Avec le Digital Act et la qualification des systèmes d’archivage électronique, les organisations disposent de deux nouveaux outils juridiques pour optimiser l’utilisation des contenus et minimiser les risques liés à leur préservation dans le temps.
L’archivage, et plus généralement la gestion de l’information, est vu dans bien des organisations comme une charge peu, voire pas du tout, prise en compte dans les décisions stratégiques. Il s'agit pourtant d'un pilier de la gouvernance de l’information au même titre que la sécurité ou la protection des données à caractère personnel.
L'information au cœur de nos organisations
On confie souvent ces questions à du personnel non formé et/ou non suivi. Dans une société de l’information, comme nous nous définissons souvent, il est curieux de constater que les organisations ont à cœur de gérer de façon efficiente leurs avoirs, leurs assets physiques, humains et financiers mais ne s’intéressent que peu à leurs assets informationnels.
Pourtant une mauvaise, ou à une absence de stratégie de gestion de l’information conduit à une perte de temps (trouver le bon document ou recréer un document existant), à des prises de décisions basées sur des informations incomplètes ou erronées, voire à des pertes ou des vols de données aux conséquences fâcheuses. De récentes études estiment à plus de deux heures le temps perdu quotidiennement pour un Chief Operating Officer suite à une mauvaise gestion de l’information. Comparé au coût horaire d’un tel manager, il est aisé de comprendre l’impact financier, ou le "manque à gagner" que cela représente.
Vers une gouvernance de l'information
Malgré cela, il reste relativement difficile de calculer un retour sur investissement purement financier sur un projet de mise en place d’une stratégie de gestion de l’information, impactant l’organisation, les processus métiers et de support et les solutions techniques. A l’instar de projets en sécurisation des systèmes d’information, de protection des données à caractère personnel ou des projets de mise en conformité à un texte de loi ou à une norme internationale, les bénéfices d’une stratégie et de projets de gestion et de préservation de l’information sont indirects mais impacteront le fonctionnement de l’organisation en optimisant les ressources pour atteindre les objectifs métiers.
La gestion et la préservation de l’information doivent changer de paradigme et s’envisager dans l’optique de la gouvernance de l’information, qui vise à maximiser l’utilisation des informations, tout en minimisant les risques de conservation et d'utilisation. La loi du 21 juillet 2016, communément appelée Digital Act, a été conçue dans cette optique puisque, outre la définition d’une série d’exigences (explicitées au travers de l’arrêté royal du 29 mars 2019), ce texte offre la possibilité pour une organisation de se faire reconnaître comme service qualifié.
Cette qualification offrira plus de garanties et permettra de minimiser les risques de remise en question des documents préservés puisqu’elle inverse la charge de la preuve. Concrètement, en cas de litige, une organisation utilisant un système d’archivage qualifié ne devra pas démontrer que son document numérique est authentique, intègre et donc légalement recevable.
Il convient donc pour chaque organisation de se poser la question stratégique de la gestion et de la préservation de l’information, et de savoir s’il est préférable pour elle de se faire qualifier ou non. Voici 3 cas de figure pour illustrer ces propos.
Une réflexion théorique a été développée, basée sur le retour d'expérience et de use cases, mais qui n'a d'autre ambition que d'être une illustration ou une aide à la réflexion. Il sera abordé successivement la question de la gestion des factures pour une PME, le cas de données médicales devant être conservées par un hôpital et, enfin, l'exemple de contrats longue durée gérés par des assureurs, comme les assurances-vie.
La gestion des factures pour une PME
Toute organisation, quel que soit sa taille, est confrontée quotidiennement à la gestion de ses factures, reçues ou émises. Une PME ne fait pas exception et, bien souvent, recourt aux services d’un bureau de comptabilité ou a mis en place une telle structure en interne. Très vite, la question de la préservation des factures va se poser puisque tous les documents relatifs à la comptabilité doivent être conservés pendant 7 ans, à dater du 1er janvier qui suit l’émission du document, tel que défini par le code de la TVA.
Si notre PME franchit le pas de la facturation électronique, arrive la question de savoir comment préserver la valeur des pièces justificatives numériques ? Cette PME devra suivre les recommandations et exigences du Digital Act pour implémenter son système mais, au vu du nombre de documents et de leur criticité, les coûts d’une qualification semblent superflus. Néanmoins, la PME pourra recourir à un prestataire de services pour la gestion de ses factures dématérialisées et, dans ce cas, devra exiger que son prestataire puisse démontrer sa mise en conformité avec le Digital Act, notamment d’une qualification.
La gestion des données médicales
Les institutions de soins de santé ont vécu de nombreux changements avec l’arrivée du numérique : des modifications dans les pratiques, le fonctionnement organisationnel et les technologies utilisées. Parmi ces "innovations", on peut citer la création du dossier dématérialisé du patient qui rassemble tout son historique médical.
Une institution, comme un hôpital ou un groupe d’hôpitaux, répartis parfois sur plusieurs sites, a tout intérêt à recourir à un dossier dématérialisé pour faciliter la communication entre les services : des praticiens à la facturation en passant par les secrétariats pour les prises de rendez-vous et les départements d’analyses spécifiques. Notons aussi que l’organisation pourra y voir également un moyen de mieux sécuriser et protéger les données à caractère personnel du patient, notamment au regard du RGPD, qui peut être fastidieux d’appliquer sur des "archives" papier.
Si un hôpital décide de passer à un dossier patient dématérialisé, il se doit directement d’envisager un système de gestion et de préservation de ces informations sur le long terme. Les nouvelles technologies, notamment en matière d’imagerie médicale, évoluent très vite et il faut pouvoir garantir que ces données soient toujours accessibles et lisibles dans 5, 10, voire 50 ans.
Un système d’archivage numérique conforme au Digital Act permettra bien entendu de répondre à ces questions et, dans le cas de figure d’un hôpital, il faudra tendre à une qualification. Entamer une procédure complète de qualification n’aurait sans doute que peu d’intérêt financier ou économique, mais la mise en place d’un système conforme à la loi est par contre un impératif opérationnel.
La gestion des contrats longue durée
Un autre type d’organisation qui conserve des documents sur de très longues périodes sont les assureurs. Ces derniers passent des contrats qui peuvent courir sur de nombreuses années, comme les contrats d’assurance-vie, et ont donc une réelle valeur légale et opérationnelle qu’il s’agit de pérenniser.
En suivant le règlement eIDAS, ces entreprises peuvent désormais dématérialiser le processus qui vise à générer et signer un contrat, la signature électronique étant une marque d’identification de la personne concernée et prouvant également son accord avec le contenu du document. Néanmoins, si les technologies de signature électronique évoluent sans cesse et sont de plus en plus sûres, elles n’en restent pas moins éphémères puisque l’on sait qu’un certificat, comme celui de la carte d’identité électronique, à une validité limitée dans le temps. Dès lors que l’on sait que ces signatures doivent être valables pour la durée du contrat, qui peut courir sur des dizaines d’années, peut-on réellement envisager de faire resigner les assurés tous les 5 ans ?
La solution est apportée par le Digital Act puisqu’un système d’archivage qualifié permet de préserver la valeur légale du document et, par la même, de sa signature bien que cela implique la mise en place de fonctionnalité(s) spécifique(s). Un assureur a donc tout intérêt, pour garantir sur le long terme ses documents qui sont son core business, d’implémenter et de faire qualifier son système d’archivage électronique.