Numériser ses documents au Ministère de la justice et chez Safran
Patrimoine Data : repenser la gestion des données à l’heure du GDPR
CIO a organisé une Matinée Stratégique « Data : de la protection au GDPR » le 17 octobre 2017 à Paris avec de nombreux témoins et experts. Etienne Papin, avocat associé au Cabinet Feral-Schuhl / Sainte-Marie, a présenté les nouvelles règles sur les données. La première table ronde, « Comment...
DécouvrirLors de la Matinée Stratégique, « Data, de la protection au GDPR », le 17 octobre, CIO donnait la parole au Ministère de la justice et à Safran, lors d'une première table ronde consacrée au patrimoine de données.
PublicitéAntoine Meissonnier, chef du département des archives, de la documentation et du patrimoine, au Ministère de la Justice et Thierry Milhé, vice-président International production of IT Services, chez Safran, composaient la première table ronde de la Matinée Stratégique du 17 octobre organisée par CIO. Une Matinée consacrée au thème « Data, de la protection au GDPR ».
Conservateur du patrimoine, Antoine Meissonnier est à ce titre membre d'un corps très particulier de la fonction publique, chargé de la conservation en général, et plus particulièrement le concernant des archives, donc des écrits. Son sujet principal porte le doux nom de NF Z42-026, une norme sur la numérisation fidèle des documents papier qu'il a contribué à construire. L'objet de cette norme est, quand on a un patrimoine papier, de le transformer en un patrimoine dématérialisé, mais avec la même valeur.
Les bonnes pratiques d'une numérisation dite « fidèle » consistent en quoi ? Elles permettent d'avoir une base unifiée pour construire un seul canal, un seul endroit, sous une forme agile et numérique, c'est donc une organisation fidèle des documents du patrimoine informationnel. C'est assez simple, la plupart des organisations en font un enjeu, car l'objectif à terme c'est de détruire le papier, donc l'enjeu est la valeur probante du document. La qualification est celle de copie fiable, on doit pouvoir le prouver. "C'est d'application volontaire, il faut garder une souplesse dans l'application des textes pour avoir la conformité du décret et pouvoir sans risque détruire le papier".
Il faut avoir des contrôles
Le prestation de numérisation peut être le fait d'une chaîne de numérisation ou d'un tiers ou une prestation décentralisée. Au guichet d'un hôpital, par exemple, les secrétaires médicales vont numériser puis stocker. Tous ces cas sont pris en compte par la norme, des réglages techniques sont nécessaires, donc on fait des tests pour bien réaliser et prendre des outils de numérisation puis passer à la qualification de la chaîne avec un flux d'information donnée.
Ensuite, l'information est testée et documentée, « vous faites un lot de documents de textes et ensuite vous lancez la production et toutes les chaines de traçabilité de la production, traitement centralisé ou décentralisé. Le but est de savoir ce qui rentre et ce qui sort. Il faut avoir des contrôles, soit procéder par échantillonnage, soit par exhaustivité ».
Enfin, il convient de délivrer, contrôler les traitements sur les chaînes de scanner, vérifier, pas de faiblesse sur la suppression des pages blanches, par exemple, j'ai des alertes il faut contrôler soi-même plutôt que de supprimer des pages blanches. Pour prouver sa fiabilité, on prend un risque si la numérotation ne suit pas, le risque est quand même de se retrouver devant le juge.
PublicitéLe sujet est aussi celui de la conservation, de garder une trace d'intégrité, contrôler ensuite facilement que la cote numérique ne soit pas modifiable dans le temps. L'aspect conservation vient ensuite, c'est l'enjeu le plus complet, en étant capable de démontrer son intégrité et son authenticité. Donc des normes et des process très précis.
Dans un contexte de société internationale
Concernant Thierry Milhé, sa préoccupation est celle du responsable d'une entreprise très sensible, Safran, qui dispose de tout un corpus de règles venues des autorités de l'aviation française, européenne et américaine créant dès le début une organisation et un casse-tête pour répondre aux règles. La mise en oeuvre un système de stockage pour répondre aux contraintes, préserver le patrimoine data et le conserver. Le tout dans un contexte d'une société internationale.
Safran est soumis aux réglementations ITA (Institut du transport aérien) particulièrement pour le transport et l'accès aux Etats-Unis, ils ont localisé des SI dédiés avec les américains, les canadiens et les anglo saxons en général qui ont répliqué ce système. Depuis 12 mois, la localisation physique est moins importante, le chiffrement fait qu'on a plus du tout de dépendance. Thierry Milhé discute avec l'ANSSI et au niveau franco-français pour mettre en place ce système-là : on a ainsi une maîtrise de l'accès chiffré suffisamment puissante pour préserver le patrimoine des données, quel que soit l'endroit du stockage.
95% des données sont sans garantie
On conserve les données en observant comment elles sont utilisées. Une architecture à la fois agile et sécurisée. Il y a 2 ans, Safran a défini une politique orientée cloud avec une organisation pour structurer les données avec plusieurs niveaux de criticité pour coller aux destinations voulues, 95% des données sont aujourd'hui sans garantie, pas accédées, pas manipulées, pas transformées. Safran est un groupe industriel, donc il a beaucoup de données techniques, mais les données personnelles sont celles qu'on retrouve partout. Dans les processus mis en place, il faut toujours faire attention aux données. Pour avoir des avancées significatives, Safran a travaillé avec beaucoup de partenaires qui apportent des solutions en SaaS et a ainsi bénéficié d'un certain savoir-faire. Ces entreprises ont traité le périmètre.
Pour les données techniques, c'est un autre problème. Si un procès a lieu aux Etats-Unis, on a besoin de connaître les niveaux de décision. Il faut tenir compte des données devant être archivées plus de dix ans. Et il faut savoir quelle règle appliquer, européenne ou américaine.
Pour Antoine Meissonnier, les mails sont toujours un vrai problème, un sujet de conformité pour les conserver. « Mais ce n'est pas ce qui me stresse le plus, car ce sont les données pas structurées ou découpées, celles que l'on a du mal à les conserver ». Il reste un message mail avec un code précis et des méta données, tout le problème vient des pièces jointes. « Conserver des données mail ne m'inquiète pas, les bases de données production m'inquiètent plus ». On est au Ministère au niveau de la macro évaluation : les collaborateurs les plus importants vont voir leurs mails conservés.
Article rédigé par
Didier Barathon, Journaliste
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire