top of page
Esta página web se diseñó con la plataforma
.com
. Crea tu página web hoy.Comienza ya

MANUEL PRATIQUE

pour la gestion des documents

 

Transition numérique

​

Contexte légal

Conscient de la nécessité de prévoir des règles adaptées au monde numérique, les législateurs (européen et belge) ont adopté de nouveaux textes juridiques.

​

Peut ainsi être identifié le Règlement général sur la protection des données, qui vient remplacer la Directive 95/46 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (et les textes nationaux qui ont transposé cette directive). Ce Règlement précise certaines règles antérieurement applicables, notamment en ce qui concerne les obligations que le responsable d’un traitement de données à caractère personnel doit respecter, mais surtout, il renforce les droits des personnes concernées (personnes dont les données à caractère personnel sont traitées). Ce règlement général sur la protection des données s’applique tant au secteur privé qu’au secteur public. Des règles spécifiques applicables aux traitements de données par des institutions publiques sont prévues. Celles-ci devront dans certains cas, être précisées par un texte législatif national.

 

                  Autorité de Protection des Données - APD

​

Un second Règlement européen a également été récemment adopté ; il s’agit du règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS). Ce texte encadre juridiquement les services de confiance que sont le service de signature électronique, le service de cachet électronique ou encore le service de recommandé électronique. Ce texte européen a été complété en droit belge par la loi du 21 juillet 2016 (Digital Act), qui insère un titre 2 dans le Livre XII du Code de droit économique. Ce texte a, entre autres, édicté des règles encadrant le service d’archivage électronique. Plusieurs dispositions concernant la valeur juridique à accorder aux copies ont également été intégrées dans notre ordonnancement juridique par cette loi. Afin d’aider à la mise en application de ces règles, des référentiels sont en cours de préparation au niveau national.

​

                 

                  SPF Économie, PME, Classes Moyens et Énergie

​

De plus, la Belgique a adopté une loi du 4 mai 2016 transposant la Directive 2013/37 modifiant la Directive 2003/98/CE concernant la réutilisation des informations du secteur public (PSI). Cette nouvelle loi contraint ainsi les autorités publiques à autoriser la réutilisation notamment commerciale des données mises à disposition du public. Ces données ayant vocation à être publiée, il est nécessaire de se pencher sur la nature de ces données et effectuer une analyse préalable pour éviter la diffusion de données sensibles (violant la vie privée de certaines personnes…). A cela s’ajoute également la nécessité de préparer cette vague d’Open Data en restructurant ces données brutes et en les accompagnant de métadonnées utiles afin de faciliter la réutilisation de celles-ci.

​

                  Data.gov.be

Contexte légal
Collaboration

  • Vous, experts IT, vous êtes sûrs de savoir interpréter la nouvelle loi belge « Digital Act » afin de développer un système d’archivage numérique qualifié ?

  • Et vous, juristes, vous sauriez rédiger un cahier des charges légalement solide et techniquement faisable ?

  • Et vous, archivistes, vous sauriez assurer l’intégrité et la lisibilité à long terme d’une source authentique de données?

  • Et pour vous, records managers, est-ce que les initiatives d’Open Data que vous souhaitez lancer sont compatibles avec le nouveau Règlement sur la protection des données à caractère personnel et la directive PSI telle qu’elle a été remaniée en 2013? Est-ce que la politique de sécurité élaborée par le service IT ne reprend pas déjà les mesures nécessaires?

 

Vous savez peut-être répondre tout(e)s seul(e)s à ces questions, mais dans la plupart des cas, il vaut mieux créer un groupe de travail pluridisciplinaire qui pourra réfléchir à des sujets horizontaux à l’institution et mettre en place des politiques transversales qui touchent plusieurs champs d’activité.

​

En matière de « collaboration », on peut aussi penser au Cloud et les possibilités sans limite que cet environnement offre: gestion de tâches, échange d’emails, espace de travail par projet, espace de conversation en groupe, service de vidéo-conférence, service de calendrier, espace de stockage de documents, espace de création de sites internet et d’applicatifs informatiques, service de signature électronique, service de conversion de formats, etc.

​

Des initiatives dans ce sens se profilent au niveau des administrations publiques, notamment la plateforme fédérale G-Cloud. Celle-ci permettrait de répondre aux besoins et gérer les risques d’un tel environnement grâce à la mutualisation des ressources des administrations fédérales belges.

Collaboration
Appui, mobilisation et promotion

Un projet de numérisation ou de gestion et préservation de l’information doit être considéré comme un projet transversal, qui aura des conséquences sur plusieurs processus de travail au sein d’un organisme, et concernera un éventail assez large d’acteurs. Par ailleurs, et comme pour tout autre type de projet, il nécessitera une mobilisation de ressources et un appui stratégique clair et identifié au sein de votre organisation.

​

Afin de gagner l’intérêt et le soutien nécessaire pour votre projet, il est indispensable d’élaborer une bonne stratégie de communication et de publicité : en effet, il faut « vendre son idée » et convaincre les parties prenantes de sa nécessité. Pour ce faire, on peut :

  • Trouver des objectifs communs à plusieurs acteurs

  • Proposer un nom de projet et/ou un logo ou image attirante

  • Répondre à une demande concrète interne ou externe à l’organisation 

  • Répondre aux exigences d’un nouveau cadre légal 

  • ...

​

Grâce à l’analyse préalable des parties prenantes, les groupes d’intérêt ont été identifiés et nous sommes prêts à définir la façon de les faire collaborer et d’établir une communication bidirectionnelle. Dans ce sens, il faudra définir:

  • Les messages adéquats pour chaque groupe 

  • Les bénéfices que chaque groupe peut tirer du projet 

  • Ce qu’on attend obtenir de chaque groupe ; leur charge de travail au sein du projet

  • Les problèmes de compréhension liés aux aspects plus techniques du projet ou aux aspects très spécialisés en gestion de l’information et des archives numériques, par exemple.

​

En tout cas, il est indispensable d’obtenir l’appui de votre Direction et de trouver un sponsor (un service/un responsable) pour votre projet. Généralement, il s’agira d’une personne avec une certaine autorité dans l’organisation, qui soutiendra le projet et qui sera positive quant aux résultats attendus.

​

Appui, mobilisation et promotion
Procuration et externalisation des services

Avant d’entamer son projet et dès que les ressources et compétences disponibles ont été identifiées en interne, il est temps de réfléchir à la question suivante :

 

Vais-je développer un service ou un outil en interne ou

est-il préférable d’externaliser ce service en partie ou complètement ?

​

Les services peuvent être de différentes natures selon vos besoins :

  • un service de consultance ou d’accompagnement ;

  • un service de développement d’un outil informatique ;

  • un service d’intégration de différentes solutions techniques ;

  • un service de formation ;

  • un service d’audit et de contrôle ;

  • un service opérationnel (ex. numérisation) ;

  • un service de stockage, de backup, d’archivage de données (sur le Cloud ; …)

​

Une fois vos types de services identifiés, il sera nécessaire de les détailler précisément dans un document de référence = le cahier des charges. Cela vous servira de base en vue de sélectionner la meilleure offre parmi les prestataires sélectionnés/contactés. Si vous êtes un acteur du secteur public, vous serez tenu de respecter les règles de marché public pour sélectionner le meilleur prestataire, sur base de critères prédéfinis. . Le cahier des charges devra respecter les points suivants :

  • Définir le cadre légal applicable et une bonne gouvernance pour la sélection des services tiers.

  • Définir des exigences claires et réalistes.

  • Bien expliquer les exigences légales.

  • Maintenir une bonne communication entre le fournisseur de service et l’organisation.

  • Réaliser des contrôles de qualité périodiques.

  • Développer et faire le suivi du contrat. 

​

Ce cahier des charges sera le contrat entre votre organisme et votre prestataire sélectionné. En conséquence, tout ce qui n’a pas été inclus dans ce cahier ou qui n’a pas été suffisamment bien détaillé ne pourra être exigé par la suite.

​

Afin d’éviter d’éventuelles lacunes importantes dans ce type de document engageant, il existe des outils de référence selon le type de service nécessaire. Notamment, pour sélectionner un service externe de stockage de données sur le Cloud, la checklist suivante est très pratique. Elle a été rédigée dans le cadre du projet international Interpares Trust.

Procuration et externalisation des services
Autoévaluation, audit et certification

De récents développements juridiques permettent dorénavant à des prestataires de services électroniques de se faire certifier afin d’obtenir l’étiquette de qualification de l’Union Européenne. Cela concerne les services suivants:

​

  • Signature électronique

  • Cachet électronique

  • Horodatage

  • Recommandé électronique

  • Préservation des signatures, cachets et certificats électroniques

  • Vérification et validation

​

Outre ces services de confiance définis par l’Union Européenne, la Belgique a créé un cadre de qualification pour les services suivants (voir SPF Economie):

  • Service d’archivage électronique – numérisation

  • Service d’archivage électronique – archivage électronique

 

Afin d’obtenir la qualification, tout prestataire de service d’archivage électronique devra se faire ’auditer par un organisme externe, enregistré préalablement auprès du SPF Economie comme organisme d’audit autorisé.

​

Un prestataire de service d’archivage électronique pourrait également décider de s’autoévaluer avant de passer un processus d’audit qui peut s’avérer couteux. Dans le secteur de l’archivage électronique, il y a différents chemins d’autoévaluation gratuitement disponibles sur Internet :

  1. Core Trust Seal: il s’agit d’une liste de 16 exigences sur les archives numériques et l’archivage de données. Une fois l’évaluation faite, on l’envoie à l’institution DSA pour approbation afin d’obtenir un cachet de reconnaissance.

    • Information du contexte

    • Infrastructure organisationnelle

    • Gestion des objets numériques

    • Technologie

  2. Nestor Seal: il s’agit d’une liste de 54 exigences qui est directement lié à la norme allemande DIN 31644 Information and documentation – Criteria for trustworthy digital archives.

    • Environnement organisationnel

    • Gestion d'objets

    • Infrastructure et sécurité

  3. Audit and Certification of Trusted Repositories: il s’agit de l’évaluation recommandée par l’organisme américain CCSDS, le même organisme qui a élaboré le modèle OAIS (actuelle norme ISO 14721). Cette évaluation contient plus de 100 exigences et elle a donné lieu à la norme ISO 16363.

    • Structure organisationnelle

    • Gestion des objets numériques

    • Gestion des risques d'infrastructure et de sécurité

​

Autoévaluation, audit et certification
Conformité légale/juridique
Politiques et stratégies institutionnelles

Chaque organisme définit ses propres politiques et stratégies concernant la communication, la facturation, la sélection de personnel... Il est alors pertinent de proposer:

  • une politique de gouvernance de l'information (cf. exemple 1); et/ou

  • une politique de gestion des documents/Records management (cf. exemple 2); et/ou

  • une politique de gestion et préservation des archives (analogiques et numériques) (cf. exemple 3)

​

​

  • La stratégie correspondante à chaque politique

​

D'un côté, la politique établie les lignes directrices de gestion relative à un sujet; de l'autre côté, la stratégie propose le plan d'action et les procédures à suivre pour implémenter une politique dans la pratique.

Ex. 1 Politique de Gouvernance de l'information

  1. Champ d'application

  2. Rôles et responsabilités

  3. Autres politiques liées à la gestion de l'information: sécurité, gestion des documents, archives, vie privée, ICT, etc.

  4. Catalogue des procédures concernées

  5. Services externalisés et règles de travail

  6. Plan d'urgence et plan de reprise d'activité (disaster recovery plan)

  7. Indicateurs, audit et évaluation

Ex. 2 Politique de gestion des documents

(cf. Archives de l’État, politique interne de Records Management)

  1. Principes de base

  2. Plan de classement

  3. Nommage des répertoires et des fichiers

  4. Règles concernant l'enregistrement et la sélection de documents

  5. Règles de gestion spécifiques: e-mails, documents financiers, etc.

Ex. 3 Politique de préservation numérique

(cf. projet SCAPE)

  1. Authenticité

  2. Préservation informatique ("train de bits")

  3. Préservation fonctionnelle

  4. Objets numériques

  5. Métadonnées

  6. Droits

  7. Standards et normes

  8. Accès

  9. Organisation

  10. Audit et certification

Politiques et stratégies institutionnelles
Gestion des risques et du changement

Certaines matrices incluent aussi un indicateur de temps d'occurrence : s'il s'agit d'un risque à court, moyen ou long terme.

​

Liste de quelques risques liés à la gestion et la préservation de l'information (numérique) :

  • L'obsolescence des formats et des supports

  • La qualité de données

  • La perte de données

  • La dégradation des supports d'information

  • L'erreur humaine involontaire

  • Des dégâts matériels provoqués par des catastrophes naturels

  • La cybercriminalité

  • Etc.

​

La gestion du changement inclut à la fois des mesures préventives et de correction des problèmes suite au changement subit par une organisation. Le changement implique transformation et évolution, ce qui peut générer peur, inconfort ou méfiance.

  1. Le changement est un risque dans tous nos projets qui peut évoluer vers plusieurs problèmes.

  2. La gestion du changement est une méthode de prévention des problèmes dérivés de changer ou transformer quelque chose dans notre organisation.

  3. L'élément central de la gestion du changement est la communication : interne, externe, entre collègues, avec la Direction, entre services, etc.

​

​

​

​

Checklist pour la gestion du changement

La meilleure façon de convaincre les gestionnaires et les parties prenantes de l'importance d'une bonne gestion documentaire et d'une stratégie solide de préservation numérique est de montrer la perspective de gestion des risques.

  • Prévention du risque: des mesures pour éviter que les risques deviennent des problèmes réels.

  • Identification ou détection du risque: des mesures pour connaître les risques plus probables et/ou ceux qui sont déjà à un stade apparaissant.

  • Si le risque devient déjà un problème, correction du problème: des mesures pour contrôler et limiter les dégâts provoqués par un problème existant.

​

Un outil qui peut nous aider à mesurer la gravité et la probabilité d'occurrence des risques identifiés est le suivant:

Gestion des risques et du changement
Compétences requises

Catégories des compétences

Assurer la gestion et la qualité

Capacité intellectuelle et de gestion des connaissances

Qualité personnelle

Conduit professionnelle

Exigences légales et normatives

Conformité légale et normative

Éthique et conscience de durabilité

Intégrité

Compétences interrelationnelles et de communication

Gestion du changement

Connaissance du sujet

Sélection et tri

Étude d'analyse et d'évaluation

Gestion de risques

Audit et certification

Gestion de ressources

Source : http://www.digcurv.gla.ac.uk/

Et voici quelques conseils pratiques :

  1. Connaître les principes de base des métiers en gestion de l’information : records management, archivistique, gouvernance de l’information, technologies de l’information et de la communication, documentation, etc.

  2. Savoir communiquer avec le service ICT.

  3. Ne pas se faire arnaquer par un service tiers de vente de services software, hardware ou de consultance.

  4. Savoir lire et comprendre une loi.

  5. Savoir communiquer avec le service juridique.

  6. Savoir comprendre et, si possible, rédiger un cahier de charges.

  7. Savoir rédiger des rapports d’une seule page.

  8. Avoir une vision transversale du fonctionnement de mon institution.

​

Avoir des notions de base sur les concepts représentés au-dessus est indispensable si on participe à un projet de gestion, de numérisation ou d’archivage de documents ou de données. Et si on doit organiser et dirigé un tel projet, il en faudra acquérir des connaissances plus approfondis.

 

Au niveau de l’organisation ou individuellement, il est souhaitable de se poser les questions suivantes:

Quelles compétences seront nécessaires pour le projet ?

Quelles sont les compétences indispensables et celles accessoires ?

Quelles compétences j'ai maintenant ?

Quelles compétences je devrai acquérir ?

Est-il plus facile de créer un équipe multidisciplinaire ou de trouver une seule personne avec toutes ces compétences ?

Si les personnes dont je dispose manquent les compétences nécessaires, peux-je les former ?

Comme vous l’aurez constaté, les compétences requises pour conduire et mettre en œuvre un projet de gestion de documents, de numérisation ou de préservation numérique sont une combinaison de compétences spécifiques liées au numérique avec des compétences génériques en matière de gestion de projets.

Normes et standards

​

Normes internationales​ (ISO)

​

  • ISO 15489 (2016)– Information et documentation. Records management : principes directeurs et guide pratique.

​

  • La série ISO 3030X : Systèmes de gestion des documents d’activité

    • 30300 (2011) : Principes essentiels et vocabulaires

    • 30301 (2011) : Exigences

    • 30302 (2015) : Lignes directrices de mise en œuvre

​

  • ISO 23081

    • Partie 1 (2006) : Processus de gestion des enregistrements – Métadonnées pour les enregistrements. Principes.

    • Partie 2 (2009) : Gestion des métadonnées pour l’information et les documents. Concepts et mise en œuvre

    • Partie 3 (2011) : Gestion des métadonnées pour l’information et les documents. Méthode d’auto-évaluation

​

  • ISO 26122 (2008) : Analyse des processus pour la gestion des informations et documents d’activité

​

  • ISO/TR 18128 (2014) : Évaluation du risque pour les processus et systèmes d’enregistrement

 

  • ISO/TR 17068 (2012) : Référentiel tiers de confiance pour les enregistrements électroniques                        

 

  • ISO 16175 - ICA-Req

    • Partie 1 (2010): Aperçu et déclaration de principes

    • Partie 2 (2011): Lignes directrices et exigences fonctionnelles pour les systèmes de management des enregistrements numériques

    • Partie 3 (2010): Lignes directrices et exigences fonctionnelles pour les enregistrements dans les systèmes d'entreprise

​

  • ISO 14721 (2012) : OAIS - Systèmes de transfert des informations et données spatiales. Système ouvert d’archivage d’information.

 

  • ISO 20652 (2006) : Systèmes de transfert des informations et données spatiales. Interface entre producteur et archives. Norme pour la méthodologie concernant les abstraits.

    • PAIMAS: Standard abstrait pour une méthodologie d'interfaçage Producteur-Archive

 

  • ISO 16363 (2012): Audit et certification des référentiels numériques de confiance

​

  • ISO 14641-1 (2012) : Archivage électronique. Partie 1 : Spécifications relatives à la conception et au fonctionnement d’un système d’informations pour la conservation d’informations électroniques

 

  • ISO/TR 17797 (2014) : Sélection d’un support de stockage numérique pour une préservation à long terme

​

  • ISO 9000 (2015) : Systèmes de management de la qualité – Principes essentiels et vocabulaire

    • ISO 9001 (2015) : Systèmes de management de la qualité – Exigences

​

  • ISO 15836 (2009): Dublin Core - Chemin de métadonnées générique

​

  • ISO 13028 (2010): Mise en oeuvre des lignes directrices pour la numérisation des enregistrements

​

  • ISO 2700X - Technologies de l'information -- Techniques de sécurité -- Systèmes de gestion de sécurité de l'information

    • 27000 (2016): Vue d'ensemble et vocabulaire

    • 27001 (2013): Exigences

    • 27002 (2013): Code de bonne pratique pour le management de la sécurité de l'information

​

  • MoReq2010: Exigences modulaires pour des systèmes de records management

 

  • METS - Metadata Encoding & Transmission Standard - Chemin de métadonnées pour la gestion et l'échange d'objets numériques

 

  • PREMIS - Preservation metadata - Chemin de métadonnées pour la préservation d'objets numériques

​

​

Compétences requises
Normes et standards
bottom of page