Maîtrise de l’archivage à l’ère numérique

Marie-Anne Chabin, Professeur associé au CNAM – Ecole de Management et experte française du management des D&I, nous informe que la formation « Maîtrise de l’archivage à l’ère numérique », un certificat de spécialisation CS32 du CNAM – École de management, reprendront dès le 11 février 2013 (second semestre).

Les inscriptions seront ouvertes le 28 janvier.

Le certificat est composé de trois composantes :
– UE NDT002 «Fondamentaux et méthodes du ‘records management dans l’environnement numérique ; diplomatique numérique » (79 h de cours, les mardis matin)
– UE NDT003 «Conduire un projet d’archivage managérial / records management» (79 h de cours, les lundis soir)
– UA 2401 «Dossier d’étude de documents engageants ou d’un projet d’archivage» (100 h de travail personnel).
Il est possible de suivre une seule UE sans s’inscrire au certificat.

La plaquette de présentation de la formation CS32 est à télécharger ici ou en visitant http://intd.cnam.fr/

Jean-Pierre BLANGER
Vice-président fi-D&IM
Directeur des Offres de Services Ricoh

Règlement européen sur la protection des données personnelles – le consentement

Le projet de règlement européen sur la protection des données personnelles poursuit son processus législatif à Bruxelles.

Dans ce document, on retrouve les principes fondamentaux qui sont déjà inscrits dans notre législation, mais aussi des principes nouveaux ou largement développés : consentement, informations à fournir aux personnes, droit à l’oubli, portabilité des données, profilage, privacy by design, notification des failles de sécurité, analyse d’impact, désignation du CIL, certification, …

Examinons en détail les articles qui traitent du consentement :
Le traitement n’est licite que si la personne concernée en a donné son consentement pour une ou plusieurs finalités spécifiques, ou s’il est nécessaire à l’exécution d’un contrat ou au respect d’une obligation légale, ou nécessaire aux intérêts légitimes du responsable de traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.

Le consentement d’une personne s’exprime par toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement.

C’est un véritable « opt-in » qui va désormais s’appliquer aux sites de commerce en ligne, mais aussi aux réseaux sociaux ou moteurs de recherche … même s’ils sont américains !

Comme vous le voyez, ces évolutions sont importantes : elles impactent les processus administratifs et commerciaux et auront des conséquences importantes sur les systèmes d’information.

Il est donc nécessaire d’effectuer les analyses d’impact sans attendre si vous voulez être en conformité lorsque le nouveau texte sera applicable.

Philippe SICARD
Consultant expert Informatique & Libertés

Archivage électronique et ISO 27000

Jeudi 26 Mai, l’association FEDISA fait le point sur l’intérêt de l’application des normes ISO 27000 dans le cadre de l’archivage électronique, interne au entreprises ou externalisé chez un tiers de confiance. Elle va même au-delà en affirmant que cette série des normes relative à la sécurité constitue un pré-requis à l’archivage électronique. Sur ce point les D&IM ne peuvent que partager le point de vue de l’a FEDISA et rappeler l’obligation des organisation à s’aligner sur l’état de l’art pour offrir les meilleures garanties.

Après avoir rappelé que les critères d’appréciation sont souvent différents entre les experts techniques et les experts juridiques, quelques normes sont mentionnées et repositionnées:
TRAC – Trustworthy Repositories Audit and Certification (NARA)
ISO 30301 – Information et documentation – Système de management des informations et des documents – Exigences
ETSI TS 101 456 – Policy requirements for certification Authorities issuing qualified certificates
ISO/IEC 27000:2009 Information technology – Security techniques – Information security management systems – Overview and vocabulary
ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management
ISO/IEC 27003:2010 Information technology – Security techniques – Information Security Management Systems Implementation Guidelines
ISO/IEC 27004:2009 Information technology – Security techniques – Information Security Measurements and Metrics
ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management
ISO/IEC 27006:2007 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Il est intéressant ensuite de comprendre, sur la base d’explication détaillée sur le processus de certification, comment l’on peut certifier l’application de ces normes en bonne et due forme.

Mais le plus intéressant reste à venir…

La FEDISA publie un exemple d’analyse de certification d’un tiers de confiance imaginaire: ARP et met en évidence le besoin d’aller au-delà des normes pour garantir les archives électroniques selon les critères de: Disponibilité, Intégrité, Confidentialité et Traçabilité. C’est ainsi que l’a FEDISA définit un sur-ensemble des normes 27002 et 27005 pour traiter plus précisément de l’archivage électronique et propose une méthodologie d’appréciation du risque extrêmement pertinente.

Alors que nombreux sont ceux qui parlent d’archivage électronique à force probante en oubliant souvent de décrire comment la conservation est réalisée et protégée… l’approche relatée dans ces  quelques lignes est la bienvenue.
Il est aussi très clair que les travaux menés et restitués avec une telle qualité ne peuvent et ne doivent pas être ignorés par les D&IM (ni par les Documestre) qui vont dorénavant s’appliquer à faire prendre en compte la certification ISMS (Information Security Management System) au sein de leur organisation, sans omettre un petit passage par l’extension ‘ARP’ de la FEDISA.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D Ricoh

Enfin… Une norme de gouvernance !

La série de normes ISO 30300, accompagne la norme ISO 15489 : Records management et crée trois obligations:
– L’obligation d’analyse et de modélisation par les processus du système Documents & Informations (D&I) pour entrer dans le futur de l’amélioration continue;
– L’obligation de vérifier la cohérence du système D&I avec les systèmes normalisés de l’organisation: ISO9000, ISO 27000, ISO 140000,…
– L’obligation enfin de s’assurer de la parfaite conduite du système par un audit externe qui peut être un audit certificateur.

Les normes de la série ISO 30300 sont les suivantes:
ISO 30300 Information et document – Système de management des documents d’activité – Principes essentiels et vocabulaire
ISO 30301 Information et document – Système de management des documents d’activité – Exigences
ISO 30302 Information et document – Système de management des documents d’activité – Guide de mise en œuvre
ISO 30303 Information et document – Système de management des documents d’activité – Exigences pour les organismes d’audit et de certification
ISO 30304 Information et document – Système de management des documents d’activité – Guide pour l’évaluation

Voilà qui enthousiasme à juste titre les nombreux D&IM qui lisent les textes du présent site car disposer enfin d’un langage commun et de pratiques communes est tant attendu par chacun.

Evidemment présenté ainsi, dès demain matin j’en connais qui vont se mettre en ordre de marche avec l’achat des normes auprès de l’ISO et s’empresser de les appliquer. Il faudra pourtant gérer vos ardeurs car la série de normes est en cours de rédaction et d’approbation. Mais la frustration, ne sera pas si grande car d’ores et déjà les textes des 30300 (Fondamentaux et Vocabulaire) et 30301 (Exigences) sont disponibles. Le travail de normalisation de la gouvernance documentaire peut donc commencer dans votre organisation.

D’autres saines lectures vous attendent… Elles sont, au-delà de l’explication du contexte d’application des normes de la série 30300, mentionnées dans l’excellent livre blanc d’initiative française: “Introduction à la série de normes ISO 30300, Système de management des documents d’activité – Intégration du records management et perspectives d’évolution de l’ISO 15489 – CN11 – Mars 2011” (accès ici).

Vous, qui êtes D&IM ou le deviendrez !
Vous, qui êtes membre du comité de direction !
Vous qui êtes directeur de la qualité  totale !
Vous qui savez que Documents & Informations sont clés dans l’agilité de votre organisation et ne savez comment maîtriser le système documentaire !
Lisez le livre blanc, appliquer les normes… jusqu’à la certification de votre gouvernance documentaire en 2015… Mais 2015, c’est déjà dans 4 ans et c’est juste le temps qu’il faut pour une politique documentaire active et maîtrisée. Alors… Allez y ! Et faites nous part dans ces lignes votre retour d’expérience.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D Ricoh