par Marie-Anne Chabin, 24 février 2020
Le propos de ce billet est de démontrer que la meilleure façon de réussir aujourd’hui la mise en sécurité de l’ensemble des documents et données qui engagent la responsabilité d’une entreprise est d’appliquer au domaine de l’archivage le principe de subsidiarité.
Quand je dis « aujourd’hui », je veux dire au XXIe siècle, c’est-à-dire dans un environnement où les documents et informations engageantes sont pour leur grande majorité nativement numériques, dans une société connectée voire hyperconnectée.
Mais avant d’aller plus loin, il est utile de définir plus précisément les deux termes de l’argument : archivage et subsidiarité.
Le principe de subsidiarité
Le mot subsidiarité vient de subsidiaire, c’est-à-dire de quelque chose qui vient en plus, à l’appui d’un élément principal pour le compléter, le conforter voire le suppléer.
Le principe de subsidiarité est un principe politique mis notamment en avant dans l’organisation européenne (depuis le traité de Maastricht de 1992) pour répartir les compétences entre l’Union et les États membres. L’idée est que, pour les compétences partagées, l’Union Européenne, en tant qu’échelon hiérarchique supérieur, n’agit que si son action est plus efficace que celle conduite au niveau des États ou des régions. En cas de défaillance de l’échelon inférieur, l’échelon supérieur s’entremet pour mener à bien l’opération délaissée.
Le principe de subsidiarité vise à » assurer une prise de décision la plus proche possible du citoyen en vérifiant que l’action à entreprendre au niveau européen est justifiée par rapport aux possibilités qu’offre l’échelon national, régional ou local » (dico du commerce international).
Le principe de subsidiarité s’oppose à un pouvoir centralisé et surtout centralisateur. Dans le contexte européen, l’objectif est d’éviter une prise de décision trop éloignée des citoyens et de leurs instances exécutives. Il s’agit de « ne pas déconnecter la prise de décision publique de ceux qui devront la respecter. C’est en somme la recherche du niveau hiérarchique pertinent auquel doit être conçue une action publique » (Wikipedia).
L’archivage
Le sens le plus évident de l’archivage est le fait d’archiver, c’est-à-dire le geste consistant à affecter un document qui présente une certaine valeur à un système capable de le conserver, de le protéger et de permettre sa consultation pendant tout le temps nécessaire. J’ai un document important pour moi, je l’archive, il est archivé.
L’archivage s’entend aussi comme une démarche plus globale d’organisation de tous les gestes visant à faire gérer tous les documents d’une entreprise par un système propre à les gérer jusqu’à ce qu’ils perdent toute valeur justifiant leur conservation pour leur propriétaire. C’est le sens de l’expression politique d’archivage.
Le point à souligner est la responsabilité de l’entreprise dans cette affaire : la politique d’archivage n’a vraiment de sens que si elle embrasse toute l’information à valeur d’archives, c’est-à-dire toute l’information dont la mauvaise gestion (perte, diffusion inappropriée, modification inopportune, destruction intempestive, conservation indue…) pourrait conduire à une perte financière pour l’entreprise (manque à gagner, sanction pécuniaire) ou à une perte d’image (manque de fiabilité, manque de sérieux).
Avec la reconnaissance légale de l’écrit électronique au même titre que l’écrit papier il y a déjà vingt ans, la proportion de l’information engageante produite et reçue sous forme numérique a dépassé les 80%. Créés sous forme numérique ces documents et données doivent donc, sauf exception spécifique, être archivés électroniquement, c’est-à-dire que les supports de l’information doivent être mis en sécurité dans la durée dans des systèmes qui garantissent les exigences de sécurité, d’accès et de pérennité pendant la durée de conservation définie.
Application à l’archivage managérial / records management dans l’environnement électronique
La transposition du principe de subsidiarité à l’organisation de l’archivage m’apparaît chaque année plus pertinente. Pourquoi ?
La première raison, négative, est que la centralisation en matière d’archivage électronique n’est ni efficiente ni pertinente. Les solutions logicielles et matérielles communément appelées « systèmes d’archivage électronique » (SAE) se sont développées depuis une vingtaine d’années, en s’appuyant sur les normes nationales et internationales de records management dans l’environnement numérique (MoReq, ICA-Req-ISO 16175) ou de conservation numérique sécurisée (OAIS-ISO 14721, NF Z42-013 et circulaires ministérielles sur la gestion des archives publiques). Elles offrent des avantages certains, notamment en termes de formats et de pérennité; mais elles présentent certains inconvénients dans la mise en œuvre de l’archivage, notamment un fonctionnement sur un mode centralisateur: les fichiers numériques sont collectés ou versés dans un outil unique qui, dès prise en charge, applique aux archives ses propres critères de gestion, exactement comme on le faisait naguère pour les archives papier, regroupées physiquement dans un magasin de stockage avec les procédures archivistiques associées. Or, la centralisation physique des documents, indispensable pour retrouver rapidement des archives dans le monde papier, est secondaire dans l’environnement numérique où l’accès à l’information se fait par le moyen d’un outil informatique, sans question de distance matérielle entre le lieu de stockage et l’utilisateur. C’est pour cette raison que la communauté des records managers anglo-saxons a théorisé, il y a quelques décennies déjà, la notion de post-custodialism (voir le billet Custodialité). La même idée est développée par MoReq2010, malheureusement peu utilisé, qui souligne la nécessaire inversion du modèle d’archivage : mettre les règles d’archivage dans les applications métiers au lieu de continuer et transférer les documents dans des systèmes d’archivage indépendants.
Par ailleurs, à la relative homogénéité et la solidité des formats papier a succédé une hétérogénéité et une fragilité des formes numériques qui complexifient les traitements à l’entrée du SAE. Enfin, l’accès à l’information via le SAE peut être contraignant dans la mesure où il s’opère souvent avec une interface et des modalités de recherche différentes, de sorte que les utilisateurs préfèrent faire des copies de leurs fichiers versés dans le système centralisé pour pouvoir continuer à y accéder facilement ; cette pratique augmente les volumes gérés et génère un problème de fiabilité de l’information (quelle est la bonne version?). Certes, les « SAE » à la française, qui prennent généralement les fichiers en charge « à la fin de leur utilisation courante » limitent le problème de l’accès utilisateur mais, justement, ce faisant ils ne font pas de « records management » car le records management suppose de gérer le cycle de vie des documents engageants dès leur création. Ces SAE ne répondent pas non plus au besoin de pilotage de durées de conservation des données à caractère personnel réclamées par le RGPD, là encore dès la création ou la collecte des données, c’est-à-dire dès le premier traitement. L’archivage étant une affaire de management découlant de la responsabilité de conserver ou détruire telle information, le réduire à la conservation matérielle de ce qui n’est plus utilisé s’apparente plus à du stockage sécurisé qu’à une véritable gestion de la valeur d’archives.
La seconde raison est qui me conduit au principe de subsidiarité pour l’archivage est positive. La production de l’information engageante étant dispersée dans l’entreprise (pour ne pas dire décentralisée), il est important de la gérer au plus près des acteurs concernés. La multiplicité des acteurs dont l’action engage l’entreprise au quotidien, la variété des applications métiers qui gèrent les données et produisent les fichiers engageants, la diversité des risques associés à une mauvaise gestion de l’information, tout cela plaide pour une organisation d’archivage souple et ajustée aux besoins et aux collaborateurs. L’objectif fondamental est que, dès qu’une information est identifiée comme engageante, elle puisse recevoir, dans l’outil où elle est créée, la règle de sécurité et de conservation qui correspond au risque qu’elle porte. Si l’outil initial n’est pas en mesure d’assurer la règle (que ce soit en termes de sécurité, d’accès aux utilisateurs concernés, ou de pérennité, particulièrement si la durée de conservation excède dix ans), le responsable de l’archivage de l’entreprise devra remédier à ce défaut et apporter son appui (subside) au gestionnaire direct de l’information, avec plusieurs types d’interventions :
- faire appel un nouvel outil plus approprié ;
- améliorer les fonctionnalités de l’outil initial, par exemple lors d’une mise à jour logicielle ou d’un renouvellement d’outil ;
- modifier la procédure de production et gestion de l’information par l’utilisateur.
Ainsi, le principe de subsidiarité appliqué à l’archivage consiste donc à :
- réaffirmer la compétence du responsable de l’archivage, attaché à la direction générale, sur l’ensemble des documents et données appartenant à l’entreprise et engageant sa responsabilité dans la durée (quel que soit le support de l’information et son lieu de stockage);
- responsabiliser les acteurs immédiats (collaborateurs qui créent et/ou utilisent l’information, administrateurs de l’applications métiers) sur la règle de vie attachée à tout fichier envoyé ou reçu ;
- auditer régulièrement le périmètre documentaire de l’entreprise et le degré de satisfaction des exigences (sécurité, pérennité et accès) attachées aux documents et données, et remédier aux lacunes observées ;
- proposer des évolutions plus globales du dispositif d’archivage (dispositif d’archivage = outils + règles + acteurs).
Mise en œuvre avec Arcateg™
Le principe de subsidiarité appliqué à l’archivage est une des idées-maîtresses de la philosophie Arcateg™ en tant que théorie et méthode de gouvernance de l’information.
Le référentiel de conservation Arcateg™, avec ses 100 catégories de conservation standard personnalisables à toute entreprise, met en application le principe de subsidiarité de la façon suivante :
- tous les documents et données à conserver pendant la même durée pour la même raison sont rattachés à une « catégorie de conservation » codifiée sur deux caractères (ex : Q2 = 10 ans pour les justificatifs comptables, R2 = 50 ans pour les justificatifs de la retraite) ;
- au sein de chaque catégorie, le référentiel précise les modalités d’application de la règle de durée pour chaque groupe ou série homogène de documents ou données : support/format de référence, règle de sécurité/confidentialité, modalités d’accès et, bien sûr outil(s) de conservation-hébergement-gestion de ce groupe de données (en général, quelques dizaines d’outils sont impliqués pour l’ensemble de l’entreprise) ;
- grâce à la codification des durées de conservation et à la normalisation des modalités d’application, le référentiel devient un véritable tableau de bord de l’archivage. Si l’outil de proximité donne satisfaction, il n’y a pas besoin d’en changer ; si ce n’est pas le cas, le responsable de l’archivage de l’entreprise doit évaluer qui ou quoi il faut suppléer, puis déclencher, le cas échéant, une reprise en main de l’archivage de cette série au niveau général de l’entreprise, avec le choix d’un outil dédié à une sécurité plus forte, ou à un accès optimisé, ou encore à une pérennité plus grande.
Face à la masse informationnelle susceptible d’engager la responsabilité d’une entreprise en cas de divulgation, de destruction prématurée ou de sur-conservation, gérer unitairement la vie de chaque document et de chaque fichier au sein d’un système unique est illusoire et inadapté. L’archivage, au XXIe siècle, c’est piloter un jeu de règles cohérentes couvrant pour l’exhaustivité du périmètre informationnel engageant et auditer en permanence la bonne application de ces règles, au plus près des intérêts de l’entreprise et au meilleur coût !
C’est exactement ce que permet Arcateg™: attribuer une règle de vie à tout objet d’information qui présente une valeur pour l’entreprise (les actifs informationnels et les données à risque), puis piloter l’application de cette règle au plus juste. L’audit permanent de l’état de l’archivage permet de dégager les priorités, aussi bien en termes de prévention qu’en termes de correction, avec les nécessaires arbitrages en cas de contraintes contradictoires.
Arcateg™ permet en outre d’instaurer des indicateurs pour faciliter la maîtrise des coûts et l’accompagnement des utilisateurs.
La collecte des archives d’intérêt historique et patrimonial est un autre sujet, avec des enjeux, des objectifs, et budgets et des méthodes différents.
Pour en savoir plus:
Marie-Anne Chabin, Des documents d’archives aux traces numériques. Identifier et conserver ce qui engage l’entreprise – La méthode Arcateg™, éditions KLOG, 2018