Articles

Normalisation, pour quoi faire ?

Normalisation, pour quoi faire ?

On critique beaucoup les normes : c’est lourd, c’est complexe, c’est contraignant, c’est cher … Et pourtant elles garantissent la sécurité des utilisateurs et des entreprises en structurant. Alors pour quoi normaliser ? La réponse en vidéo. 

Intervenants :
– Jean-François LEGENDRE / Responsable développement AFNOR Normalisation
– Charles HUOT / Président comité éditorial Alliance Big Data
– Christian DUBOURG / Directeur Everteam
Animation du débat : Frédéric NICOLAS / MLG events
Organisation : APROGED

Archivage électronique sous l’angle de la certification marque NF 461

Archivage électronique sous l’angle de la certification marque NF 461

À l’heure où la marque NF 461(1) , délivrée depuis janvier 2013 par AFNOR Certification, s’impose en France comme la référence du bon respect des règles de l’art en vue de la conservation de documents numériques au regard des obligations réglementaires et légales, nous allons proposer une série d’articles extraits du livre blanc « Archivage Electronique & Marque NF461 »(2) qui permettent d’appréhender la certification des Systèmes d’archivage électronique (SAE) sous un angle nouveau.

L’archivage électronique, pour quoi faire ?

La dématérialisation se propage à très grande vitesse. Les documents numériques se multiplient et s’imposent à notre quotidien, qu’ils soient nativement électroniques ou issus de procédés de numérisation. Et, comme tout objet informationnel, ils génèrent un cycle de vie, création, acquisition, modification, révision, transfert, publication, diffusion… et conservation !

Preuve, obligation, trace, mémoire,… ce ne sont pas les motifs qui manquent pour valoriser les fonctions d’archivage. Le numérique rend la conservation incontournable. Il nous faut dompter l’archivage électronique dans nos entreprises, de la même façon que nous sommes amenés à le faire dans nos familles, avec les photos, par exemple.

A la jonction entre le numérique et la conservation apparaît alors le « SAE », système d’archivage électronique. Depuis près de 20 ans, un groupe d’experts construisent un véritable cadre normatif, dans le respect des textes de loi et de leurs évolutions. D’abord la norme française NF Z 42013 dès 1999, révisée en 2001 puis en 2009, ensuite le « portage » de cette norme à l’international (ISO 14641-1) en 2012, et enfin, une certification, la marque NF461 début 2013.

 La marque NF 461

La marque NF est propriété d’AFNOR et existe depuis 60 ans. C’est une marque de conformité aux normes françaises, européennes et internationales. Elle représente avant tout une marque de qualité et de performance sur les produits et services qui  l’obtiennent.

La marque NF 461 rentre au sens strict dans la catégorie des certifications de produits. Il ne s’agit pas de certifier un produit au sens « Editeur » du terme, mais un système d’archivage électronique mis en œuvre avec  tous ses composants techniques et organisationnels. Sur son site Internet, l’AFNOR précise que la marque NF « apporte une preuve indiscutable que le produit répond aux besoins du marché et est conforme à des caractéristiques de sécurité, d’aptitude à l’emploi et de qualité définies dans le référentiel de certification correspondant ». Pour la marque NF 461, il faut entendre « produit » comme étant le système d’archivage électronique déployé.

La marque NF 461 certifie les systèmes qui peuvent gérer des documents numériques externalisés (localisés chez un tiers archiveur) comme les systèmes internalisés (gérés sans faire appel à un tiers archiveur).

Après avoir posé les bases de l’archivage électronique et de la marque NF 461, nous mettrons prochainement en avant les enjeux liés à un SAE certifié.

(1) La marque NF 461 est une marque déposée d’AFNOR Certification.
(2) Livre Blanc « Archivage Electronique & Marque NF 461 : Guide pratique de la certification & fonctionnalités clés d’un progiciel adapté » – Septembre 2013 – Co-écrit Christian Dubourg, Directeur EVER TEAM, Laurent Prevel, Président de l’APROGED et expert en certification des solutions SAE, avec la participation de Maitre Olivier Iteanu, Avocat à la Cour de Paris.

Assurance : la gestion de contenu au service de Solvency 2

Ces dernières années, le monde de l’assurance et des mutuelles a connu des changements réglementaires importants, en particulier au niveau du renforcement de la prévention des risques imposé par Solvency 2. Dans un tel contexte, la gouvernance de l’information est devenue un enjeu majeur auquel la mise en place d’un système de gestion de contenu efficace apporte des solutions pertinentes. Explications.

La gouvernance de l’information, pilier de Solvency 2

L’ambition de Solvency 2 est d’amener les compagnies d’assurance et de réassurance  à offrir toutes les garanties permettant de se prémunir des risques propres à leurs activités. Dans un tel contexte,  une parfaite gouvernance de l’information constitue un enjeu majeur. A l’inverse de la gestion pré-Solvency 2, il est nécessaire de maîtriser et d’appréhender :

  • l’information générée dans le cadre des processus liés à l’activité de l’entreprise.
  • les processus et de leurs impacts sur le capital informationnel de l’entreprise.

La gestion de contenu comme outil de gouvernance

Pour répondre à ces objectifs, les entreprises d’assurance et de réassurance s’appuient sur des solutions ECM dédiées à ce type de contexte permettant de :

  • Définir une politique de gouvernance de l’information ; par exemple pour connaitre la valeur d’un document ou d’une donnée à chaque instant.
  • Constituer un « audit trail » exhaustif, intègre et lisible, notamment en cas d’audit.
  • Archiver les flux de données ou de documents à tout moment afin de maîtriser la chaîne de responsabilité ; par exemple avant transfert à une entreprise partenaire afin de disposer de l’information transmise à un instant T.

Rappel sur la réglementation Solvency 2

Sous l’impulsion de l’union Européenne, et à l’instar des compagnies bancaires, une réforme réglementaire majeure – communément appelée Solvency 2 –  a été établie. Il s’agit en réalité de la directive 2009/138/CE.

Cette réglementation établie, pour toute entreprise, les conditions d’accès et d’exercice aux activités de l’assurance et de la réassurance. L’ambition de Solvency 2 est d’amener les compagnies d’assurance et de réassurance  à offrir toutes les garanties permettant de se prémunir des risques propres à leurs activités. Pour atteindre cet objectif, Solvency 2 impose aux entreprises le respect de 3 piliers :

  • 1er pilier : Mise en place des normes qualitatives de calcul des provisions techniques et des fonds propres.
  • 2ème pilier : Mise en place des normes qualitatives de suivi des risques en interne.

Les entreprises doivent être prêtes pour 2014

En termes de mise en œuvre effective, même si celle-ci a officiellement été repoussé au 1er janvier 2014, les compagnies d’assurance et de réassurance se sont d’ores et déjà appropriées le sujet et ont pour la majorité initiée la mise en place des solutions informatiques nécessaires. Dans ce cadre, Everteam constitue un prestataire de choix avec plus d’une décennie d’accompagnement des principaux acteurs français de l’assurance dans la mise en place de leurs solutions de gestion de documents (ECM).

Dématérialisation et conservation : PSDC – Luxembourg

PSDC – Le Luxembourg crée un nouveau statut autour de la dématérialisation et de la conservation

Le Grand Duché de Luxembourg a publié le 12 juin 2012 la version 1.1 de son document intitulé : « Règle technique d’exigences et de mesures pour l’accréditation des Prestataires de Services de Dématérialisation et/ou de Conservation ». Ce document  expose le futur système d’accréditation de l’ILNAS prochainement disponible pour toutes les organisations privées ou publiques qui souhaiteront faire certifier leur système de dématérialisation et/ou de conservation des documents numériques et archives numériques. Elles obtiendront alors le statut de PSDC. Les membres du gouvernement du Luxembourg ont adopté le 18 janvier 2013 le projet de loi relatif à l’archivage électronique et modifiant la loi modifiée du 5 avril 1993 relative au secteur financier ainsi que le projet de règlement grand-ducal relatif à la dématérialisation et à la conservation de documents. 

PSDC – de quoi s’agit-il?

Le document publié le 12 juin 2012 par l’ Institut luxembourgeois de la normalisation, de l’accréditation, de la sécurité et qualité des produits et services (ILNAS) fixe les règles techniques d’exigences et de mesures pour l’accréditation des Prestataires de Services de Dématérialisation et/ou de Conservation (PSDC). Ce nouveau statut au Grand Duché de Luxembourg est accessible pour toute organisation publique ou privée, indépendamment de son type, de sa taille , de ses processus ou de ses activités, que se soit pour ses besoins internes ou dans le cadre de services proposés à ses clients.

Vous êtes donc concernés si votre société est au Luxembourg et si vous souhaitez dématérialiser par la numérisation vos documents papiers, et/ou si vous souhaitez mettre en place un Système de conservation de documents analogiques et numériques. L’accréditation se traduit par l’obtention d’un statut de Prestataire de Services de Dématérialisation et/ou de Conservation (PSDC).

Si votre société est en France, vous n’êtes pas concernés, mais il existe également une certification pour la dématérialisation et la conservation de vos documents. AFNOR Certification propose un processus de certification de votre SAE afin d’obtenir la Marque NF 461 SAE.

Une exigence au Luxembourg : la certification ISO 27001-2005

Le principe retenu par le Luxembourg consiste à orienter les exigences pour obtenir le statut de PSDC autour de la norme ISO 27001. La règle technique d’exigence et de mesures pour l’accréditation passe par une intégration  des processus de dématérialisation et/ou de conservation dans la définition du domaine d’application du Système de Management de la Sécurité de l’information (SMSI).  L’accréditation correspond donc à une certification ISO 27001 étendue. Le SMSI doit respecter l’ensemble des exigences des clauses 4, 5, 6, 7 et 8 de la norme ISO 27001 :2005. La clause 6 du document de l’ILNAS complète les exigences de l’ISO 27001 :2005.

Comparaison avec la Marque NF 461

La marque NF 461 repose sur la norme ISO 14641-1 et NF Z42-013 et non pas exclusivement sur la norme ISO 27001:2005. Bien que l’esprit soit assez similaire, le référentiel de certification de la marque NF 461 n’impose pas une certification ISO 27001:2005. L’ISO 27001 est exclusivement orientée sur le  Système de Management de la Sécurité de l’information (SMSI). Le principe d’un PDCA cyclique ( Plan, Do, Check, Act) dans l’ISO 2700-1,  que l’on retrouve également dans la famille des normes ISO 30300 est également le principe de base de la certification NF 461. La politique d’archivage décrite dans le référentiel de la marque NF 461, le Dossier de Description Technique du Système (DDTS), l’évaluation des activités liées au SAE par l’auto évaluation, la gestion des indicateurs de performance, le suivi et l’exploitation des résultats permettent une   mise en oeuvre de la roue de Deming et  l’amélioration des activités liées au SAE.

la marque NF 461 prend en compte les aspects liés à la sécurité du Système d’Archivage Electronique (SAE) au sein du SI. Elle fait référence, via le paragraphe 5.4 de la norme NF Z42-013:2009,  aux  normes de la famille NF ISO/CEI 27001. Elle conseille de se  reporter  aux préconisations définies par  ces normes. Cependant, elle n’impose pas d’obtenir une certification ISO 27001.  Dans son référentiel, la marque NF 461 reconnait l’utilité d’une telle certification. Une organisation ayant obtenu un statut de PSDC au Luxembourg  pourrait alors prétendre à une phase d’audit plus courte en vu de l’obtention de  la marque NF461 du fait de la reconnaissance de sa certification ISO 27001.

La différence majeure entre la France et le Luxembourg réside sur le choix de référentiel ISO lié à la certification de procédures de dématérialisation et de conservation. La France a préféré partir de la norme ISO 14641-1 particulièrement dédiée à l’archivage des documents électroniques et traitant de la sécurité, de l’intégrité et de la  pérennité autour du documents. Le Luxembourg a préféré partir de la norme ISO 27001 orientée exclusivement autour de la sécurité de l’information et de l’étendre aux processus de dématérialisation et de conservation.

Bien que différents sur la forme, les deux référentiels sont assez proches (cela semble logique non !!!). Ils convergent sur de nombreux points. Cependant, les exigences de sécurité du référentiel Luxembourgeois intègrent l’utilisation de mécanismes cryptographiques de sécurité d’une manière obligatoire. Les règles de manipulations des supports et de mise au rebut reposent sur la norme ISO 27002:2005 avec quelques compléments.

Les exigences du référentiel de la marque NF 461 semblent plus simples et tout aussi efficaces la différence  d’approche Cette  vient du concept de niveaux d’exigences développées dans la norme ISO 14641-1 qui permet à chacun de mettre en oeuvre le niveau d’exigence et de sécurité adapté à ses contraintes et à ses risques.

Evolution de la loi au Luxembourg

En parallèle du projet d’accréditation des PSDC, le Grand Duché de Luxembourg a travaillé sur une révision de ses textes de loi. Comme dans d’autres pays d’Europe, la loi permet au Luxembourg l’eArchivage depuis plus de 20 ans. Cependant, elle repose sur des principes difficiles à appliquer. le grand Duché de Luxembourg a entamé une réforme permettant d’assurer la reconnaissance des archives électroniques et une présomption d’équivalence à l’original d’un document analogique numérisé. L’enjeu est important pour le Grand Duché du Luxembourg qui souhaite en tirer un avantage compétitif important.

La version 1.1 du 12/06/2012 de la règle technique d’exigences pour l’accréditation des PSDC fait déjà référence à la futur loi dès la première phrase  son introduction : « La loi relative à la dématérialisation et à la conservation du xx/xx/xx modifiant la loi modifiée du 14 août 2000 relative au commerce électronique dispose en son article 34-5 qu’une organisation peut, en regard de l’exécution de ses processus de dématérialisation et de conservation, demander une accréditation ad hoc auprès de l’Institut Luxembourgeois de la Normalisation, de l’Accréditation, de la Sécurité et Qualité des Produits et Services (ci-après « ILNAS »), selon les exigences et les mesures définies dans la présente règle technique. »

Adoption du projet de loi du 18 janvier 2013

Les membres du gouvernement du Luxembourg ont adopté le 18 janvier 2013 le projet de loi relatif à l’archivage électronique et modifiant la loi modifiée du 5 avril 1993 relative au secteur financier ainsi que le projet de règlement grand-ducal relatif à la dématérialisation et à la conservation de documents.

Sur le périmètre financier, le projet de loi adopté concerne les conditions de dématérialisation d’originaux au sens de la loi et les conditions de conservation de copies et d’originaux numériques. Il précise les conditions dans lesquelles les copies peuvent bénéficier d’une présomption de conformité à l’original ; et fixe les règles applicables à l’activité de prestataire de services de dématérialisation ou de conservation.

En ce qui concerne le projet de règlement grand-ducal, il a pour but de remplacer le règlement grand-ducal du 22 décembre 1986 pris en exécution des articles 1348 du Code civil et 11 du Code de commerce. En effet, ce texte ancien n’était pas adapté aux besoins spécifiques de l’archivage électronique pour des durées de conservation et d’archivage de plus de 25 ans. Le nouveau texte fixe le détail des conditions auxquelles doivent satisfaire les copies, les règles à observer lors des processus de dématérialisation et de conservation des documents. Enfin il reprend de l’ancien texte les règles qui doivent être respectées lors de la copie par micrographie.

Sources :  

Que fait la France sur le périmètre législatif

Sur ce point la France, comme les autres pays européen a du retard… L’APROGED, toujours à la pointe de l’économie numérique a monté un groupe de travail « Elimdoc » pour avancer sur le sujet. Espérons que ce groupe puisse rapidement proposer un texte aux parlementaires Français.

Le TC171/SC2 de l’ISO publie la norme ISO 19005-3:2012 ou PDF/A-3

Une nouvelle révision de la norme ISO 19005 vient de voir le jour (10-2012). Cette nouvelle norme est importante puisque les travaux autour de la gamme PDF/A-X sont liés à la définition des formats de conservation à long terme.

Après la norme ISO 19005-1 également connue sous le nom de PDF/A-1x, l’ISO 19005-2 connue sous le nom de PDF/A-2, voici l’ISO 19005-3 qui sera connue sous le nom de PDF/A-3.

Du PDF/A-1 au PDF/A-3

Le PDF/A-1 (2005) s’attachait à définir un format PDF pérenne et lisible dans le temps, comportant des caractères « unicode » dans lequel le texte pouvait être recherché et exploité et comportant des méta-données standards et obligatoires. Cette version du PDF « stable » reposait sur la version 1.4 du format PDF.

Le PDF/A-2 (2011) venait compléter la première version en sa basant sur le format PDF 1.7. Le support de l’encapsulation de PDF dans un unique PDF/A-2  faisait son apparition ainsi que le support de PaDES.

Le PDF/A-3 (2012) se base également sur PDF 1.7 normalisé via l’ISO 32000-1. Il ajoute à l’ISO 19005-2,  le support de tous types de fichiers (bureautique,CAD, xml, csv, …) encapsulés dans un unique PDF/A-3 dès lors que ces fichiers encapsulés sont conformes aux parties 1 et 2 de l’ISO 19005.

Un fichier au format PDF/A-3 peut donc correspondre d’avantage à un dictionnaire de fichiers tel que définit dans l’ISO 32000-1. Bien entendu, l’incorporation de fichiers ayant des dépendances externes est interdite sauf de les encapsuler d’un manière stable tout en conservant le contenu d’origine. Les fichiers encapsulés doivent avoir un type MIME valide. La génération d’un fichier à priori simple peut rapidement devenir un casse tête  afin de préserver le contenu en respectant les contraintes liées à la stabilité dans le temps des informations encapsulées.

Un peu de technique et de gymnastique par l’exemple

Casse tête : Comment générer un fichier PDF/A-3 à partir d’un fichier bureautique de type texte (… office)  comportant une équation mathématique et une représentation graphique sous la forme d’un camembert dérivée d »une feuille de calcul d’un outil tableur ?

Recette : pour générer  un tel fichier en PDF/A-3 il faut :

  • Encapsuler le fichier bureautique texte dans le fichier PDF/A-3 via une clef de type  « AFRelationship » positionnée à « Source » et l’associer au catalogue du fichier PDF/A-3. La valeur « Source » permet de spécifier que le fichier encapsulé représente les données (le contenu) d’origine.
  • Générer une version « MathML » de l’équation mathématique dans le fichier PDF/A-3 via une clef de type « AFRelationship » positionnée à « Supplement » et l’associer en utilisant un « XObject »  de type « Form ». Le mot clef  « Supplement » permet de définir que l’objet correspond à une représentation supplémentaire plus lisible par rapport à la source d’origine.
  • Encapsuler le fichier « feuille de calcul »   dans le fichier PDF/A-3 via une clef de type  « AFRelationship » positionnée à « Source » et l’associer avec le « XObject » de type « Form » ou l’objet Image représentant le camembert.
  • Encapsuler un fichier CSV  via une clef de type  « AFRelationship » positionnée à « Data » et l’associer avec le « XObject » de type « Form » ou l’objet Image représentant le camembert. Le mot clef « Data » permet de spécifier que l’objet CSV devra être utilisé pour permettre une représentation visuelle en lieu et place de la feuille de calcul qui est dans un format spécifique.
Ainsi, le fichier PDF/A-3 comporte non seulement les données d’origine mais également des objets dérivés et réputés pérennes pour représenter des informations encapsulées dans le fichier d’origine.

 PDF/A-3 : le format multi-usage

Avec ces 3 révisions, l’ISO 19005-X permet de :

– De définir un format de fichier qui préserve l’apparence visuelle statique des documents électroniques au fil du temps,

– d’établir un cadre pour l’enregistrement des métadonnées liés aux documents électroniques.

– d’établir un cadre pour définir une structure logique des documents électroniques multi-formats

La nouvelle norme NF Z42-020 relative au coffre numérique

La nouvelle norme NF Z42-020 relative au coffre numérique – Périmètre et utilité

Un groupe de travail au sein de la Commission de Normalisation CN171 de l’AFNOR a souhaité définir une nouvelle norme autour du cofFfre fort numérique. Après plusieurs mois de travail, la norme NF Z42-020 a vu le jour et est publiée. Cette norme est relative aux « spécifications fonctionnelles d’un Composant Coffre-Fort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps ».

Ayant piloté pendant la quasi totalité du projet le groupe de travail, il me semble intéressant de vous donner un aperçu du contenu de ce document et de son utilité. 

A qui s’adresse t-elle ?

La norme CCFN (Composant Coffre-Fort Numérique) est la première norme du genre disponible sur le sujet en France. Du fait de son contenu plutôt technique, la norme est d’avantage destinée aux sociétés qui souhaitent développer une solution ayant à intégrer un CCFN. Elle souhaite décrire les règles de l’Art à mettre en oeuvre afin de communiquer entre un SAE (Système d’Archivage Electronique) et le CCFN. En cela, la norme peut être considérée comme une description technique de la manière dont il est souhaitable qu’un SAE NF Z42-013 dialogue avec son CCFN.   La norme peut également être utile pour les consultants qui voudraient s’appuyer sur la description des fonctions de la NF Z42-020 à mettre en oeuvre dans le protocole d’échange des ON (Objets Numériques) entre le SAE et le CCFN. Enfin, la norme est aussi destinée aux sociétés qui développent et commercialisent  des CCFN.

Quelle est son périmètre ?

la norme NF Z42-020 fait une description fonctionnelle des verbes qu’un CCFN devrait implementer pour se conformer au texte proposé. Déposer, lire, détruire, contrôler, lister, compter, lire les métadonnées techniques, lire le journal. Tels sont les 8 verbes que la norme expose et détaille.

Un CCFN qui souhaite être conforme à la NF Z42-020 doit être en mesure d’implémenter ces verbes.

Un SAE NF Z42-013 qui souhaite utiliser un CCFN NF Z42-020 doit implémenter également l’appel à ces fonctions minimalistes.

Positionnement NF Z 42-020 / NF Z42-013

La norme NF Z42-020 doit être considérée comme un sous ensemble de la norme NF Z42-013. Il s’agit bien d’une norme sur un « composant »  coffre-fort numérique et non sur un « coffre-fort numérique » . Le titre de la norme est sans ambiguïté.

Le sous-entendu qui se trouve derrière le mot  « Composant » est « fort ». Il ne s’agit pas d’un coffre-fort mais d’un composant coffre-fort au service d’une solution qui devra l’implémenter comme l’explique l’introduction de la norme CCFN en mentionnant la norme NF Z42-013.

L‘annexe A de la norme CCFN expose le positionnement du CCFN par rapport à la norme NF Z42-013. Quelques points peuvent être soulignés :

  • Un SAE NF Z42-013 qui implémente un CCFN à la norme NF Z42-020 devra documenter dans son DDTS (Dossier de Description Technique du Système) le composant.
  • Le CCFN permettra de faciliter (partiellement) la mise en oeuvre des SAE NF Z42-013 basés sur des supports réinscriptibles
  • Les  journaux du CCFN devront s’intégrer naturellement aux journaux du cycle de vie des archives du SAE NF Z42-013. Ils ne pourront se substituer à eux puisque certains évènements  du journal du cycle de vie des archives tel que le changement de la durée de conservation d’un objet numérique doit figurer dans le journal du cycle de vie des archives.  Les verbes du CCFN ne gèrent pas ces points importants.

Une norme de trop ?

La norme NF Z42-020 aurait mérité de ne pas être une norme en tant que telle mais de venir enrichir la futur révision de la norme NF Z42-013. Elle aurait alors pu rentrer dans la certification Marque NF 461 et dans le cycle de révision de la norme ISO 14641-1. Née de la même commission de normalisation (CN171), il aurait été très facile d’arriver à ce résultat. Le consensus normatif en a décidé autrement.

 

Elle a donc maintenant le mérite d’exister mais reste toutefois très insuffisante. Elle ne couvre pas plusieurs points fondamentaux d’un CCFN : la sécurité des contenus qui sont placés dans le CCFN, l’environnement et l’exploitation du CCFN, la confidentialité et la disponibilité des objets contenus dans le CCFN.

En l’état, son application reste du domaine des règles de l’art. Il est d’usage de dire que les bonnes pratiques exposées dans cette norme sont conseillées.  La majorité des éditeurs de solution de SAE NF Z42-013 avaient déjà intégrés ces fonctions dans leurs solutions. Il ne s’agit donc pour eux, que d’une simple régularisation.

Eversuite Compliance

La solution EverSuite Compliance met en oeuvre la norme NF Z42-020 au travers de ses drivers d’URI (ES-URI)  permettant de piloter des solutions partenaires de stockage des objets numériques. Cette solution utilise  les 8 verbes fondamentaux minimaux de la norme. mais elle va plus loin.

EverSuite Compliance ajoute dans son vocabulaire des verbes permettant de protéger les objets numériques déposés dans le CCFN. Ces verbes permettent par exemple de fixer la durée de rétention des objets numériques, rendant alors impossible la destruction des objets tant que cette durée n’est pas révolue. Toutes les solutions de stockage Coffre-Fort Numérique ne proposent pas d’appliquer ce type de verbe pourtant si importants pour assurer la sécurité des objets déposés.

EverSuite Compliance  traite également de la réversibilité  des objets numériques en disposant  dans le CCFN toutes les informations utiles à la reconstruction des métadonnées associés aux objets stockés. Cette structure Xml permet également de vérifier l’intégrité des objets numériques et des métadonnées associés .

Contactez nous pour aller plus loin….

Ou trouver la norme NF Z42-020 ?

Vous souhaitez découvrir les détails de la norme NF Z42-020 de juillet 2012. Rendez-vous sur la boutique AFNOR

L’auto-évaluation – un outil pour se préparer à la certification de son SAE NF Z42-013 dans le but d’obtenir la marque NF 461.

L’auto-évaluation – un outil pour se préparer à la certification de son SAE NF Z42-013 dans le but d’obtenir la marque NF 461

La marque NF 461 permet de distinguer les Systèmes d’Archivage Electronique (SAE) qui respectent la norme NF Z 42-013 ou la norme ISO 14641-1 ainsi que le référentiel de certification associé. La certification est proposée par AFNOR CERTIFICATION  aux entreprises qui souhaitent mettre en place ou qui possèdent déjà un SAE. Ces entreprises qui ont fait le choix de ne pas externaliser leurs archives électroniques pour des raisons de confidentialité ou pour tout autre raison peuvent demander et obtenir la marque NF 461. 

Auto-évaluation de son SAE

Pour permettre à un SAE d’obtenir la certification liée au référentiel de la marque NF 461, il est indispensable de mettre en place un système d’auto-évaluation annuelle du SAE afin de vérifier la conformité de son SAE par rapport à la norme NF Z42-013 et au référentiel de certification. Les résultats de cette auto-évaluation doivent donner lieu à un plan d’action d’amélioration et à son suivi.

Lors d’une demande d’audit auprès d’Afnor Certification, un dossier doit être constitué avec, entre autre, les résultats de l’auto-évaluation ainsi que le plan des actions d’amélioration. Ces documents sont utilisés par l’auditeur lors de la préparation de son audit du SAE.

L’audit du SAE par AFNOR Certification aura lieu tous les trois ans. Il est donc important de mettre en place cette auto-évaluation annuelle pour permettre de gérer plus facilement la gestion du cycle de vie de la certification.

Durée d’un Audit

Tous les 3 ans, un auditeur se déplace sur le site où se trouve le SAE afin de vérifier sa conformité. L’audit d’un SAE interne est composé de 3 étapes : Une étape de présentation du SAE durant laquelle le SAE est présenté à l’auditeur, une seconde étape de travail sur la documentation relative au SAE, une troisième étape de contrôle du SAE par rapport aux règles de certification.

L’audit donne lieu ensuite à un rapport qui est présenté au demandeur. Ce rapport précise les écarts éventuels constatés que le demandeur devra combler pour lui permettre d’obtenir la marque NF 461.

L’audit pour un SAE interne est actuellement prévu sur une durée 6 jours. L’auto-évaluation annuelle est obligatoire pour pouvoir faire certifier son SAE.

NF Z42-020 : Composant Coffre-Fort Numérique CCFN

Naissance de la NF Z42-020

Suite à la seconde réunion de dépouillement de l’enquête publique sur la proposition de norme NF Z42-020, l’ensemble des remarques issues de cette enquête ont été traitées par la Commission de Normalisation 171 (CN171) de l’AFNOR. La norme NF Z42-020 va donc officiellement voir le jour d’ici quelques semaines (fin mars 2012).

Famille des normes NF Z42-013

Cette nouvelle norme vient s’inscrire dans la suite logique de la norme NF Z42-013, norme permettant de mettre en place un Système d’Archivage Electronique (SAE).

La norme NF Z42-020 permet de définir un Composant Coffre-Fort Numérique CCFN qu’il est possible de mettre en œuvre dans le cadre de la norme NF Z42-013 pour dialoguer avec le composant technique en charge du stockage des « trains de bits » envoyés par le Système d’Archivage Électronique (SAE). La mise en oeuvre de la NF Z42-013 n’impose absolument pas la mise en œuvre de cette nouvelle norme.

Une norme avec une portée limitée

Cette nouvelle norme est assez limitée, et définit des fonctions minimales qu’un CCFN doit mettre en œuvre s’il souhaite se conformer à cette norme. Cette nouvelle norme permet simplement de structurer les CCFN en imposant des fonctions à respecter a minima.

Sa portée reste très limitée car la norme NF Z42-013 était déjà assez précise sur les exigences liées au stockage des contenus sur des systèmes basés sur des supports ré-inscriptibles. Les SAE qui se conformaient aux exigences de la NF Z42-013 traitaient déjà ces fonctions minimales.

La norme NF Z42-013 permet d’appliquer la Politique d’Archivage de l’entreprise ou de l’organisme alors que la norme NF Z42-020 permet de stocker des objets binaires et de les sécuriser.

EVERTEAM et la NF Z42-020

EVER TEAM est membre du Groupe de Travail CCFN qui a rédigé cette nouvelle norme. Cette nouvelle norme est déjà appliquée dans sa suite EverSuite Compliance via sa technologie de drivers d’URI.

ISO 3030X : une famille de normes ISO structurantes pour la gouvernance des documents d’activités

ISO 3030X : une famille de normes ISO structurantes pour la gouvernance des documents d’activités

La norme ISO 30300 est une norme introductive permettant d’exposer les principes
essentiels et le vocabulaire utilisés dans la gamme ISO 3030x. cette gamme est actuellement constituée de l’ISO 30301 qui correspond à la définition des exigences liées à la norme 30300. Il est donc conseillé de lire en premier l’ISO 30300 puis d’approfondir le sujet (indispensable) via la lecture de l’ISO 30301.

Gouvernance des documents d’activités

Ces normes récentes traitent de la gouvernance des documents d’activités. Le SGDA, nouvel acronyme signifiant Système de Gestion des Documents d’Activités, doit être mis en oeuvre dans le cadre d’une méthodologie PDCA (roue de Deming) où chaque nouveau cycle permet d’améliorer le précédent afin d’ améliorer sans cesse la performance.

Les jalons de la roue de Deming

Dans le cadre d’un SGDA 3030X, la roue permettant de boucler un cycle est jalonnée par différents facteurs:

  •  la définition puis l’amélioration du domaine d’application du SGDA basée sur le contexte de l’organisme (contexte externe et interne), la cartographie des exigences opérationnelles, légales et autres,
  • la définition de la politique associée aux documents d’activités, la cartographie des rôles et responsabilités associées,
  • la définition des objectifs mesurables à atteindre et des moyens à mettre en oeuvre pour la bonne gestion des documents d’activités,
  • la cartographie des compétences nécessaires à la mise en oeuvre des moyens (ressources, compétences, formations, communication, documentation),
  • la conception puis la mise en oeuvre des processus liés aux documents d’activités,
  • la surveillance et l’évaluation des performances des processus mis en oeuvre via des moyens tel que les audits internes réguliers,
  • la consolidation des indicateurs de performance et des résultats d’audit pour l’amélioration du SGDA.

ISO 14641-1 versus ISO 3030X

La nouvelle norme ISO 14641-1 liée à l’archivage électronique est en mesure de s’inscrire dans un SGDA comme outil normatif de mise en oeuvre des processus d’archivage liés aux documents d’activités.

 En savoir plus

De la NF Z42-013 à l’ISO 14641-1 : l’intelligence économique à la portée de la France

De la NF Z42-013 à l’ISO 14641-1 : l’intelligence économique à la portée de la France

L’économie des normes est en marche depuis plusieurs années et touche tous les domaines. Dans celui du « records Management » et de l’archivage électronique, le paysage normatif est dense. Depuis 1999, de très nombreux travaux ont été publiés sur différents sujets qu’il fallait traiter autour de la gestion des contenus et de la gouvernance des documents d’activités. Le résultat est que plus de 12 ans après, le paysage normatif est devenu une nébuleuse difficile à comprendre où chaque norme semble vouloir être « la norme » à suivre.

La nébuleuse normative

ISO 14641-1, ISO 15801 ISO 30300, ISO 15489, ISO 24517, ISO 32000-1, … la liste est longue et les sujets vastes. Je me demande toujours comment vous pouvez vous y retrouver dans ce labyrinthe normatif. Pour compliquer la chose, chaque pays possède ses normes et ses certifications.  Par exemple, la France possède la NF Z42-013, la Hollande NEN 2082, les USA, la DOD 5015.02. Même l’Europe ajoute une couche supplémentaire avec de spécifications comme celle du MoReq qui change régulièrement de version MoReq2, MoReq2010, …

L’intelligence économique

L’intelligence économique est un facteur clef pour la normalisation et une réalité économique et politique. Lorsque la France créée une norme au niveau national, et porte sa norme au niveau international, c’est un facteur déterminant pour permettre aux entreprises françaises d’être entendues sur un marché. Le but n’est pas d’imposer un savoir faire national au monde entier mais de permettre aux acteurs français d’avoir un temps d’avance sur une économie.

Un enjeu politique

Cet enjeu important a été clairement identifié récemment par le gouvernement via un rapport de la Délégation Interministérielle à l’Intelligence Economique (D2IE) publiée le 11 janvier 2012. Ce rapport, intitulé « Normalisation Internationale et stratégie d’influences : Bilan et propositions » montre l’enjeu de compétitivité que représentent les normes européennes et internationales. Il conclue par la formulation de 10 recommandations politiques  pour permettre d’accroître l’intelligence économique  de la France dans le domaine de la normalisation.

De la politique à la pratique

Treize jours après ce rapport, la norme NF Z42-013 devenait la norme ISO 14641-1. Il a fallu plus de 10 ans pour permettre à cette norme française de devenir une référence internationale. Un exemple à suivre mais à optimiser. Peut être en incitant concrètement le tissu des PME et PMI  françaises à travailler dans ce sens. Espérons que le rapport d’olivier DUQUEN et ses recommandations seront suivies de faits par la classe politique.