Articles

6 erreurs à éviter pour bien catégoriser vos données archivées

L’archivage numérique offre des avantages non-négligeables aux entreprises. Il permet en effet de limiter — voire de supprimer — les coûts liés au stockage du papier, de faciliter la manipulation des documents d’un collaborateur à un autre, et d’optimiser le partage des informations, que ce soit au sein même de l’entreprise ou vers l’extérieur. Mais pour constituer un succès, un projet d’archivage doit reposer sur une catégorisation efficace : Catégoriser c’est ranger … et quand c’est rangé c’est tout de suite plus facile de s’y retrouver !

Voici 6 erreurs à ne pas commettre si l’on veut archiver efficacement

Erreur #1 : Confondre “sauvegarde” et “archivage”

Les normes en matière d’archivage numérique sont nombreuses (comme les normes ISO 14641-1 et ISO 3030X par exemple, et certaines sont même adaptées à votre activité ou à la sensibilité de vos données) et listent les bonnes pratiques à respecter. Il serait donc bon de les avoir en tête au moment de construire un projet d’archivage ? Un conseil : ne les lisez pas ! A moins vraiment d’en avoir envie, mais choisissez plutôt  un système d’archivage certifié (la marque NF 461 garanti par exemple qu’un système est conforme avec la norme ISO 14641-1), c’est la première étape, et ensuite alimentez le …

Mais attention, ne confondez pas “sauvegarde” et “archivage”.

L’archivage doit suivre une méthode : On archive uniquement que les documents importants (ou engageants) et on les décrit précisément pour pouvoir facilement les retrouver et surtout pour savoir combien de temps on doit les conserver.

Sauvegarder c’est beaucoup plus simple : On prend tout en vrac et on croise les doigts pour retrouver ce que l’on cherche le moment venu.

Vous conviendrez que ce n’est pas tout à fait la même chose. L’archivage nécessite de trier et de décrire ou catégoriser … Il faut ranger en somme, mettre tout simplement les bons documents dans les bonnes catégories.

Erreur #2 : un référentiel de conservation absent

Le référentiel de conservation est un véritable « mode d’emploi » de l’archivage numérique, une sorte de dictionnaire des catégories. Par extension, il est autant « de conservation » que… « de destruction » : c’est en effet ce document qui va indiquer aux collaborateurs les durées de conservation de chaque catégorie de documents, explicitant obligatoirement celles-ci par une motivation légale ou réglementaire (une loi imposant, par exemple, de ne conserver certaines données personnelles que 5 ans), un besoin métier défini par le service impliqué dans l’utilisation ou la production du document, ou un consentement limité exprimé par les personnes concernées.

Aucun archivage efficace ne sera donc possible sans un référentiel de conservation précis.

Erreur #3 : trop de catégories de documents

L’archivage est donc une pratique qui nécessite de la précision. L’objectif ? Être capable de retrouver n’importe quel document recherché, le plus rapidement possible et en faisant intervenir le moins de personnes possible. Cela implique de ne pas « surcharger » son système d’archivage numérique, et de ne pas multiplier les catégories. Une bonne gouvernance de l’information ressemble, schématiquement, à un arbre, dont chaque branche (ou catégorie) se divise en branches plus petites (ou sous-catégories). Si ces dernières sont trop nombreuses, il ne vous sera pas possible de vous retrouver efficacement dans votre système. Et vos archives ne vous permettront pas de gagner, véritablement, le temps espéré.

Si catégoriser un document est trop complexe, vos collaborateurs le feront-ils ?

Erreur #4 : pas assez de catégories de documents

Pour autant, ce n’est pas une raison de tomber dans l’excès inverse, et donc de ne n’avoir que quelques catégories de documents (« Administratif », « Supports de communication », « Documents internes » et « Prospects », par exemple). En procédant ainsi, chaque catégorie ressemblerait à une masse non triée de données, de documents et d’informations. Retrouver un fichier précis reviendrait donc à chercher une aiguille dans une botte de foins.

Le nombre de catégories dans un référentiel d’archivage est donc une histoire de dosage.

Si catégoriser un document est trop simple, certes vos collaborateurs le feront aisément mais est-ce que ce sera suffisant  pour retrouver ce document ?

Erreur #5 : un référentiel de conservation mal compris

Le référentiel de conservation va donc constituer le document de base pour bien catégoriser les données archivées. Il pourrait être présenté sous la forme d’un tableau, comportant plusieurs colonnes :

  • Les « documents engageants », qui doivent être conservés pour des raisons juridiques, financières ou de besoins métier ;
  • Les différentes durées de conservation, avec les motivations liées ;
  • Le sort final, que l’on résume généralement avec deux lettres, D pour destruction et C pour conservation historique ;
  • Le prestataire de l’archivage;

et ce … catégorie par catégorie.

Mais êtes-vous certain que ce tableau parle à tous vos collaborateurs ? Ne vont-ils pas systématiquement choisir la catégorie “divers” parce qu’ils ne comprennent pas les autres ?

Ce n’est pas une bonne idée de construire un référentiel dédié pour chacune des populations de vos collaborateurs, trop complexe, trop difficile à maintenir. Mais rien ne vous empêche de simplement renommer certaines catégories pour coller à la terminologie de ces populations. Notez également qu’un effort de pédagogie pourrait ne pas être inutile.

Erreur #6 : oublier que l’informatique est là pour vous aider

Vous serez donc maintenant d’accord avec moi, catégoriser est nécessaire pour archiver. Mais personne ne vous a dit de le faire à la main ! Les technologies de l’information ont énormément progressé ces dernières années, les systèmes d’archivages électroniques modernes sont maintenant capables de catégoriser automatiquement les documents, pour peu que l’on ait pris un peu de temps pour leur expliquer comment faire. Étonnant ? Non ! Je vous rappelle que l’on vit dans un monde où les voitures conduisent toutes seules …

L’archivage numérique est un gage d’efficacité nouvelle pour les entreprises… à condition d’être bien construit et bien préparé. Vous souhaitez en savoir plus, vous faire guider dans ce projet ? Contactez les équipes d’Everteam, qui vous aideront à le mener à bien !

RGPD | CIL et DPO, ce n’est pas (vraiment) la même chose !

Le Correspondant Informatique et Libertés, référent sur les questions de protection des données personnelles au sein de l’organisme qui l’a désigné, semble être l’équivalent du DPO. Or, le second serait plutôt le successeur naturel du premier. Explications.

CIL, qui es-tu ?

Chargé des questions liées à la protection des données, le CIL (Correspondant informatique et libertés) a plusieurs missions :

  • Garantir la conformité de son entreprise à la loi Informatique et Libertés ;
  • Veiller à la sécurité des données utilisées par son employeur ;
  • Centraliser les traitements des données…

De telles responsabilités rappellent forcément celles qui incomberont, à partir de du 25 mai 2018, au DPO. Les deux fonctions ne sont cependant pas exactement les mêmes.

Plus d’exigences…

Le Règlement général sur la protection des données précise en effet que de nouvelles exigences s’imposent au DPO s’agissant de ses qualifications et de ses connaissances. Il doit notamment — nous y reviendrons — posséder certains savoirs en matière de droit et de pratiques. Et il doit veiller à entretenir ces connaissances spécifiques, via un programme de formation continue. Autant d’impératifs qui ne concernaient pas vraiment le CIL, dont le rôle se limitait finalement à rassurer les clients de l’entreprise, les fournisseurs, les partenaires potentiels, le personnel… et les autorités de contrôle, la CNIL en premier lieu !

… et plus de responsabilités

On estime qu’il existe, aujourd’hui, environ 4 000 Correspondants informatique et libertés en activité. Ils vivent sans doute leurs dernières heures avec l’entrée en fonction des DPO. « Les CIL et les DPO ne cohabiteront pas, confirmait ainsi, début 2016 lors de la 10ème université de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), Edouard Geffray, secrétaire général de la CNIL. Il y aura une conversion de l’un vers l’autre mais les modalités restent à fixer. Et le titre actuel de CIL ne donnera pas lieu automatiquement au titre de DPO. »

Car le DPO doit faire face à plus de responsabilités que le CIL. Sa désignation étant obligatoire dans de nombreux cas, c’est à lui de répondre en cas de contrôle opéré par la CNIL — ou par tout autre organisme de contrôle européen, la CNIL pouvant être « remplacée » par un autre si l’entreprise concernée opère principalement à l’extérieur de nos frontières. De lourdes amendes pouvant être prononcées en cas de défauts constatés, l’impact du DPO sur le destin de l’entreprise est donc incontestable !

Tous les CIL ne deviendront pas, en mai 2018, des DPO. Ces derniers doivent en effet posséder un solide bagage technique et légal pour mener à bien leurs missions. Ils n’ont pas, de plus, un simple rôle consultatif comme le CIL. Mais quel est leur profil ? Réponse dans un prochain article !

Assainissement des File Systems : que devons-nous faire des archives métier ?

Dans mon article précédentje traitais du contenu ROT (contenu Redondant, Obsolète et Trivial) et j’expliquais de quoi il s’agit et pourquoi il est important d’y remédier (suppression, déplacement hors ligne, mise en quarantaine, etc.). Outre le contenu ROT, l’autre catégorie de contenu majeure à traiter concerne les archives métier. Il s’agit de contenu définis et spécifiés dans ISO 15489, ARMA, DoD 5015.2, NARA, etc. C’est ainsi que la norme ISO 15489 définit les archives métier, ou archives pour faire court, comme des « informations créées, reçues et conservées en tant que preuves et informations par une entreprise ou par une personne dans le cadre des obligations légales ou d’une transaction commerciale ».

business records / archives métier

Les archives métier doivent tout d’abord être identifiées en tant que telles, par exemple, un actif informationnel peut devenir une archive suite à sa publication comme version majeure, cet actif peut devenir une archive lorsque le processus métier impliqué atteint un certain statut, par exemple la signature d’un contrat ou la réalisation d’une mission, …

L’archive métier doit alors être classifiée :

  • Elle doit être associée à une série d’archives (ou classe d’archives) telle que définie dans le référentiel de conservation des archives de l’entreprise
  • Cette association identifie la nature métier de l’archive (exemple : un contrat)
  • Cette association permet aussi de déterminer le cycle de vie et le sort final à appliquer à l’archive
  • Les technologies d’auto classification peuvent faciliter l’automatisation de cette association. Cependant, la précision et, par conséquent, le taux de réussite de l’auto classification dépendra beaucoup du niveau de granularité du référentiel de conservation
  • Les stratégies « Big Bucket » planifiées (moins de 100 entrées par exemple) donnent de meilleurs résultats car le moteur d’auto classification ne doit faire la différence qu’entre un faible nombre de « buckets » (strates) bien distincts.

L’archive métier doit ensuite être soumise à un système d’archivage :

  • L’archive est rendue immuable
  • Son cycle de vie est géré (événement, durée, gel, etc.)
  • À l’issue de son cycle de vie, un sort final sera appliqué à l’archive selon les besoins, cette opération peut par exemple entraîner sa destruction  ou son transfert vers un autre système ou une autre entité

Sans le recours aux outils de File Analysis, les premières tâches d’identification et de classification seront réalisées manuellement, c’est-à-dire en mettant les utilisateurs finaux à contribution. Cependant, l’expérience a prouvé au cours de ces deux dernières décennies que les utilisateurs finaux détestent, et c’est peu dire, ces tâches. Il faut dire que ces derniers ne bénéficient pas de suffisamment de temps et de formation pour les réaliser.

Ceci a d’ailleurs été une source de tensions et l’une des principales raisons pour lesquelles de nombreuses initiatives de Records Management échouent.

Renforcer les compétences des responsables chargés des archives, améliorer leur capacité à communiquer avec l’équipe IT et consolider la formation des utilisateurs finaux peut contribuer à améliorer la situation. Cependant, ces mesures ne permettent pas de résoudre les problèmes de fond :

  • Souvent, les utilisateurs finaux n’aiment pas classifier les archives
  • Le volume d’archives croît de plus en plus et exige au de la de plus d’expertise en records management d’être accompagné par des technologies à forte valeur ajoutée des ressources de RM supplémentaires. Cependant, les ressources de RM sont réduites en raison d’un manque d’appréciation de leur valeur ajoutée

Les responsables chargés des archives doivent commencer à réfléchir autrement. Ils DOIVENT se mettre en quête de solutions qui soustraient davantage les utilisateurs finaux des contraintes liées à l’identification et à la classification des archives. Ces solutions devront intégrer des composants de File Analysis qui contribueront à automatiser et à simplifier le travail des records managers et des utilisateurs finaux.

Si ce sujet vous intéresse, nous vous proposons un webinar le 14 décembre, qui abordera les enjeux liés à la gouvernance de l’information, au RGPD, et les solutions pour y répondre. Cliquez ici pour plus d’information et pour accéder au formulaire d’inscription 

RGPD : Le DPO est-il obligatoire ?

Le RGPD (Règlement général sur la protection des données) entrera en vigueur le 25 mai prochain. Il prévoit la création d’une nouvelle mission, d’un nouveau poste même, au sein des entreprises concernées : le DPO, pour Data Protection Officer. Tout à la fois juriste, pédagogue, porte-parole et informaticien, il est le garant de l’application du RGPD. Mais est-il pour autant obligatoire dans votre structure ? Décryptage.

Les profils « DPO mandatory »

Le texte du RGPD est très clair : la nomination d’un DPO est obligatoire dans certains cas. Ce sont notamment :

– Les autorités ou les organismes publics (les administrations, les ministères…) ;

– Les organismes (les entreprises, pour être plus clair) dont les activités imposent de réaliser un suivi « régulier et systématique », à grande échelle, des personnes ;

– Les organismes dont les activités de base leur imposent de traiter « à grande échelle » des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

Pour y voir plus clair

Vous l’aurez sans doute constaté : les cas pour lesquels le DPO est strictement obligatoire peuvent paraître assez vagues. Qu’est-ce qu’un « suivi régulier » ? Et un suivi « systématique » ? À partir de quand peut-on considérer que l’on traite des données « à grande échelle » ?

Heureusement, le G29, qui regroupe les différentes CNIL européennes, a publié en décembre dernier des lignes directrices sur l’interprétation de ces dispositions. Ainsi, un « suivi régulier » serait un suivi « continu ou ponctuel », « récurrent ou itératif », « en cours ou se produisant pendant des périodes données ». Serait considéré comme « systématique » tout suivi « prévu, organisé ou méthodique ». Enfin, un suivi à « grande échelle » se déterminerait selon le nombre de personnes concernées évidemment, mis en rapport avec le volume des données collectées, la durée de traitement et le périmètre géographique en question. Quelques exemples d’entreprises concernées par ces derniers critères ont même été fournis par les membres du G29 : les chaînes de restaurant exploitant les données de géolocalisation de leurs clients, les données traitées à des fins de publicité comportementale par un moteur de recherche, celles utilisées par les FAI (fournisseurs d’accès à internet)…

DPO facultatif, mais RGPD obligatoire !

Reste une précision : si les textes du RGPD indiquent que, dans certains cas, la nomination d’un DPO n’est pas obligatoire, cela ne signifie pas que l’application du RGPD devient facultative ! En effet, ses principes s’imposent à tous les acteurs économiques et institutionnels. Ainsi, tous doivent permettre aux personnes concernées par le traitement des données :

  • D’avoir accès aux données les concernant ;
  • De les modifier ;
  • De les supprimer (c’est ce que l’on appelle « droit à l’oubli ») ;
  • D’en limiter l’accès ;
  • De les transférer à un autre acteur économique ou institutionnel…

Le tout dans un délai raisonnable, de l’ordre de moins d’un mois. Autant dire que la CNIL s’attache à rappeler que si le DPO n’est pas stricto senso obligatoire, il n’en est pas moins conseillé. Qu’il soit interne ou externe à la structure.

Un DPO interne ou externe ?

Le Délégué à la protection des données (DPD, le nom francisé du DPO) peut en effet être interne, comme externe à l’entreprise ou l’institution dont il assure la conformité au RGPD. Il peut également être mutualisé au sein d’un groupe d’entreprises, tant que plusieurs conditions sont respectées :

  • Chacune doit pouvoir lui offrir les conditions propices à l’exercice de ses nouvelles responsabilités ;
  • Il ne doit pas exister de conflit d’intérêts ;
  • Il doit être joignable facilement à partir de chaque lieu d’établissement, les contrôles pouvant se faire en ligne ou sur place.

Le DPO est au cœur de l’application du RGPD. Vous devez en recruter un, ou envisagez de le devenir vous-même ? Consultez notre Livre blanc consacré au sujet !

 

Qu’est-ce-que le contenu ROT et que devons-nous en faire ?

Tout le monde a déjà entendu parler du contenu « ROT » (ROT contents), c’est-à-dire le contenu redondant, obsolète ou inutile (en anglais « ROT », Redundant, Obsolete, Trivial) soit du contenu sans réel intérêt stratégique. Vous avez peut-être déjà entendu dire que ce dernier devait être identifié et assaini. Mais qu’est-ce au juste que le contenu ROT et pourquoi faut-il s’en soucier ? Comment le débusquer et qu’en faire ensuite ? 

Le ROT est du contenu superflu associé à l’infrastructure (partages de fichiers, SharePoint, etc.). Il s’agit de contenu inutile et qui peut être supprimé, mais de manière justifiée légalement. Voir aussi la définition de l’AIIM (Association for Information and Image Management) ici (http://community.aiim.org/blogs/kevin-parker/2016/05/05/defining-information-rot).

Qu’est-ce qui est ROT et qu’est-ce qui ne l’est pas ?

La définition de ce qui est et n’est pas du contenu ROT peut varier selon l’entreprise, mais pour faire court, ce contenu peut être défini comme suit :

  • Tout contenu réactif à un litige ou un processus d’e-discovery « Legal eDiscovery » (ESI) n’est pas du contenu ROT (par définition)
  • Parmi ce qu’il reste, le ROT est le contenu inutile pour l’activité de l’entreprise et pour le respect de la conformité, le contenu qui n’a pas été consulté depuis longtemps ou encore qui est un doublon exact ou presque, etc.

Souvent, l’entreprise sous-estime le volume de ROT qu’elle stocke. Certaines entreprises figurant dans le classement Fortune des 500 premières entreprises mondiales rapportent que plus de 30% de leur contenu (en volume) est du contenu ROT.

Qui se soucie réellement du contenu ROT ?

On peut aussi se demander pourquoi se soucier du contenu ROT. Le stockage n’est-il pas bon marché ?

Mais trop de contenu ROT, c’est un peu comme avoir un indice de masse corporelle (IMC) important avec les risques et problèmes que cela entraîne pour la santé :

  • Ce contenu ROT augmente les coûts de stockage… le coût total du stockage peut représenter plusieurs milliers d’euros /To par an dont les coûts de gestion, de sauvegarde, d’infrastructure, de DR, etc.
  • Le contenu ROT stocké sur des systèmes devenus obsolètes peut entraîner des dépenses d’exploitation et de maintenance élevées (ressources, renouvellement de licences, maintenance, etc.), et peut aussi interférer avec les stratégies de mise hors service d’applications planifiées par l’équipe IT
  • Le contenu ROT peut entraîner des risques au niveau juridique ainsi que des coûts d’e-discovery (« Legal e-Discovery ») indésirables et potentiellement élevés
  • Le contenu ROT peut aussi comporter des risques pour la conformité à la réglementation, dont les informations protégées par le règlement général sur la protection des données (RGPD) de l’Union Européenne, règlement que nous évoquons déjà sur notre blog

L’équivalent pour le contenu ROT d’un régime associé à de l’exercice physique est le déploiement d’une stratégie de nettoyage ou d’assainissement du contenu ROT :

  • Définir une stratégie de remédiation du contenu ROT
  • Spécifier des politiques qui définissent les caractéristiques du ROT et les actions à mener pour y remédier après l’avoir découvert
  • Déployer des outils de « File Analysis » ou « File Analytics »  pour trouver le contenu ROT et appliquer ou aider à appliquer les actions spécifiées par les politiques 
  • Mettre le contenu ROT hors ligne
  • Le mettre en quarantaine pendant un certain temps
  • Le supprimer directement
  • Etc.

La nécessité d’un outil de File Analytics adapté pour gérer votre contenu ROT

Le composant technologique File Analysis doit être en mesure de fournir les fonctionnalités suivantes :

  • Connexion à des sources de contenu variées au sein de l’infrastructure [partages de fichiers, SharePoint, systèmes de gestion de contenus d’entreprise (ECM), etc.]
  • Indexation des métadonnées et du contenu
  • Application d’une analyse sur cet index : caractéristiques des métadonnées, entités nommées, classifications, champs sémantiques, etc.
  • Identification du futur contenu ROT d’après les paramètres de configuration des politiques
  • Exécution par les utilisateurs autorisés des actions recommandées par les politiques pour ce contenu
  • Génération d’un journal d’audit à valeur légale concernant ces activités

Le nettoyage du contenu ROT n’est pas une opération ponctuelle. L’analyse des fichiers (File Analysis) doit être configurée pour nettoyer l’infrastructure régulièrement et traiter le delta ROT récurrent.

N’oubliez pas …

Pour conclure, j’aimerais souligner deux points importants :

Lors de la découverte de nombreux doublons d’un même document, l’un d’entre eux peut être d’une importance toute particulière pour l’activité de l’entreprise et valoir son pesant d’or en raison de son emplacement, de la nature de son dépositaire ou encore de son statut d’archive gelée pour des raisons légales, etc. Cette copie précieuse (Copie d’or ou Golden copy en anglais) n’est donc bien entendu pas du contenu ROT, même s’il s’agit d’un doublon. L’outil File Analysis doit participer à l’identification et au traitement de ces copies de grande valeur.

Ce même outil doit également contribuer à l’identification du contenu IPI, PCI et PHI au sein des documents, un élément indispensable pour se conformer aux réglementations sur la confidentialité, par exemple le règlement RGPD qui fera l’objet d’un prochain article sur mon blog.

Le plus grand obstacle au décommissionnement

Lorsque je parle à des directeurs informatiques du décommissionnement et de l’archivage, j’ai parfois le sentiment d’être dans une impasse.

Selon moi, le fait de décommissionner des applications qui n’ont plus aucune utilité pour l’entreprise devrait être la chose la plus évidente et simple que n’importe quel CTO pourrait faire dans le but de réduire les coûts et la complexité au sein de son organisation. Pourquoi ne pas décommissionner une application qui vous coûte des dizaines de milliers d’euros–voire plus– si vous ne vous en servez plus ? Qu’est ce qui empêcherait quiconque d’aller de l’avant en faisant l’effort de décommissionner ?

Cette question devient de plus en plus pointue, si vous y ajoutez un autre bénéfice -la réduction du risque- sans compter les économies réalisées et la réduction de la complexité que le décommissionnement permet. Une bonne solution d’archivage permet de réduire les risques légaux et juridiques grâce à des fonctionnalités de conservation et de gestion (en cas de mise en suspens à des fins juridiques par exemple) et permet également d’être conforme aux exigences en termes de conservation d’archives.

Mais quelque chose se met en travers des projets de décommissionnement. Dans une enquête récente que nous avons mené chez Everteam, plus de la moitié des répondants indiquent qu’ils ont au moins une application en place qui n’est plus utilisée. Ces dernières pourraient être décommissionnées, mais non, elles sont toujours bel et bien là.

Dans cette enquête nous avons aussi tenté de comprendre les raisons pour lesquelles les principaux intéressés n’avaient pas initié de projet de décommissionnement de leurs applications. Les réponses ont été révélatrices. Elles ont en effet mis en lumière le seul et plus grand obstacle qui bloquait les initiatives de projets d’archivage et de décommissionnement : l’absence de leadership

En réalité, le département IT et les fonctions métiers partagent le leadership et la responsabilité des applications et ces deux fonctions sont parties prenantes dans toutes les discussions liées au décommissionnement. Dans un scénario classique, l’IT peut sentir qu’une application devrait clairement être stoppée, mais serait bloqué par les métiers. Et la raison à cela est typiquement que les utilisateurs métiers ne sont pas à l’aise avec l’idée de perdre l’accès aux données stockées dans l’application. En dépit des efforts pour les rassurer, ils s’inquiètent de ne plus pouvoir être capable de rechercher et récupérer les documents, archives et autres contenus stockés dans le système précédent.

Puisqu’il est difficile pour l’IT d’initier le projet décommissionnement en raison des objections d’un responsable métier, et qu’il est plus simple d’ “attendre encore 6 mois” plutôt que de risquer la perte d’accès aux informations indispensables, et bien c’est exactement comme cela que ça se passe.

Le décommissionnement est donc repoussé à plus tard, mais au prix du budget et des ressources qui devraient être alloués à de nouvelles initiatives.

Que faire alors ? Et bien, pour ce challenge il n’y a pas de réponses simples. Le plus ironique dans tout cela, c’est que le contenu correctement archivé sera non seulement accessible mais il sera également beaucoup plus facile et rapide de retrouver l’information utile avec la solution adaptée. Le contenu sera également mieux géré, en s’appuyant sur des politiques de conservation qui seront en accord avec la stratégie de gouvernance de l’information de l’entreprise. Par conséquent, la meilleure approche serait de prouver que le contenu archivé soit rendu disponible pour faire des rapports, être recherché, être accessible, et pour montrer clairement les bénéfices en termes d’économies, et de réduction des risques. Et le meilleur moyen pour le prouver est un “Proof Of Concept” (POC).

C’est ainsi que nous procédons habituellement lorsque nous travaillons avec des clients qui choisissent everteam.archive pour leurs besoins en archivage & records management. Nous sélectionnons une application qui est candidate au décommissionnement, nous la connectons ensuite à everteam.archive, et nous en extrayons une copie du contenu. Ensuite nous démontrons comment l’archivage permet au contenu d’être recherché, trouvé, analysé avec les fonctions d’analytics et géré en s’appuyant sur une politique de conservation d’archives adaptée ! Nous terminons ensuite par une petite session pédagogique sur l’importance de la destruction, et expliquons pourquoi retenir le contenu est définitivement une très — TRÈS — mauvaise idée.

Un projet pilote ou POC réussi permettra aux fonctions métier de se sentir à l’aise avec l’idée d’abandonner leur ancienne application. Ils apprendront qu’ils peuvent aider leur entreprise à économiser de l’argent tout en ayant toujours accès à n’importe quel contenu qui leur est nécessaire, quand ils en ont besoin. C’est le meilleur — peut-être le seul — moyen que j’ai trouvé pour surmonter le plus grand obstacle au décommissionnement, qui se traduit en réalité par la peur de perdre l’accès au contenu indispensable dont on “pourrait” avoir besoin dans le futur.

Échangeons sur ce sujet !

 

RGPD et l’assurance : qu’est-ce qui va changer ?

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai prochain. D’ici là, les entreprises du secteur de l’assurance doivent, comme les autres, se mettre en conformité avec ses nouvelles exigences, lesquelles doivent assurer aux citoyens européens un meilleur respect de la confidentialité des informations cédées ou collectées. Mais qu’est-ce qui va changer ? Que conseille la CNIL, organisme de référence en France s’agissant de l’application du RGPD, aux assurances ? Décryptage.

Un « pack de conformité » appelé à évoluer

D’ici le 25 mai 2018, date de l’entrée en vigueur du RGPD, la CNIL a prévu de mettre à jour (et d’en proposer de nouveaux) ses packs de conformité. Premier concerné, le secteur de l’assurance. Il faut dire que ses entreprises collectent, chaque année, une masse considérable de données, qui permettent de créer des offres personnalisées, d’ajuster les tarifs, ou encore de suivre au mieux les évolutions du marché et des besoins !

Le pack de conformité dédié aux assurances proposé par la CNIL doit donc s’enrichir prochainement d’un versant RGPD, en plus du rappel des normes auxquelles ces entreprises sont soumises. Reste qu’il est possible, en étudiant les textes du nouveau Règlement Général sur la Protection des Données, d’en esquisser les contours — voire beaucoup plus.

Rappel : les droits de vos clients

Commençons par un petit rappel : quels sont les droits accordés à vos clients par le RGPD ? Les plus importants sont incontestablement les suivants. Ce sont ceux qui vont nécessiter une toute nouvelle approche de la gouvernance de l’information dans le secteur de l’assurance :

  • Le droit d’accès aux données ;
  • Le droit d’être informé sur le traitement des données utilisées ;
  • Le droit de rectification ;
  • Le droit d’opposition ;
  • Le droit de portabilité des données, dans certains cas (nous en reparlerons !) ;
  • Le droit à l’oubli.

Tous, comme le droit d’accès aux données par exemple, ne sont pas foncièrement nouveaux, puisque déjà inscrits dans la loi informatique et libertés de1978. Ceux qui existaient déjà sont néanmoins renforcés, réaffirmés et harmonisés au niveau européen. Ainsi, dans le secteur de l’assurance, il est indispensable de maîtriser (et d’être en mesure de communiquer) les informations suivantes : les données personnelles enregistrées, leur provenance, les noms et rôles des personnes autorisées à les utiliser, l’objectif et l’utilisation des données ainsi que leur lieu de conservation, et les personnes qui ont accès à ces données. L’article 18 du RGPD permet en effet à tout titulaire, passé ou actuel, d’un contrat d’assurance de recevoir une copie de ses données personnelles, le tout dans un format courant et lisible aisément. Mieux, ils peuvent même demander que celles-ci soient envoyées à un concurrent !

Assurance : comment être en conformité avec le RGPD ?

En tant qu’entreprise du secteur de l’assurance, vous ne pouvez pas prendre le risque de ne pas être en conformité avec les exigences du RGPD. S’y plier, c’est éviter un risque commercial (une sanction pourrait avoir de fâcheuses conséquences en termes d’images et de réputation) ainsi qu’un écueil financier non-négligeable — les amendes peuvent aller jusqu’à 20 000 000 €, ou 4 % du chiffre d’affaires mondial annuel (des deux, le montant le plus élevé sera retenu !).

Dès lors, la première étape pour respecter le RGPD est de nommer un DPO, pour Data Protection Officer (Délégué à la Protection des Données). Il aura pour mission de veiller au respect de la loi et à la mise en place de process à même de renforcer la transparence de votre entreprise. Il devra notamment s’assurer que vous serez, dès le mois de mai prochain, en mesure :

  • De regrouper tous les échanges avec les clients, quel que soient les points de contact utilisé par ces derniers (mail, téléphone, courrier, passage en agence…) au sein d’un même document ;
  • De démontrer que vos clients ont bien consenti à l’utilisation de leurs données personnelles ;
  • D’expliciter, en cas de contrôle institutionnel comme à la demande des clients, l’utilisation faite des données à caractère personnel ;
  • De mettre en place une véritable gouvernance de l’information, reposant sur la traçabilité documentaire, la sécurité du stockage et la réactivité.

Ce que recommande la CNIL

Le chantier de la mise en conformité au RGPD doit être mis en place progressivement. Ainsi, la CNIL recommande pour l’assurance comme pour les autres entreprises de mener 4 opérations principales. Tout d’abord, un volet organisationnel, avec désignation du DPO et de son positionnement hiérarchique, et mise en place de comités de pilotage. Ensuite, un chantier « risques et contrôles internes », permettant de faire le point sur les pratiques en cours et les éléments à corriger. Il devra être suivi du déploiement d’outils de gouvernance de l’information (accès, traçabilité, sécurité, communication…). Enfin, une étape de sensibilisation, en interne comme en externe, sur la nouvelle gouvernance de l’information, devra compléter la mise en œuvre du RGPD dans le secteur de l’assurance. La clé d’une mise en conformité plus sereine !

La mise en conformité aux exigences du RGPD n’est pas une option pour les entreprises du secteur de l’assurance.

Vous avez une question ? Vous pouvez directement m’envoyer un mail à jb.picard@everteam.com ou remplir notre formulaire de contact. Je tâcherais d’y répondre dans les plus brefs délais. Vous pouvez également vous inscrire à notre Matinale dédiée à la Gouvernance de l’Information qui aura lieu le 16 novembre à Paris et qui abordera notamment le thème du RGPD.

Nettoyage des systèmes de partage de fichiers | Définir le processus d’exécution de nettoyage (Phase 2)

Dans de précédents articles, j’ai décrit une procédure que les entreprises peuvent suivre pour leurs projets d’assainissement ou de nettoyage de leurs systèmes de partage de fichiers (ou EFSS). Dans le présent article, je vais approfondir la phase 2 de ce processus, à savoir la définition du processus d’exécution de ce nettoyage.

File Remediation Process

Une fois les politiques de nettoyage définies (règles définissant les différentes classes d’actifs informationnels et les actions associées à chacune d’entre elles), l’étape suivante consiste à définir en détails le processus de nettoyage au niveau de son exécution :

Activité

Description

Remarques

Interroger et inventorier  les partages de fichiers Identifier et générer un inventaire des partages de fichiers au sein de l’entreprise Les fondements de la carte
Estimer les volumes de données Évaluer le volume de contenu stocké dans les différents partages de fichiers Estimation approximative ?
Identifier la nature métier du contenu Identifier la nature métier du contenu dans chaque partage de fichiers
Définir l’état final de chaque partage de fichiers Déterminer l’état final souhaité de chaque partage de fichiers (ou groupe de partages) :

  • Passer en mode hors ligne
  • Mettre hors service
  • Continuer d’utiliser pour le contenu propriétaire
  • Limiter l’utilisation au seul nouveau contenu
Tenir compte de la stratégie globale de l’entreprise en matière de transformation numérique et d’informatique
Définir un processus de nettoyage en mode batch Définir un processus d’exécution du nettoyage en mode batch :

  • Définir des batches distincts
  • Définir des groupes de batches
  • Définir une procédure de traitement des exceptions
Dimensionner la solution File Analytics pour le travail de nettoyage requis Dimensionner la solution File Analytics selon le travail de nettoyage des partages de fichiers

Évaluer les besoins d’infrastructure pour la solution et dimensionner cette infrastructure :

  • Serveurs
  • Base de données
  • Journal d’audit
  • Tableau de bord
Hiérarchiser le traitement des batches Hiérarchiser le traitement des batches et groupes de batches :

  • Considérations budgétaires
  • Considérations en matière de risques (matrice des risques)
  • Considérations légales
  • Considérations de valeur
  • Considérations chronologiques et de délais
  • Considérations liées à des événements contraignants
Exemple : partages de fichiers abandonnés pour des projets terminés ou partages de fichiers d’employés ayant quitté l’entreprise.
Définir le traitement des exceptions Définir ce qui constitue une exception aux règles de traitement ainsi que le mode de traitement de ces exceptions :

  • Appliquer une politique/règle fiable
  • Déplacer vers une autre piste pour traitement manuel
Exemple : élément de métadonnées manquant mais indispensable pour classifier une archive
Définir la supervision et le reporting Définir l’infrastructure de supervision et de reporting :

  • Identifier le destinataire du rapport Tableau de bord ?
  • Quelles informations inclure dans le rapport ?
  • À qui envoyer des notifications et quels sont les seuils ?
Définir un modèle RACI Définir un modèle RACI pour les tâches de nettoyage à exécuter. RACI = Responsable, ComptAble, Consulté, Informé
Obtenir les approbations internes Obtenir les approbations internes nécessaires pour les politiques et le lancement des tâches de nettoyage :

  • BOD (selon les cas)
  • Juridique
  • Métier
  • IT
  • Risques

Comme indiqué dans l’article précédent, gérer des informations ESI (Electronically Stored Information du Legal eDiscovery) ne fait pas forcément partie du processus d’assainissement ou de nettoyage des systèmes de partage de fichiers. CEPENDANT, il s’agit d’une étape qui DOIT précéder toute tâche effective d’exécution du nettoyage.

Dans mon prochain article, j’explorerai la définition du contenu ROT et les problèmes associés.

Suivez tous nos articles autour du thème File Analytics, incluant notamment N’attendez plus, votre Capital Informationnel doit être maîtrisé ! , 4 étapes pour le nettoyage de vos systèmes de partage de fichiers ,

 

Les 4 piliers de la gouvernance de l’information dans l’industrie

Un programme de gouvernance de l’information dans le secteur industriel, cela se structure, s’optimise, se prépare. Mais quels sont les piliers qui permettent de définir une nouvelle politique de gestion des données ? Quels outils et process doivent être mis en place ? Réponse tout de suite, avec le retour d’expérience de Safran, groupe international de haute technologie, équipementier de premier rang dans les domaines de l’Aéronautique, de l’Espace, de la Défense et de la Sécurité, qui emploie plus de 70 000 personnes !

Premier pilier : la stratégie

Le premier pilier de la gouvernance de l’information est le plus évident : la stratégie. Il s’agit en effet de décider, au-delà de la solution d’archivage retenue, des objectifs à atteindre avec la nouvelle politique des données.

Cet enjeu capital doit être impulsé au plus haut niveau, au sein d’un modèle top-down : ce sont les décideurs (dirigeants, managers…) qui en définissent le cadre, via un audit, une initiative pilote, ou encore des réunions de travail. Ce qui permet d’aboutir à répondre à une question simple mais essentielle : qu’attend-on de la gouvernance de l’information ?

Dans le cas de Safran, par exemple, la direction du groupe souhaitait optimiser la gestion de ses archives, en s’appuyant sur un outil d’archivage fluide et simple, à même de répondre aux réglementations, aux défis et aux attentes normatives liés à son activité. Ainsi qu’à anticiper la demande de mise à disposition de documents lors d’éventuels audits !

Deuxième pilier : l’organisation et les processus

Mettre en place une gouvernance de l’information efficace doit se faire de manière concertée, impliquant de fait tous les acteurs de l’entreprise industrielle concernée. Cela passe, tout d’abord, par la construction et la diffusion de règles de classification, de catégorisation et de partage de l’information. Ensuite, la gestion du cycle de vie des informations devra être définie : qu’est-ce qui est concerné par l’obsolescence, à partir de quand ? Quelles actions devront être alors mises en place, et dans quel délai ? Quelles sont les informations les plus importantes, celles à récupérer le plus facilement et le plus rapidement ?

Dans le cas de Safran, un soin particulier a donc été porté à la création des règles permettant, in fine, une réelle valorisation du patrimoine documentaire et une réponse concrète aux obligations légales, réglementaires ou normatives liées à la conservation des documents. L’étape ultime… avant le pilier suivant : le choix des outils !

Troisième pilier : les outils

Bien sûr, les outils constituent un pilier essentiel de la gouvernance de l’information dans le secteur industriel. Ils doivent répondre à plusieurs impératifs. Tout d’abord, une simplicité d’utilisation qui n’empêchera personne, quel que soit son niveau d’acculturation au numérique, de s’en servir au quotidien. Ensuite, une compatibilité totale avec les formats de fichiers et les solutions utilisés précédemment, pour ne perdre aucune information lors du déploiement. Enfin, une personnalisation possible aux enjeux de l’industrie, afin qu’aucune fonctionnalité ne soit manquante.

Ainsi, pour Safran, il s’est agi d’adopter un outil fonctionnant avec les règles de la société, compatible avec les fichiers Excel utilisés précédemment, suffisamment souple pour différencier plusieurs niveaux de règles, et intégrant un suivi simplifié des évolutions et de l’accès aux règles d’ergonomie et de maîtrise des droits. De quoi justifier, largement, l’adoption d’un nouvel outil !

Quatrième pilier : la valeur ajoutée

Ce pilier-là va justifier l’ensemble de la démarche de gouvernance de l’information, et permettra de répondre à la question suivante : « Que peut-on faire maintenant, que l’on ne pouvait pas forcément faire avant ? » L’idée étant, bien sûr, d’atteindre les objectifs fixés dans le premier pilier, mais aussi et surtout de les dépasser !

Illustration chez Safran ? Plus de 200 000 descriptifs de documents sont actuellement gérés avec fluidité et simplicité dans l’application. L’entreprise industrielle peut ainsi :

  • Accéder aux documents réclamés en cas d’audit ou de contentieux ;
  • Valoriser son patrimoine documentaire ;
  • Assurer une conservation optimale des documents.

Vous souhaitez vous faire accompagner dans cette démarche ? Personnaliser ces piliers à vos enjeux industriels propres ? Contactez les experts d’Everteam ou rencontrons-nous lors de notre prochaine matinale dédiée à la gouvernance de l’information

 

 

 

 

 

 

Nettoyage des systèmes de partage de fichiers | Définir les politiques et règles de nettoyage (Phase 1)

Dans mon article précédent, je proposais une méthodologie que les entreprises peuvent suivre pour leurs projets de nettoyage / assainissement de leurs systèmes de partages de fichiers (EFSS – Entreprise file sync-and-share). Cette méthodologie n’a rien de révolutionnaire et je proposais simplement une procédure logique faisant appel au bon sens. Et pourtant, trop nombreux sont les clients qui ne savent pas comment faire, par où s’y prendre et quels outils utiliser.

Dans le présent article, j’approfondis donc la phase 1 de ce processus, à savoir la définition des politiques et des règles de nettoyage.

Pour commencer, l’entreprise toute entière doit avoir conscience que son capital informationnel est réparti dans au moins quatre classes générales, à savoir les archives métier, le contenu métier, le contenu ROT et les informations ESI (voir les définitions ci-dessous).

Ensuite, il est important de définir les politiques et règles pour les caractéristiques des actifs informationnels relevant de chacune de ces classes ainsi que les actions à réaliser sur ces mêmes actifs :

Classe d’actifs
informationnels
Définition Actions
Archives métier Ce sont les « Business Records ». À quel moment un actif informationnel devient-il une archive métier ?

  • D’après son emplacement
  • D’après un processus métier
  • D’après un numéro de version
  • D’après une identification manuelle par un utilisateur
  • Identifier les exigences en matière de pré-approbation
  • La déclarer en tant qu’archive dans un système de Records Management (RM) et la classer selon le référentiel de gestion des archives de l’entreprise
  • La faire migrer vers un référentiel système de RM pour y gérer le cycle de vie (avec immutabilité)
  • Idem, mais copier vers un système de RM pour y gérer le cycle de vie des copies
  • La maintenir à sa place et gérer son cycle de vie au sein du système de RM (pas d’immutabilité)
Contenu métier Généralement défini par ce qui reste APRÈS identification des archives métier, du contenu redondant, obsolète et trivial (ROT) et des informations stockées sur des supports électroniques (ESI)

Certaines entreprises définissent parfois des sous-classes de contenu métier

  • Identifier les exigences en matière de pré-approbation
  • Laisser en place
  • Le faire migrer vers un nouveau référentiel : SharePoint, système EFSS dans le Cloud, etc.
  • Surveiller son statut  car pourra se transformer en archive métier ou en contenu ROT
Contenu ROT Redondant : informations dupliquées stockées dans plusieurs endroits

Obsolète : informations « qui ne sont plus largement utilisées » ou bien « supprimées », « remplacées » ou « désuètes »

Trivial : informations n’offrant que très peu de valeur, le contenu ne correspondant pas à la définition d’une archive, d’une connaissance de l’entreprise, d’une information métier utile  ou de tout autre catégorie ayant de la valeur

D’après les définitions de l’AIIM (Association for Information and Image Management).

  • Identifier les exigences en matière de pré-approbation
  • Le supprimer
  • Le déplacer dans l’espace de quarantaine pour suppression ultérieure
ESI (Electronically Stored Information) Capital informationnel appartenant à l’une des classes ci-dessus mais réactif à un litige actif ou à venir (processus d’e-découverte ou « Legal eDiscovery » typique)
  • Identifier les exigences en matière de pré-approbation
  • Identifier, Collecter, Préserver (EDRM.net)
  • Mettre en attente

 

Remarque importante : gérer des informations ESI ne fait pas forcément partie du processus de nettoyage des partages de fichiers. CEPENDANT, gérer les informations ESI est une étape qui DOIT précéder toute tâche effective d’exécution du nettoyage.

Dans mon prochain article, j’explorerai la phase 2 de la méthodologie de nettoyage des systèmes de partage de fichiers, à savoir la définition du processus d’exécution du nettoyage. Pour conclure, j’aimerais rappeler que l’outil de nettoyage des partages de fichiers et d’analyse des fichiers (File Analytics) utilisé s’inscrira très certainement dans les efforts que fera l’entreprise pour se conformer au nouveau règlement européen sur la protection des données ou RGPD, qui entrera en vigueur en mai 2018.

Suivez tous nos articles autour du thème File Analytics, incluant notamment N’attendez plus, votre Capital Informationnel doit être maîtrisé ! et 4 étapes pour le nettoyage de vos systèmes de partage de fichiers.