Depuis quelques années, l’utilisation des données, dans un but d’efficience ou pour améliorer des services et produits, s’est généralisée à la fois dans le secteur public ainsi que dans le privé. Ces nouveaux usages comportent-ils un risque pour la sécurité des données ? Quel est l’impact pour les personnes physiques ? Les données sont maintenant considérées comme des actifs au sein d’une entreprise et des leviers d’efficience pour des administrations. Cependant, elles ont également de la valeur pour les personnes qui en sont à l’origine (consommateurs, citoyens…), ainsi que pour d'éventuels pirates informatiques qui peuvent demander une rançon en échange ou s’en servir pour mener d’autres attaques. D’après le panorama de la cybermenace 2023 de l’ANSSI, le nombre d’attaques réalisées à partir d’un rançongiciel et signalées à l’ANSSI a augmenté de 30 % entre 2022 et 2023. Un rançongiciel est un logiciel malveillant ou virus qui bloque l’accès aux données et qui réclame le paiement d’une rançon pour en obtenir de nouveau l’accès. Début 2024, les sociétés Viamedis et Almérys, qui ont pour fonction d’assurer la gestion des tiers-payants pour des complémentaires santé, ont fait l’objet d’une cyberattaque de grande envergure, 33 millions de français seraient impactés d’après une première estimation. Ce vol a permis de récupérer les noms, états civils, numéros de Sécurité sociale, dates de naissance, noms des assureurs et garanties de contrat d’un très grand nombre de personnes (Voir la publication de la CNIL). En ce qui concerne le secteur public, en particulier ce qui relève de la santé publique, de la sécurité publique et des ministères régaliens, les attaques peuvent provenir d’états belligérants. L’enjeu de sécurité devient également politique. Comment sécuriser les données ? La sécurité technique des données a pour objectif de réduire les risques suivants : indisponibilité des données : les données ne peuvent être consultées ou utilisées en raison de la panne d’un ou plusieurs systèmes. altération des données : les données ont été modifiées afin de relayer des fausses informations ou de rendre impossible leur compréhension (si chiffrement). vol des données : la confidentialité des données a été violée et un pirate informatique dispose d’une copie. perte des données : les données sont perdues, il n'est pas possible de les reproduire. La première étape pour sécuriser les données est de pouvoir les qualifier l’impact si tel type de données est atteint. En catégorisant, cela nous permettra d’éviter de prendre des mesures de sécurité à l’aveugle, sans identifier les données à protéger en priorité. L’objectif est de prendre des mesures précises sur certains types de données en adéquation au risque. Cela se justifie car une équipe d’informaticiens doit pouvoir prioriser les actifs à protéger en cas d’attaque ou simplement dans le cas où le dispositif de sécurité est mis en place pour la première fois. La mise en place de mesures de sécurité a également un coût. Pour catégoriser les données, il convient de mener une analyse de risque en prenant en compte, la probabilité d’une attaque et la conséquence en termes financiers et/ou humains. Voici un exemple de classification des données, par ordre de criticité : données classifiées (secret ou très secret), données de santé, données à caractère personnel, données nécessaires pour la continuité d’activité, données réglementaires mais sans risque métier particulier, données non sensibles. Selon la criticité des données, il est envisageable d’appliquer : du stockage en redondance sur un serveur distant ; de l’isolement de l’application ou du système (aucune connexion avec d’autres applications et/ou systèmes) ; de l’isolement des données (usage de plusieurs contenants pour compartimenter les données et réduire la propagation d’une altération ou suppression de l’intégralité des données) ; du chiffrement ; de l’anonymisation ; de la pseudonymisation. Cette catégorisation est à faire évoluer au fil du temps car une donnée peut perdre son utilité métier et sa conservation ne devenir que réglementaire, de même que les données classifiées peuvent être déclassifiées. Les mesures de sécurité sont à mettre en parallèle avec la réglementation française pour que des particuliers puissent consulter leurs propres données. Pour permettre cela, il est utile d’appliquer un cycle de vie sur les données. Qu’en est-il de la sécurité et des droits des personnes ? La question de la sécurité des données englobe également les droits des personnes vis-à-vis de l’usage de leurs données. L’utilisation de données nous concernant peuvent-elles se faire à notre détriment ? Ce serait une erreur de penser la sécurité des données uniquement par le prisme technique car la sécurité des personnes peut être mise à mal par un usage détourné de leurs données, c’est-à-dire un usage qui n’est pas encadré par le RGPD. Il ne faut pas oublier qu’un traitement illégitime des données à caractère personnel est une violation des droits de ces personnes, et cela constitue une atteinte à leur sécurité. Simon Chauvel, Consultant Formateur Serda Conseil

L’archivage des dossiers médicaux reste un sujet sensible dans nombre des établissements de soins et institutions hospitalières, notamment lorsqu’il s’agit de se pencher sur les durées de conservation ou appelées “DUA” pour durée d’utilité administrative, et sur le sort final après expiration de la période de conservation et quel que soit son support (papier ou numérique). Quelles règles pour archiver le dossier d’un patient qui a subi une transfusion ? En ce qui concerne les dossiers de patient ayant subi une transfusion sanguine, les règles ne sont pas celles habituelles ; en effet on doit trouver dans les dossiers des patients concernés, la mention des actes transfusionnels pratiqués et, le cas échéant, la copie de la fiche d’incident transfusionnel qui doivent figurer dans le dossier médical en vertu de l’article R. 1112-2 du code de la santé publique doivent y être conservées pendant une durée de 30 ans à compter du dernier passage du patient dans l’établissement. Ainsi 10 ans de plus que pour un dossier médical correspondant aux prises en charge des patients dans les établissements de soins. Combien de temps garde-t-on le dossier médical d’un patient décédé ? Mais cette différence n’est pas la seule et concerne notamment la durée de conservation du dossier médical pour un patient décédé. 10 ans nous dit la règle : “SI le patient décède moins de 10 ans après son dernier passage dans l'établissement, son dossier est conservé pendant une durée de 10 ans à compter de la date du décès” (cf article R1112-7 du Code de la Santé Publique). Ainsi, lorsqu'un patient transfusé est décédé, c'est le délai de la transfusion qui prend le dessus ; cette information est encadrée par l'article 4 de la directive européenne du 30 septembre 2005 qui recommande que le dossier transfusionnel soit conservé pendant une durée de 30 ans après le dernier acte transfusionnel. Le texte européen ne mentionne pas si le patient est vivant ou décédé. De ce fait il s'applique quel que soit "l'état du patient". Il peut notamment y avoir des enquêtes descendantes par exemple sur une poche s’il s’avère qu’elle a été contaminée par un quelconque germe non encore connu à une époque donnée, … De manière pratique, le dossier transfusionnel peut être séparé du dossier clinique s'il y a des problématiques de place et être classé à part. De ce fait, le dossier clinique peut être éliminé à 10 ans sur la base d'une formalisation de la date de décès du patient concerné. Caroline Buscal Consultante Experte Directrice de Serda Conseil

eIDAS 2024 est la nouvelle mouture du règlement européen n°910/2014 qui datait du 23 juillet 2014 et qui était entré en vigueur le 17 septembre de la même année et applicable à compter du 1er juillet 2016. La nouvelle version 2024 vise à renforcer le marché unique du numérique en Europe notamment pour élargir et mieux sécuriser les transactions électroniques et de manière plus générale l’adapter aux évolutions du digital. Le Parlement européen a donc approuvé le 29 février 2024 dernier la proposition de modification du règlement eIDAS par 335 voix pour, 190 voix contre et 31 abstentions. Par ce vote, le Parlement a donné son feu vert final au règlement qui devra désormais être officiellement approuvé par le Conseil des ministres de l’UE pour entrer en vigueur, ce qui devrait se faire dans la foulée. eIDAS 2 sera donc pour 2024 ! eIDAS pour mémoire, c’est quoi ? Pour rappel : eIDAS est l'acronyme de “electronic IDentification Authentication and trust Services” ce qui correspond en bon français à des services d'identification électronique, d'authentification et de confiance. Dans la version entrée en vigueur en 2014, eIDAS en tant que règlement européen, a pour objectif de standardiser l'identification électronique et les services de confiance dans les pays de l'Union européenne. Il adresse les sujets de la signature électronique, d’authentification, d'horodatage, de cachet électronique, et des certificats pour l'authentification des sites web. C’est un règlement important qui a contribué à la création d'un environnement numérique plus sûr et plus fiable en Europe incluant bien sûr la protection des données personnelles en conformité avec le RGPD. L’une des avancées les plus marquantes porte sur la reconnaissance d’une pleine valeur juridique à la signature électronique, équivalente à celle d’une signature manuscrite, et l’établissement de 3 niveaux de signatures électroniques : 1/ La signature simple, 2/ La signature avancée et 3/La signature qualifiée, ainsi que des critères pour établir la validité présumée d’une signature électronique. Il a également créé un cadre de fonctionnement des Prestataires de Services de Confiance et l’établissement, la tenue à jour et la publication d’une liste de confiance. En France, ces tâches sont confiées à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). La version 2014 du règlement n’est plus adaptée aux évolutions technologiques et ne répond pas aux nouvelles demandes du marché. Il présente par exemple trop peu de solutions d’identification électronique notifiées dans tous les États membres. De nouvelles techniques d’identification se sont développées en parallèle du règlement et ont suscité l’inquiétude des utilisateurs quant au respect de la vie privée et à la protection de données personnelles. Il était temps de se doter d’un nouveau cadre juridique. 2024 eIDAS 2, ce qui le caractérise La nouvelle version 2024 est nommée eIDAS 2.Son objectif est de poursuivre et d’amplifier les dispositifs de sécurité et d’interopérabilité en général. Mais la nouveauté phare est le portefeuille numérique “Wallet” pour créer une identité numérique européenne qui pourra regrouper toutes sortes de données et documents comme la carte d’identité, le permis de conduire, etc. Ce “Wallet” permettra, grâce à une authentification forte, de signer électroniquement avec un niveau qualifié et d’opérer à titre individuel comme pour une personne morale toute action ou transaction nécessitant d’être authentifié. Des attestations pourront être délivrées et ces attestations auront la même valeur juridique que la version papier par exemple. En France, c’est l’application France Identité démarrée en 2021 avec la nouvelle carte d’identité électronique (CNIe) qui s’intègre dans le déploiement du wallet eIDAS 2 européen. eIDAS 2024 et archivage électronique eIDAS 2024 étend sa liste de services de confiance, avec notamment l’archivage, l’émission d’attestations d’attributs ou encore le registre distribué. L’archivage électronique pourra donc désormais s’étendre à tous types de documents, même ceux n’ayant pas été signés électroniquement, à la différence du service de confiance de préservation de signatures et de cachets électroniques. Les normes d’archivage sont actuellement élaborées au niveau des législations nationales. Cette hétérogénéité impose ainsi aux prestataires de services de confiance de localiser par Etats membres leurs solutions pour répondre aux législations locales. Le nouveau service de confiance d’archivage électronique va remédier à cette situation en permettant une harmonisation européenne. Standardisation, interopérabilité et espace commun européen Autour du dispositif central que représente eIDAS 2024, les standardisations qui visent l’interopérabilité dans l’espace commun européen, sont améliorées ou développées comme le programme de « building block » suivants : eArchiving (avec la normalisation CEN et le programme E-ARK dont fait partie Serda Conseil et Serda formation), Big Data Test Infrastructure (BDTI), Context Broker pour les données des objets connectés, eDelivery, eID, eInvoicing pour la signature électronique (déjà mise en place en Italie par exemple et en prévue en France pour 2026), eSignature, eTranslation, European Blockchain Services Infrastructure (EBSI). On rejoint le principe du « dites-le nous une fois » traduit au niveau européen par Once Only Principle (OOP) qui a pour objectif de simplifier les démarches administratives de tous types d’usagers dans un contexte de confiance numérique augmenté. Caroline Buscal Consultante experte Directrice Serda Conseil

Considéré comme un problème de gestion de l’information pour 39% des organisations en 2024, l’archivage électronique a pris du retard en termes d’installation dans nos organisations alors que quasi 100% de nos processus sont aujourd’hui dématérialisés. Mais en 2024 cela pourrait bien changer et être porté par la nouvelle version du règlement eIDAS version 2024. L’archivage électronique se positionne de plus en plus comme une des garanties en matière de sécurité, de conformité et de fiabilité des données d’une organisation tout au long de leur cycle de vie. Car pour toute entreprise ou organisme, il est indispensable de garantir la préservation et la disponibilité de ses données et documents dits “essentiels”, quelles qu’en soient les motivations  : preuve, vérification qu’il n’y a pas eu fraude documentaire, traçabilité des actions, contrôle des datas archivés, … Archivage électronique et gestion des risques A ce titre la crainte de ne pas accéder à ses données est une des grandes préoccupations des organisations : 77% des entreprises en 2024 craignent la perte de leurs données ou informations ; c’est un risque auquel toute organisation se sent exposée, il s’exprime de plus en plus fortement d’année en année, avec  + 6% en 1 (chiffre du rapport 2024 sur la Gouvernance de l’information numérique) Pour éviter de perdre des données ou des informations, devenu l’angoisse n° 1 des managers et collaborateurs dans nos organisations, encore faut-il bien connaître les types de données et leur le cycle de vie pour appliquer les droits d’accès en fonction des niveaux d’autorisation et les durées de conservation, et mettre en place une politique d’archivage intégrée à le système d’archivage électronique correspondant. Rappelons que l’archivage électronique couvre les fonctions de conservation et de préservation des données et documents électroniques. Il implique le stockage sécurisé et organisé des données numériques, avec une attention particulière à la protection contre la perte, la corruption ou l'accès non autorisé. L'archivage électronique vise à garantir que les informations restent disponibles et exploitables sur une période prolongée, tout en respectant les exigences légales et réglementaires qui sont référencées tant au national (NF) qu’à l’international (ISO). Un archivage durable des documents inclut la mise en œuvre et le maintien en condition opérationnelle  d’un service numérique d'archivage électronique, un “SAE”. Le SAE est une solution de gestion de contenu permettant le recueil, le classement et la conservation des documents à moyen et long terme pour une exploitation ultérieure. Ainsi une organisation publique ou privée qui ne conserve pas ses archives, se place, d’entrée de jeu, en défaut de conformité. En effet, pour la majorité de leurs activités, les organisations ont des engagements réglementaires à tenir pour la conservation des données. En 2024, 55% des organisations sont engagées ou prévoient la construction de règles en matière de durées de conservation pour les documents et les données, et 54% une politique d’archivage ; et en cela ils rejoignent la mise en œuvre de projets de système d’archivage électronique. Car pour 48% des organisations, la gestion du cycle de vie des données est un problème quotidien que ce soit pour des applications métier, des ECM/GED et même des espaces serveur ou dans les messageries dans lesquels s’accumulent des vracs bureautiques. Cette fonction essentielle répond à la fois des niveaux d’obsolescence d’informations, mais surtout à des obligations réglementaires de suppression de données ou de documents  ; exemple en matière de données à caractère personnel, il s’agit de la mise en application des articles 17 et 21 du RGPD, ou de la loi Informatique et Libertés. Archivage électronique et outillage 2024 voit le taux de projet “engagé ou prévu” le plus haut taux de ces 5 dernières années qui correspondaient précédemment à des projets de signature électronique, de ECM/ GED, d’espaces collaboratifs…. 54% des organisations prévoient un projet cette année ou l’année prochaine, et 22% considèrent déjà être équipés, ce qui est peu (moins d’une organisation sur 4) pour une obligation réglementaire qui s'applique à tous … 24% ne se penchent pas encore sur le sujet. 56% sont encore dans un archivage uniquement papier, et 32% prévoient de leur faire évoluer. Autre progression qui permet d’orienter des investissements en outillage de système d’archivage électronique, la part de projets engagés ou prévus concernant le records management comme une réponse directe au sujet des cycles de vie et de responsabilité sur les données et documents numériques : 42% contre 18% de réalisé, et pas prévu pour 40%. Prenons un cas concret qui illustre les situations actuelles auxquelles sont confrontées nos organisations : Comment prouver qu’un document est un original et que la signature apposée de manière électronique n’a pas été falsifiée si on ne se dote pas d’un système d’archivage électronique ? La signature électronique notamment de niveau qualifiée a besoin d’un système d’archivage électronique pour présenter toutes les garanties : garantie d’un certificat valide, horodatage conforme, copie fidèle, métadonnées, format pérenne,.. d’ailleurs la version 2 du réglement européen eIDAS qui a été voté le 29 février 2024 renforce les services de confiance notamment celui de l’archivage électronique. Autres facteurs positifs d’un système d’archivage électronique : cela permet de préserver sa souveraineté numérique et de viser la réduction de l’empreinte carbone en purgeant les messageries, GED, applications métier de tous les fichiers de travail et en conservant ceux relevant de la preuve ou du résultat final au sein d’un SAE. Enfin la nouvelle version du règlement européen eIDAS votée le 29 février 2024 établit qu'un service d'archivage qualifié fourni par un Etat membre soit reconnu en tant que service d'archivage électronique qualifié dans tous les Etats membres ! Le coffre fort numérique est une autre solution qui apporte en priorité un espace de dépôt sécurisé ; c’est une réponse simple et conforme pour conserver tout type de documents d’entreprise notamment les contrats de travail, les bulletins de paie, … Il répond notamment au besoin d’échanger entre un organisme et ses collaborateurs des documents personnels et sensibles. Simple à mettre en place, le coffre fort numérique garantit l’intégrité de documents métiers sensibles (données sensibles, dossiers RH, documents engageants, bulletins de paie,...). Ce n’est pas une solution de système d’archivage électronique, car il est notamment limité en termes de fonctionnalités. La part des projets annoncés ou en cours en 2023 pour les solutions de coffre fort numérique est en baisse (-3% par rapport à 2023), le nombre des projets menés lui a explosé : + 14% en 1 an.  Le bulletin de paie devenu électronique est le grand gagnant de cette mise en place. Gestion de projet et archivage électronique Conduire un projet de SAE est plus large que la recherche et le déploiement d’un outillage numérique ; il convient donc de mettre en place une méthode qui s'appuie sur une famille de normes et de gestion dans le temps. Un ensemble de dispositifs (politique, pratiques, classement, métadonnées, droits, …) sont à prévoir dès la conception ; 8 étapes sont nécessaires pour conduire un tel projet https://www.conseil.serda.com/post/comment-mettre-en-place-gerer-systeme-archivage-electronique Caroline Buscal Directrice de Serda Conseil Consultante experte

Le 13ème Rapport sur la gouvernance de l'information numérique du Groupe Serda Archimag livre un cru 2024, et il est très orienté sécurité des informations et des data. Il paraîtra le 1er mars 2024, on vous livre donc en avant première le résultat en matière d’enjeux de gouvernance de l’information numérique pour 2024. Une certitude, pas de ralentissement en matière d’investissements pour le numérique ; les entreprises et organismes du secteur public maintiennent le cap de leur transformation en maintenant leur niveau d’investissements financiers, nous disent 56% des répondants. En revanche, ils les flèchent vers des solutions et des modes d’organisation qui répondent aussi à des préoccupations de sécurité des informations numériques et des données. Data et IA au cœur des programmes de Gouvernance de l’information numérique Dorénavant le cœur de tout programme est constitué pour 39% des organismes de données, qu’elles soient techniques, géographiques, personnelles.... avant même les documents. On assiste à une véritable bascule en termes de constitution du périmètre de la GI : on place dorénavant en rang 2 la notion de document au profit de celle des data. Extrait du rapport de la Gouvernance de l’Information Numérique 2024 Cela relance la question des "risques" en matière de sécurité des informations, et ce sont des craintes portées par 77% organisations qui vivent la perte des données comme la conséquence première, à laquelle s’ajoute l’atteinte à la réputation de son organisme (perte de confiance de la part des salariés, agents, clients, fournisseurs, etc.) en cas de faille dans la protection des données du système d’information. Le cru 2024 apporte aussi des ouvertures vers des domaines émergents mais intégrés dans les programmes de Gouvernance : l’intelligence artificielle dont on nous parle dans tous les forums ou débats prend déjà sa place : 10% des organisations l'incluant déjà dans le domaine comme un actif évident bien que ce soit un sujet émergeant ; et 13% des organisations disent avoir réalisé un projet de GED/ECM autour de l’intelligence artificielle, et 45% prévoient un projet dans les 2 ans. Qu’en est-il des évolutions au niveau des enjeux pour les organisations concernant la Gouvernance de l’Information Numérique version 2024 ? • En n° 1 : Accès et partage de l'information D’année en année, nous voyons se confirmer l'enjeu de "l’accès et du partage de l’information et des connaissances", qui truste toujours la première marche du podium, avec un score dominant de 77% , au même niveau qu’en 2023, qui place comme enjeu prioritaire les attendus des collaborateurs comme des managers de leur faciliter l’accès aux informations et données nécessaires dans le cadre de leurs activités professionnelles. • En n° 2 : Maîtrise des risques En deuxième place et toujours avec une forte augmentation qui se confirme depuis quelques années, on trouve le sujet de la "maîtrise des risques en termes de gestion de l’information, des documents et des données". Cet enjeu est devenu essentiel voire critique. Il se se positionne dorénavant à hauteur de 67%, soit 9 points de plus en 1 an et un total de plus de 17 points en 2 ans ; on y voit notamment l’effet du contexte de cybercriminalité dans lequel toutes nos organisations se sentent exposées ; la cybersécurité s’inscrit dorénavant comme une stratégie dominante dans les organisations. Rappelons que selon l’ANSSI, une hausse de 400% des cyberattaques a eu lieu en France depuis 2020, 69% visent des entreprises, 20% des collectivités territoriales et 11% des établissements de santé soit 1 sur 10 ! Le coût financier moyen pour les ETI qui courent le plus grand risque, oscille entre 3 et 10 M d’€, source AMRAE. Extrait du rapport de la Gouvernance de l’Information Numérique 2024 La Gouvernance de l’information numérique devient le cadre de référence pour ne pas dire de sécurité dans lequel s’inscrit l’ensemble des programmes numériques de nos organisations, quels que soient les métiers, les fonctions, les types de données, les types d’informations, les interactions qui soient concernés. • En n° 3 : Règles et process "Définir des règles et process en matière documentaire" passe en 3ème place, avec une progression de 12 points en 1 an … un cadre de référence attendu par les collaborateurs, mais équipé de modes opératoires et de protocoles pour faciliter les usages, ce qui répond à un objectif opérationnel d’outillage. Complétant cet enjeu de maîtrise des risques, on voit progresser de 4 points l’enjeu de "pérennité à long terme de certains documents et données", ainsi cela devient essentiel pour un répondant sur 2 (50,46%). Toutes ces réponses sont cohérentes avec le sentiment de maturité du sujet "Gouvernance de l’information" dans les organisations, et son attendu de cadre de sécurité de l’information numérique. On y perçoit une percée de l’archivage électronique, ce qui nous est confirmé par 54% des organisations qui engagent des projets dans le domaine ; c’est déjà en place pour 22%, permettant ainsi d’offrir à travers un système d’archivage électronique une réponse complète, sécurisante et conforme aux obligations de tous. Le développement de ces projets cette année est aussi une conséquence directe de la mise en service dans plus de 45% des organismes des systèmes de signature électronique suffisamment démocratisée pour permettre à tous selon ses responsabilités ou ses niveaux de délégation de pouvoir en bénéficier. Les autres segments de la question sont restés stables sur les trois dernières places, la "valorisation des informations", à hauteur de 29% (variation de - 1 point / 2023), "la maîtrise des coûts" en baisse à hauteur de 8% , et le "passage au 100% numérique" stabilisé autour de 10 à 11% : la notion de passage à un "0 papier" n’est donc plus un enjeu, sans doute seulement une étape dans un programme de GI… Le numérique responsable n’est pas encore un enjeu C’est pourtant un volet essentiel que celui du "numérique responsable" ; force est de constater que nous sommes encore loin de parler de "gouvernance responsable" car 6% seulement des organisations ont réalisé un bilan carbone du numérique. Extrait du rapport de la Gouvernance de l’Information Numérique 2024 Ce résultat est très faible, le sujet tarde à décoller et pourtant les obligations réglementaires sont en place : à partir de 2026, la loi Climat et Résilience promulguée en août 2021 obligera les acheteurs publics à ajouter dans les appels d’offres au moins un critère de responsabilité sociale et environnementale ; le secteur des collectivités a en parallèle l’obligation de mettre en place leur propre démarche RSE avec notamment celle concernant la sobriété numérique dans le cadre de la prise en compte de la loi REEN (loi n°2021-1485 promulguée le 15 novembre 2021 visant à Réduire l'Empreinte Environnementale du Numérique en France et son décret d’application du 29 juillet 2022 relatif à l'élaboration d'une stratégie numérique responsable par les communes de plus de 50 000 habitants et les établissements publics de coopération intercommunale). Bien d’autres éléments sont analysés dans le rapport 2024 de la Gouvernance de l’information numérique. Retrouvez-le en téléchargement dès le 1er mars sur le site serda conseil. Caroline Buscal Consultante experte Directrice de Serda Conseil

A quoi va servir E-ARK pour l'archivage à long terme ? Quels rôles jouent Serda Conseil et Serda formation dans E-ARK ? Quelles spécifications utiliser pour mettre en œuvre E-ARK avec quels standards de métadonnées (METS/PREMIS/SEDA) ? E-ARK (European Archival Records and Knowledge Preservation) a été lancé en 2014 par le DLM Forum (communauté européenne de professionnels appartenant à des organisations publiques comme privées et représentées par des professionnels de la gouvernance de l’information et des archives de toute l'Union européenne). La Commission européenne a développé un programme complet pour accélérer au travers d’E-ARK le cadre de confiance numérique entre pays européens Les 27 ont construit la confiance européenne commune basée sur deux piliers : eIDAS et les building block.. E-ARK est aujourd'hui un élément incontournable de la confiance numérique déployé à l’échelle européenne. E-ARK, c’est d’abord le standard européen qui se construit depuis 10 ans pour la conservation et l’accès de confiance aux données produites et reçues par l’ensemble des organisations publiques et privées des 27 pays européens. Ce standard s’adresse aux archivistes, gestionnaire de projet, DSI, RSSI et chef de projet ainsi qu’à toutes personnes qui gèrent de l’information. Durant ces 10 ans de conception, la difficulté a résidé dans la construction à l’échelle européenne du cadre technique, fonctionnel et homogène en tenant compte des quelques 27 pratiques d’archivage différentes. E-ARK s’est déployé lors de 3 grandes phases : En 2014, E-ARK a développé ses propres spécifications de conservation d'objets numériques. De 2017 à 2021, ce projet représente la base du Building Block* eArchiving sous le nom de E-ARK3, dans le cadre du projet européen CEF (Connecting Europe Facility*). Il a pour but de fournir des applications open source, des formations et de la documentation afin de préserver et réutiliser les données (data, document,...) sur le long terme. Nous sommes aujourd'hui, dans cette troisième phase tournée vers la diffusion du standard. Le projet a été renommé dans ce sens E-ARK4ALL. Le groupe Serda est l’acteur français participant au consortium monté par le DLM Forum pleinement aujourd’hui à la diffusion d’E-ARK4ALL en collaborant avec ses partenaires en particulier pour la conception des formations et du cursus universitaire. Un des points essentiels à retenir de E-ARK est son standard de métadonnées. Il s’inscrit pleinement dans la norme OAIS (ISO 14721). Le modèle de métadonnées spécifique à E-ARK4ALL se fonde sur METS et PREMIS. Le standard METS (Metadata Encoding and Transmission Standard) est un standard basé sur XML qui définit une structure pour encoder des métadonnées descriptives, administratives et structurelles associées à des objets tels que des ressources numériques, des collections et des archives. Au standard METS, s’ajoute le standard PREMIS basé également sur XML. Il permet d’ajouter des métadonnées techniques aux objets numériques à archiver. Avec E-ARK, un changement d’échelle s’opère pour l’ensemble des processus de versement, de conservation et d’accès des données archivées. Ce standard a été conçu dans le but d’uniformiser la description des archives au niveau européen et d’être utilisable par tous les logiciels d’archivage quel que soit le pays de conception ou d’utilisation. E-ARK a choisi comme base de ses spécifications le standard METS que l’on peut comparer au standard SEDA en tant que protocole d’archivage. C’est pourquoi, en France, E-ARK a mis en place une collaboration avec le programme VITAM afin d’étudier les opportunités d’interopérabilité de ces deux systèmes. Le déploiement d’un nouveau standard reconnu à l’échelle européenne permet d'offrir de nouvelles possibilités en termes de logiciel d’archivage sur le marché européen. Les archivistes pourront faire appel à des intégrateurs provenant d’autres pays européens pour choisir leur solution d’archivage. Cela offre de nouvelles opportunités de choix d’outil pour le marché français. Dans cette optique, le programme VITAM pourrait par exemple intégrer ces nouvelles spécifications du programme E-ARK, comme du reste d’autres acteurs éditeurs de logiciels d’archivage électronique. Ce changement d’échelle dans l’archivage numérique implique également pour les archivistes français de se familiariser avec ce standard européen. Avec E-ARK, les standards de métadonnées PREMIS et METS forment le cœur de ses spécifications. Cela amène également les archivistes à se tourner vers de nouveaux acteurs comme le DILCIS Board (Digital Information LifeCycle Interoperability Standards) responsable de maintenir, mettre à jour et diffuser ces spécifications E-ARK. Pour les formations qualifiantes, Serda en tant que membre du consortium, développe les compétences nécessaires pour prendre en compte ces nouvelles exigences européennes E-ARK comme une utilisation efficace de METS et de PREMIS dans les processus de versement, de conservation et de diffusion des archives. Afin de diffuser ce nouveau standard, E-ARK conçoit actuellement des formations académiques afin d’intégrer pleinement ses spécifications. Serda participe activement à la création de ce nouveau programme de formation qui permettra aux étudiants d’aborder les nouvelles problématiques liées à l’archivage électronique. Les prochains posts du blog Serda Conseil et Serda Formation : Les spécifications E-ARK (METS et PREMIS), Les champs de la conservation de la data selon E-ARK. *Un Building Block est une solution numérique ouverte et réutilisable. Il peut prendre la forme d'un modèle, d'une norme, d'un logiciel ou d'un logiciel (SaaS), ou d'une combinaison de ceux-ci. *La Connecting Europe Facility (CEF Digital) est un programme de cofinancement de l'Union européenne, géré par la Commission européenne. Dans le domaine numérique du CEF, l’objectif est de soutenir et d’encourager les investissements dans les infrastructures de connectivité numérique entre 2021 et 2027. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Découvrez le témoignage inédit de Claire Foucquier, en charge de la direction des ressources humaines au sein de la Région Île-de-France, qui revient sur la façon dont elle s'y est pris avec Serda Conseil pour embarquer ses équipes et les faire passer au tout numérique en les impliquant dès le démarrage au projet de dématérialisation de l'ensemble des dossiers administratifs de carrière. Serda Conseil accompagne de nombreuses organisations dans la mise en place de ce processus de dématérialisation et propose de vous livrer ses enseignements clés et ses conseils pratiques si vous projetez de vous lancer dans un tel programme. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Serda Conseil propose un plan d'accompagnement pour les directions métier, les directions en charge de la transformation digitale, les directions des systèmes d'information, les directions générales tant du secteur public que privé. Comment ça marche ? Accélérer le déploiement et la prise en main des solutions de dématérialisation grâce à une adaptabilité à vos besoins. Notre objectif ? Vous proposer un accompagnement dit "à la carte" pour mieux répondre à vos enjeux. Accompagner les équipes dans leurs prises en main des nouvelles pratiques et modes opératoires. Mettre en place le dispositif global d’embarquement des équipes en privilégiant les orientations fortes de votre programme de dématérialisation et construire la démarche de communication et de pédagogie pour faciliter la transition vers les nouveaux modes de travail. S’appuyer sur les persona cibles comme relais du déploiement, et les accompagner : sponsor, chef de service, agent, agent spécialisé, référent, chef de projet,... Élaborer une architecture pédagogique multi canal et multimodal combinant présentiel, ateliers pratiques, classes virtuelles et bibliothèques de contenus (vidéos, podcast, mooc, présentation, FAQ, quizz,…) articulés dans des parcours accessibles sur plateforme. Sécuriser l’appropriation des contenus à travers une démarche d’approbation et un baromètre de suivi de la progression. Transmettre à la direction du projet l’ensemble du matériel produit permettant de faire perdurer les nouveaux usages et embarquer les nouveaux arrivés (changement de postes, stagiaires, recrutements,...). Quelles instances de décision ? L’accompagnement s'appuie sur une gouvernance existante ou qui doit être constituée. Cette gouvernance inclut les utilisateurs à tous niveaux internes comme externes. Les relais principaux Les DG et autres directeurs / sponsors pour impulser. Les IRP / CSE. Les responsables de RSE. Les pilotes d'offres de service : administrateur GED, service courrier, SAE... Les chefs de service et managers de proximité. Les référents Les référents numériques, des pilotes de métier en termes de gestion de l'information : chef de projet, veilleur, archiviste et délégué à la protection des données (DPO). Les chefs de projet et autres représentants de la DSI, comme le RSSI, l'urbaniste... Des testeurs et autres représentants utilisateurs métier qui participent : "ambassadeurs, correspondants"... Les utilisateurs finaux Tous types de collaborateurs qui utilisent les nouveaux outils et modes opératoires au quotidien. Les administratifs et assistantes : ils ont des responsabilités spécifiques par rapport aux autres utilisateurs finaux. Quelle est notre démarche ? Des étapes et des livrables pour appréhender son programme de digitalisation. PILOTAGE Comité de pilotage : participation, préparation, animation et relevé de décision. Comité de suivi : participation, préparation, animation et relevé de décision. Appui au chef de projet : point de suivi, tableau de bord et baromètre de AC. Plan de communication global. Plan de formation par persona. Usage et support de pilotage et d'accès aux contenus plateforme Serda Compétences. DIAGNOSTIC Enquête de maturité : questionnaire + analyse. Calcul de l'évaluation de l'empreinte carbone des flux d'informations avec le référentiel des 21. indicateurs Serda-CC. KIT PEDAGOGIQUE Production de "vade-mecum". Production de podcasts. Production de vidéos. Production de tutoriels. KIT COMMUNICATION Newsletter interne : 3 à 4 sujets édito, météo projet, interview, contenu technique. Webinaire : script, pitch, co animation, fourniture plateforme, enregistrement et replay. Retour d'expérience : agent, manager, usagers, analyse d'un cas d'usage et infographie SUPPORT Interventions sur site d'un consultant pour échanger et conseiller les équipes. Animation d'une communauté. En résumé : Avoir un triple portage : direction, métiers, DSI : Mettre en place un triple sponsoring Direction, Métier(s) - DSI pour faciliter l’avancement du projet et l’engagement des parties prenantes avec reporting au Codir ou Comex Dématérialiser de façon responsable : Impliquer l’ensemble des parties prenantes pour contribuer à l’élaboration de l'expression des besoins et de la vision cible. La conduite du changement commence dès la phase de diagnostic. Avoir une vision centrée sur l'humain : Prendre en compte la dimension de l’Ecoresponsabilité en évaluant les niveaux d’impact au niveau inclusion numérique et empreinte carbone, et proposer de bonnes pratiques. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Depuis 2014, la Commission européenne poursuit le développement du cadre de la confiance numérique et des échanges de données à l’échelle de l’Union européenne. Après le développement des différents Building blocks* : la signature électronique, la facturation électronique, l'identification … elle s’attaque à la gestion et la réutilisation des données à court, moyen et long terme et complète ce cadre de confiance avec les exigences de pérennité, d’intégrité, de fiabilité, à vocation probatoire comme patrimoniale. Le groupe Serda-Archimag est fier de participer et d’apporter son expertise à ce projet en rejoignant le consortium DLM Forum multi pays européens. Le groupe SERDA est l’unique représentant expert pour la France. Les différents Building Blocks *Un Building Block est une solution numérique ouverte et réutilisable. Il peut prendre la forme d'un framework, d'une norme ou d'un logiciel. Source : https://smart-cities-marketplace.ec.europa.eu/news-and-events/news/2019/dare-rethink-your-city-cef-building-blocks En quoi consiste le programme européen E-ARK ? Le projet E-ARK lancé en 2014, est le dernier Building Block de la Commission européenne et a pour vocation de : maintenir et d'améliorer les normes, les spécifications et la base de connaissances existantes en matière d'archivage électronique et d'E-ARK. créer de nouvelles spécifications d'archivage électronique en collaboration avec des industries ou des institutions. créer et améliorer les outils de test de validation et d'autres bibliothèques logicielles afin de fournir un cadre technique nécessaire pour générer, valider et maintenir des paquets d'informations et des métadonnées conformes aux normes et spécifications de l'archivage électronique et de l'E-ARK. fournir un soutien technique par la formation à l'ensemble de la communauté des utilisateurs et d'améliorer l'adoption et l'intégration des outils et des normes d'archivage électronique. Le consortium prévoit de développer et de déployer une formation sur mesure, axée sur les compétences en matière de préservation à long terme et d'archivage numérique, ainsi que sur les outils et normes spécifiques développés dans le cadre des projets E-ARK précédents. promouvoir les spécifications de l'archivage électronique et la participation à d'autres activités de normalisation et d'interopérabilité européennes et internationales. Le consortium organise également des événements afin de promouvoir la nécessité d'une conservation durable des données et du numérique, et des ateliers spécialisés destinés à l'échange d'expériences pour les organisations et les fournisseurs de solutions utilisant les spécifications. Quel rôle a le groupe Serda-Archimag dans E-ARK ? Le groupe Serda-Archimag apporte son expertise en termes d’archivage électronique et d’ingénierie pédagogique pour le déploiement d’E-ARK. Serda Compétences et Serda Conseil apportent leur contribution aux différents groupes de travail afin de cartographier à l’échelle européenne les offres de cours et de programmes universitaires sur l’archivage électronique. Serda identifie ensuite les apports complémentaires E-ARK à ces programmes. Au mois de juillet 2023, la commission européenne a validé la première version du programme universitaire. Grâce à ce travail, le projet E-ARK va mettre à disposition des cours et des modules intégrant ses spécifications. En parallèle, les experts de Serda-Archimag élaborent des formations sur les spécifications fonctionnelles et techniques E-ARK à destination des professionnels du domaine et des équipes SI. Serda en tant que pilote pour la France a la responsabilité d’adapter ces spécifications au niveau national. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Découvrez la valeur légale de la signature électronique et les conditions essentielles pour en faire une preuve irréfutable. Simplifiez vos processus avec une solution sécurisée et valide juridiquement. L’usage de la signature électronique est simple et ses avantages ne sont plus à vanter (praticité, sécurité, traçabilité, gain de temps, etc.). Pourtant, bon nombre de professionnels et d’organisations s’interrogent encore sur les conditions pour l’utiliser comme preuve. Voici les réponses aux questions techniques qu’ils se posent. Serda Conseil et Archimag ont organisé une Journée dédiée à la Confiance numérique le 10 mai 2022. Lors de cet événement exceptionnel, plusieurs questions ont été posées sur la valeur légale de la signature électronique et sur les conditions à respecter pour qu’elle puisse être utilisée comme preuve. Nous avons choisi de partager nos réponses aux questions que se posent les professionnels. Une signature électronique "simple" peut-elle être reconnue comme preuve ou simplement comme début de preuve ? Rappelons que la signature électronique est un procédé fiable d’identification qui garantit le lien entre la signature et le document auquel elle s’attache. Cela correspond à la notion d’identification - article 1366 du Code Civil(1). Il s’agit donc d’être en mesure d’identifier le signataire et de s’assurer de son consentement (“si je signe, c’est que je consens à signer”) : c’est avoir la preuve que c’est bien la personne désignée qui est consentante pour signer le document. L’intégrité est aussi un point essentiel : il faut s’assurer que c’est bien la personne désignée qui a signé le document dont le contenu a été fixé. En résumé il faut pouvoir assurer l’identité du signataire, de son caractère volontaire et du contenu de ce qu’il signe au moment où il signe. Si tout cela est démontrable, même une signature “simple” peut alors être reçue par un juge comme preuve. S’il y a doute sur un des points, cela est alors considéré comme pas assez fiable et donc cela équivaut à un début de preuve uniquement. (1) L'article 1366 du Code civil dispose que « l'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité ». Après expiration de la durée de validité d’un certificat de signature limitée dans le temps (3 ans le plus souvent) quel est l’impact sur la validité de la signature elle-même portée sur un document ? Nous rappelons que la notion de preuve de la validité de signature est à démontrer au moment où le document concerné a été signé. Si au moment de la signature, tous les éléments précisés ci-dessus sont bons, alors la validité reste valable. Il faut pour cela pouvoir conserver la preuve de la validité du certificat et de la signature sous-jacente pendant toute la durée de vie du document concerné, bien au-delà des 3 ans de durée de vie du certificat, notamment s’il s’agit d’un contrat qui a été signé. Ainsi face à un document signé électroniquement, il faut garder le document, la signature électronique et la preuve de sa validité, ce que l’on appelle un “fichier de preuve”. Il contient les éléments de preuve comme : le certificat, les pistes d’audit, le sms qui permet d’activer la signature, l’horodatage, la carte d’identité du signataire …. c’est à dire tout ce qui prouve qu’au moment de la signature électronique, tout était réuni pour démontrer de la validité de la signature elle même. C’est pourquoi il est donc nécessaire de préparer en amont la phase de conservation des documents signés et des signatures électroniques… et ne pas attendre l’expiration de la durée du certificat pour se pencher sur la question. Apporter la preuve serait alors problématique. Qu’est ce qu’un rapport de validation ? Le rapport de validation est un élément essentiel de preuve car il est le résultat des étapes de vérification de la validité des signatures électroniques assurées par le prestataire de services de confiance qualifiés eIDAS (Electronic IDentification Authentication and trust Services : Règlement européen entré en vigueur le 1er juillet 2016). Le rapport est intégré dans le scellement de l’archive composée du document signé et archivé et du fichier de métadonnées. Existe-t-il des référentiels pour évaluer juridiquement des systèmes de signature électronique ? Non, il n’existe pas de référentiel de signature électronique prêt-à-l’emploi. Chaque organisation construira son référentiel en fonction de ses métiers, de la portée de ses engagements, et de ses besoins en maîtrise de risques. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Aujourd’hui, face aux nouveaux modes de travail qui se développent et portée par la réglementation, la digitalisation de la fonction RH devient un enjeu-clé de la transformation digitale. Découvrez la parole d'expert de Caroline Buscal qui vous partage ses secrets pour mener à bien votre projet de dématérialisation de la fonction RH. Les points clés à retenir : ➡️ Près de 40% des organisations publiques ou privées sont en cours ou mettent en place une digitalisation totale ou partielle de la fonction RH. ➡️ Le législateur oriente fortement vers la digitalisation des activités RH (bulletin de paie en numérique, télétransmission de la déclaration sociale nominative, remboursement des frais de déplacement, signature électronique des contrats de travail, etc.). ➡️ 85% des collaborateurs parient sur un meilleur accès aux informations et une meilleure diffusion des documents RH grâce à la digitalisation (portail salarié, etc.). ➡️ La prise en compte des données au cœur des programmes de digitalisation pour une meilleure sécurité et une plus grande traçabilité : +40% des données sont des données personnelles ou sensibles. ➡️ Les programmes de digitalisation de la fonction RH sont des projets complexes à fort impact. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

La dématérialisation dans le domaine de la santé est un sujet brûlant : elle touche toutes les structures (établissements de soins ou médico-sociaux) et tous les secteurs à commencer par le suivi des patients (dossiers médicaux, dossiers de résidents, dossiers de consultation, etc.). C’est donc bien plus qu’une évolution de support de stockage. On vous donne rendez-vous le mardi 10 octobre pour savoir comment dématérialiser un établissement de santé ! Quelques chiffres : chaque année, on compte 11,6 millions de patients hospitalisés, 3 300 établissements, 1,3 million d’employés dans le secteur hospitalier... ; la dématérialisation est bien un enjeu clé de la transformation du secteur de la Santé ! Les impacts comme les contraintes sont nombreux : organisationnels, techniques, financiers et réglementaires évidemment, car la dématérialisation des dossiers médicaux, des données et des documents qui les composent, embarque autant des questions de preuve, de circulation, et d’accessibilité, que de gestion, de conservation et de destruction. Pour y répondre, les nouvelles technologies et un cadre légal toujours plus propice permettent de construire de nouveaux systèmes de gestion numériques, qui permettent d’améliorer la continuité de la prise en charge du patient, de disposer d’accès simplifiés aux informations médicales, et de simplifier les pratiques des équipes concernées (équipes de soins, équipes de la direction de l’information médicales, archivistes, etc.). La dématérialisation en environnement de santé, concerne aussi les fonctions administratives comme la facturation des patients, la gestion des ressources humaines, les finances, les marchés publics, etc. Serda Conseil accompagne de nombreuses organisations dans la mise en place de ce processus de dématérialisation et propose de vous livrer ses enseignements clés et ses conseils pratiques si vous projetez de vous lancer dans un tel programme. Christelle Varin, Ingénieur archiviste des Hôpitaux universitaires de Strasbourg nous livrera son témoignage. Ça vous intéresse ? N'attendez pas pour vous inscrire ! Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.