidement et avec le minimum d’intervention humaine.
Dans cette optique, la bande magnétique, telle que la bande LTO, présente un avantage certain sur les autres supports, car elle permet des vitesses de lecture et d’enregistrement très rapides pour de grandes capacités.
Les disques RAID pourraient présenter des caractéristiques intéressantes, mais il faudra éventuellement, dans le pire des cas, mettre en place deux SAE complets :
- la migration des informations de l’ancien vers le nouveau SAE se fera via un réseau local de débit probablement inférieur à celui des bandes magnétiques d’aujourd’hui ;
- la consommation énergétique de la migration sera très probablement beaucoup plus importante que pour des technologies sur supports amovibles.