Évaluer les besoins d'archivage de l'entreprise
Président de la Fédération pour l'ILM, le stockage et l'archivage (FEDISA, www.fedisa.eu)
L'archivage correspond à l'organisation raisonnée d'une conservation sécurisée de l'information créée aujourd'hui afin de pouvoir la réutiliser demain ou après-demain. De nécessité, l'archivage est devenu une obligation pour les entreprises. Avant de mettre en place une politique d'archivage, l'entreprise doit au préalable analyser ses besoins.
Pourquoi archiver ?
L'archivage répond à trois besoins distincts.
-> le premier, le plus important, est le besoin pour l'entreprise de prouver ce qu'elle a fait ou ce qu'elle n'a pas fait ; elle doit justifier de son activité vis-à-vis des autorités de tutelle, vis-à-vis de l'État, vis-à-vis d'un audit interne ; elle doit en outre, lors d'un contentieux, produire les pièces nécessaires à la défense de ses droits et de ses intérêts ;
-> le deuxième correspond à la réutilisation des données dans la conduite des affaires comme des études déjà réalisées et réutilisables dans le cadre d'un nouveau projet, au lieu de recréer l'information, opération qui peut coûter cher et faire perdre un temps précieux ;
-> le troisième besoin est pour l'entreprise l'intérêt de préserver sa mémoire , tant pour constituer une culture d'entreprise, que pour communiquer envers ses clients, ses partenaires, ses salariés, voire la société.
Les besoins d'archivage sont d'autant plus forts que l'information produite et archivable est toujours plus prolifique, qu'elle se présente sous des formes multiples (données structurées ou non, images, sans oublier le papier) et que l'environnement réglementaire est souvent très contraignant (voir à ce sujet la partie 2 du dossier).
Quels enjeux pour l'entreprise ?
Les enjeux de l'archivage ou de l'absence d'un archivage raisonné et efficace correspondent à la nécessité de maîtriser les risques suivants :
-> juridique . Le principal risque est de ne pas pouvoir produire les données requises par un audit ou un juge dans la forme requise ; non seulement les données doivent avoir été archivées, mais elles doivent présenter des caractéristiques d'authenticité, d'intégrité et de non-répudiation leur permettant d'être retenues comme élément de preuve valide ;
-> logistique . Les données ont été bien archivées techniquement, mais il est pratiquement impossible d'y accéder car elles n'ont pas été caractérisées pour pouvoir effectuer des recherches et les moteurs de recherche ne produisent que du « bruit » inexploitable ; ou encore, les données existent, mais ne sont pas intelligibles (on a perdu le moyen de les décoder et de les interpréter) ;
-> sécuritaire . Des données confidentielles (données stratégiques, personnelles) risquent d'être divulguées parce qu'elles ne sont pas ou insuffisamment protégées, ou encore parce qu'elles auraient dû être détruites ;
-> technique . L'enjeu technique est double, à la fois dans l'espace, avec les problèmes d'interopérabilité entre systèmes, et dans le temps, avec le défi de pérennité des données sur le long terme, face à l'obsolescence récurrente des formats, supports et outils de restitution ;
-> financier . L'enjeu financier est double également : coût d'une amende, d'un redressement fiscal ou d'une condamnation judiciaire et, dans une moindre mesure mais à ne pas négliger tout de même, temps perdu à la recherche d'informations ou investissement perdu dans des outils non maintenus dans le temps.
Les enjeux de l'archivage peuvent se résumer aux conséquences, pour l'entreprise, de ne pas pouvoir retrouver les informations qu'elle a produites à un moment de son activité, alors qu'elle a besoin de les communiquer ou de les réutiliser.
Les questions à se poser
En matière d'archivage, la première tâche d'une entreprise est d'évaluer ses besoins : archiver quoi ? Pourquoi ? Pour combien de temps ? Il est recommandé, pour ce faire, de répondre de manière appropriée aux six questions suivantes.
Quelles données archiver parmi toutes les données produites ?
Les données à archiver sont celles qui correspondent à un processus achevé ; elles sont validées et ne doivent plus être modifiées, afin de tracer un événement à une date donnée.
Elles représentent en général une minorité de l'ensemble des données produites dans le cadre des activités de l'entreprise. Il faut donc élaborer une cartographie globale des données à archiver, c'est-à-dire des données à identifier et à capturer dans un système d'archivage, par ordre de priorité :
- archives vitales pour l'entreprise. En plus des données courantes qui sont sauvegardées régulièrement, d'autres données plus anciennes sont, elles aussi, indispensables à l'entreprise pour redémarrer après un sinistre ;
- données à caractère légal et réglementaire, pour être en règle vis-à-vis du fisc, des organismes sociaux, de la CNIL, etc. ;
- données supportant les intérêts de l'entreprise en cas de contentieux ;
- information exploitable pour l'activité future ;
- mémoire historique.
Quelle est la criticité des données ?
Chaque type de données ou de documents possède plusieurs caractéristiques qui permettent d'organiser son archivage, notamment :
- la sensibilité de l'information (confidentielle, unique et difficile à reconstituer, ou au contraire information de routine ou de confort, etc.) ;
- la fréquence et l'urgence de la consultation selon les types de documents ou de données (notion de disponibilité). Ce critère permet également d'optimiser le stockage.
Quelles exigences de conservation ?
Le système d'archivage doit assurer la maintenance des données jusqu'à la fin du cycle de vie de l'information. Cette durée peut aller de quelques mois à plusieurs décennies, voire plus d'un siècle. La durée de conservation est déterminée :
- soit en application des textes réglementaires,
- soit par analogie avec ces textes en fonction du risque de contentieux,
- soit, par métiers, en fonction de la réutilisation prévisible de l'information archivée.
Sur ce point, l'apport des experts comptables peut être sensible.
Quelles exigences d'intégrité et de sécurité ?
Si les données doivent être restituées dans un environnement juridique ou dans le cadre d'un audit, il est impératif qu'elles soient intègres et que leur utilisation ait été tracée depuis la date de leur archivage, voire depuis leur création. En fait, la loi 2000-230 du 13 mars 2000 fait ressortir quatre éléments fondamentaux :
- intelligibilité de la donnée ;
- intégrité du contenu depuis son origine ;
- identification de l'auteur ou des auteurs de l'information ;
- pérennité de l'information.
Quelle volumétrie à traiter ?
Un type de document (factures, e-mails, comptes rendus du comité de direction, etc.) peut représenter des volumes très variables parmi l'ensemble des données de l'entreprise. Ainsi, la maîtrise des volumes est utile pour :
- définir les priorités de gestion (les types de données et de documents les plus volumineux seront prioritaires) ;
- estimer les besoins en stockage (critère à combiner à la durée de conservation) et donc une partie des coûts.
Quel accès ?
La question de l'accès comporte deux volets :
- les droits d'accès, définis en fonction du profil des utilisateurs (accès à tout ou partie des informations, restrictions d'accès, évolution dans le temps) ;
- la possibilité de recherche d'information via des mots-clés (indexation automatique ou manuelle) ou à l'aide d'un moteur de recherche, assorti ou non d'un thésaurus.