Articles de fond – Arcateg, méthode d'archivage par catégorie https://www.marieannechabin.fr/arcateg Arcateg™, archivage par catégorie Fri, 18 Mar 2022 15:51:00 +0000 fr-FR hourly 1 https://wordpress.org/?v=5.4.13 https://www.marieannechabin.fr/arcateg/wp-content/uploads/2017/02/cropped-logo-arcateg-carree2-32x32.png Articles de fond – Arcateg, méthode d'archivage par catégorie https://www.marieannechabin.fr/arcateg 32 32 Gouvernance des données : une formation efficace et pérenne https://www.marieannechabin.fr/arcateg/2022/02/11/gouvernance-des-donnees-une-formation-efficace-et-perenne/?utm_source=rss&utm_medium=rss&utm_campaign=gouvernance-des-donnees-une-formation-efficace-et-perenne Fri, 11 Feb 2022 12:38:00 +0000 https://www.marieannechabin.fr/arcateg/?p=5101 La Formation en ligne pour s’approprier la production d’un référentiel Arcateg™ pour la gestion des risques informationnels et la maîtrise données vous attend ici. Arcateg™ plus que jamais d’actualité Depuis sa création, la méthode Arcateg™ dont le nom signifie ARchivage par CATEGories s’adapte aux besoins des entreprises et aux évolutions de la société de l’information.…

Cet article Gouvernance des données : une formation efficace et pérenne est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
La Formation en ligne pour s’approprier la production d’un référentiel Arcateg™ pour la gestion des risques informationnels et la maîtrise données vous attend ici.

Arcateg™ plus que jamais d’actualité

Depuis sa création, la méthode Arcateg™ dont le nom signifie ARchivage par CATEGories s’adapte aux besoins des entreprises et aux évolutions de la société de l’information.

Conçue au départ comme un kit de records management, tel que l’explique la norme ISO 15489, avec la maîtrise des risques informationnels dans les organisations, quel que soit le support de l’information, quelle que soit la forme juridique de l’entreprise, quelle que soit sa taille et son histoire, etc., Arcateg™ est aujourd’hui une méthodologie de gouvernance des données, parce que c’est ce dont les entreprises ont besoin. Les concepts du records management ne se déploie plus en 2022 comme en 1999 !

La méthode propose une trame de référentiel de conservation-type, basé sur une codification universelle des processus et activités. Cette trame comprend 100 catégories de conservation qui prennent en compte les interlocuteurs internes et externes, les risques de produire, conserver, détruire ou divulguer l’information, la durée, l’exploitation des données. Chaque entreprise est invitée à personnaliser la matrice selon sa culture et son environnement puis à rattacher chaque série ou groupe de données/documents à celle des 100 catégories de conservation qui correspond le mieux à sa valeur. Chaque catégorie s’accompagne de critère de sécurité, de conservation et d’accès.

Les enjeux de la transformation de l’entreprise sont aujourd’hui concentrés autour de la sécurité informatique (avec la cybercriminalité) et de la protection des données à caractère personnel. Arcateg™ a intégré ces problématiques car la mission de l’archivage est d’apporter son expertise sur la conservation et la destruction aux politiques de sécurité et de gestion des données personnelles. On a vu l’importance et la fragilité de ces sujets pendant la crise sanitaire. Et ce n’est pas fini!

Le plus de la formation en ligne

La formation proposée explique les étapes à suivre pour maîtriser la production d’un référentiel de conservation des données (et/ou de destruction) qui soit adapté aux besoins de chaque entreprise, et adaptable aux nouvelles exigences et aux nouvelles contraintes internes et externes en cours et à venir.

Cette formation, dispensée par Archive17 en présentiel pendant une quinzaine d’années sur deux jours, est en ligne depuis quelques mois.

Cette formule offre plus d’un avantage, à commencer par l’accès à tout internaute, quel que soit son lieu de résidence et son fuseau horaire.

Nous sommes toute une équipe à intervenir tour à tour dans la formation: Elisabeth Buhlmann, Louis-Pierre Guillaume, Cécile Cabantous, Maria Hoza, François Guérin, Clotilde Vaissaire. Chacun y a mis son savoir-faire: méthodologie, technique, expertise, expérience, communication, etc. La formation Arcateg™ en ligne propose des vidéos d’explication des concepts-clés de la méthode, des exposés sur les problématiques rencontrées dans la gouvernance de l’information, des démonstrations concrètes d’élaboration du référentiel de conservation, des exercices et toute une série de ressources autour de la thématique.

Avec une formation en ligne, vous pouvez, comme lors d’un MOOC, avancer à votre rythme et on sait bien que la pratique de l’apprentissage varie d’une personne à l’autre. Les vidéos et les lectures sont à disposition et peuvent être revisionnées ou revisitées à loisir pendant la formation. Pour vous aider, nous proposons trois parcours pour suivre la formation.

Le forum permet de poser des questions aux consultants qui interviennent dans la formation, sur le contenu des vidéos voire sur leurs propres projets.

Un investissement rentable

Oui, cette formation est un investissement rentable pour une entreprise.

En effet, le prix de la formation en ligne correspond à une formation en présentiel de deux jours mais le retour d’expérience montre que l’acquisition de la production du référentiel équivaut plutôt à trois ou quatre jours de transmission de savoir et de savoir-faire. À signaler aussi que la formation, accessible à partir de la plateforme de formation CF2iD, est exonérée de TVA.

Un autre argument est que la méthode Arcateg™ est adaptative et ne se périme pas. Les catégories de conservation décrivent des risques et des valeurs d’information dans la durée. Dès lors, si la forme du document change, si l’hébergement des données est sous-traité, si une nouvelle loi apparaît, etc., cela ne modifie par la pertinence du rattachement des fichiers ou des papiers à une catégorie de gestion. Car Arcateg™ est un outil de pilotage de la responsabilité informationnelle.

Enfin, se former à Arcateg™ est, pour reprendre les mots de Thucydide, un « acquis pour toujours ». La démarche d’analyse de la valeur de l’information, quelle qu’elle soit, et l’identification du risque associé, rend agile et aide à résoudre de nombreuses questions des utilisateurs, souvent démunis face à des évolutions de travail incessantes.

Arcateg™ est une méthode, pas une liste de tâches qui se périme dès que l’environnement de l’entreprise évolue, par exemple lors de l’implémentation d’un nouvel système d’information, dans la configuration du télétravail, avec de nouvelles réglementations internationales ou lors d’une fusion d’entreprise. Arcateg™ est une étoile dans le monde obscur des données.

Et pour filer la métaphore du vélo qui accompagne notre étude de cas, je conclurai par cette formule: ne vous contentez plus de rouler en queue de peloton, prenez la tête de la course informationnelle !

Pour en savoir plus: https://cf2id.fr/formation/construire-son-referentiel-arcateg-en-10-etapes/

Contact: contact@cf2id.fr

Cet article Gouvernance des données : une formation efficace et pérenne est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
Archive17 a 20 ans https://www.marieannechabin.fr/arcateg/2020/04/15/archive17-a-20-ans/?utm_source=rss&utm_medium=rss&utm_campaign=archive17-a-20-ans https://www.marieannechabin.fr/arcateg/2020/04/15/archive17-a-20-ans/#comments Wed, 15 Apr 2020 07:50:42 +0000 https://www.marieannechabin.fr/arcateg/?p=4979 En 2000… Le cabinet Archive17 a été créé en avril 2000, par Marie-Anne et Michel Chabin, pour accompagner les entreprises dans la gestion de l’archivage, c’est-à-dire pour les aider à mettre en sécurité les documents et les données qui engagent la responsabilité dans la durée. Cette responsabilité s’apprécie par le fait que si les documents…

Cet article Archive17 a 20 ans est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
En 2000…

Le cabinet Archive17 a été créé en avril 2000, par Marie-Anne et Michel Chabin, pour accompagner les entreprises dans la gestion de l’archivage, c’est-à-dire pour les aider à mettre en sécurité les documents et les données qui engagent la responsabilité dans la durée. Cette responsabilité s’apprécie par le fait que si les documents et données qui existent dans l’entreprise ne sont pas bien gérés, s’ils sont jetés trop tôt ou conservés trop longtemps, l’entreprise devra en payer les conséquences. Ce peut être la perte d’un contentieux car les preuves à décharge sont introuvables, ou bien une amende infligée par une autorité de contrôle pour non-conformité de l’entreprise à la réglementation, ou encore la perte d’un marché car les équipes n’ont pas été assez réactives faute de trouver les bons documents pour faire la meilleure offre, sans parler de la maîtrise des données à caractère personnel, si prégnante dans les entreprises depuis l’entrée en vigueur du Règlement général pour la protection des données personnelles (RGPD) en mai 2018.

La même année 2020, au tournant du siècle, la reconnaissance légale de l’écrit électronique au même titre que l’écrit sur support papier, par la loi du 13 mars 2000, a introduit de grands changements dans l’organisation de l’archivage, en favorisant les projets de dématérialisation et surtout la production et la réception de documents engageants produits et validés directement sous forme numérique.

20 ans d’expérience

L’activité d’Archive17, au cours des vingt dernières années, a touché une centaine d’entreprises et d’organisations : grands groupes principalement, mais aussi des établissements publics, et des institutions nationales et internationales.

Les missions d’Archive17, toujours autour de cette philosophie de contrôle de l’information engageante dans la durée (autrement dit le records management), ont été cependant diversifiées:

  • audits d’organisation documentaire et archivistique (coûts, rationalisation des tâches)
  • études pour la GED (gestion électronique des documents) et l’archivage numérique
  • quelques projets d’organisation et d’inventaire d’archives historiques, en articulation avec la production documentaire,
  • accompagnement de projets d’archivage managérial et rédaction de politique d’archivage
  • et, de plus en plus, mise en œuvre d’une politique d’archivage avec la méthode Arcateg™

Archive17 a aussi conduit des activités de formation, animées par Marie-Anne Chabin (quelques centaines de participants au total), et des travaux de traductions des normes, notamment le modèle européen MoReq pour l’archivage électronique.

Les clients d’Archive17 – qu’ils en soient remerciés – ont constitué (de leur plein gré) un laboratoire de recherche de meilleures pratiques et d’expérimentation, que Marie-Anne Chabin a pu traduire dans plusieurs livres et dans de nombreux articles.

A partir de 2020

L’offre d’Archive17 est aujourd’hui axée sur la méthode Arcateg™ car il est impossible en 2020 de proposer à un client autre chose qu’Arcateg™, comme philosophie de gouvernance de l’information, comme référentiel de conservation ou comme méthode de gestion de projet documentaire. En effet, la simplicité de la méthode, combinée à la rigueur managériale et archivistique, est efficace.

Arcateg™ est une méthode maintenant bien connue et consolidée: des concepts solides, une grille prédéfinie de risques documentaires, un mode opératoire concret, des retours d’expérience qui mettent en évidence cette souplesse de la méthode, personnalisable à tout profil d’entreprise, tout en constituant un garde-fou pour résister au vertige des usines à gaz.

« Proposer à une entreprise de gouverner ses données à risques avec une autre méthode qu’Arcateg équivaudrait pour moi à proposer à quelqu’un d’allumer un feu avec deux silex alors que j’ai des allumettes dans ma poche ! » déclare Marie-Anne Chabin.

La méthode a été expliquée et décrite dans un livre publié il y a juste deux ans aux éditions Klog:

Des documents d’archives aux traces numériques. Identifier et conserver ce qui engage l’entreprise – La méthode Arcateg™.

Arcateg en 2020, c’est une philosophie, une méthode, une marque et un réseau de partenaires dans quatre pays:

  • C3 (Canada)
  • Mosaik.ly (France)
  • LabGroup (Luxembourg)
  • Alp’info (Suisse)

Un mot-clé: simplicité

Le point fort d’Arcateg, il faut le répéter, c’est sa simplicité, enracinée dans une réflexion très rigoureuse.

Avec la crise mondiale que nous traversons en cette année 2020, pour réussir la réorganisation des entreprises qu’imposent le confinement et le télétravail, la simplicité est un atout. Parce que les entreprises doivent faire face à des nombreuses exigences, les modalités de gestion de l’information à risque doivent être encore plus simples pendant cette période, pour avancer, pour ne pas subir le désordre des systèmes d’information.

Il faut :

  • tracer efficacement les décisions et les actions engageantes vis-à-vis des autorités et vis-à-vis de tiers,
  • conserver ce qui doit être conservé et jeter ce qui est inutile,
  • retrouver facilement l’information que l’on cherche, mais une information pertinente et contextualisée, une information complète et de qualité.

Cela ne s’improvise pas.

Arcateg, associée à C3 et Mosaik.ly, est la bonne réponse à vos interrogations.

Cet article Archive17 a 20 ans est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
https://www.marieannechabin.fr/arcateg/2020/04/15/archive17-a-20-ans/feed/ 2
Le principe de subsidiarité appliqué à l’archivage numérique https://www.marieannechabin.fr/arcateg/2020/02/24/le-principe-de-subsidiarite-applique-a-larchivage-numerique/?utm_source=rss&utm_medium=rss&utm_campaign=le-principe-de-subsidiarite-applique-a-larchivage-numerique Mon, 24 Feb 2020 17:23:56 +0000 https://www.marieannechabin.fr/arcateg/?p=4967 par Marie-Anne Chabin, 24 février 2020 Le propos de ce billet est de démontrer que la meilleure façon de réussir aujourd’hui la mise en sécurité de l’ensemble des documents et données qui engagent la responsabilité d’une entreprise est d’appliquer au domaine de l’archivage le principe de subsidiarité. Quand je dis « aujourd’hui », je veux dire au…

Cet article Le principe de subsidiarité appliqué à l’archivage numérique est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
par Marie-Anne Chabin, 24 février 2020

Le propos de ce billet est de démontrer que la meilleure façon de réussir aujourd’hui la mise en sécurité de l’ensemble des documents et données qui engagent la responsabilité d’une entreprise est d’appliquer au domaine de l’archivage le principe de subsidiarité.

Quand je dis « aujourd’hui », je veux dire au XXIe siècle, c’est-à-dire dans un environnement où les documents et informations engageantes sont pour leur grande majorité nativement numériques, dans une société connectée voire hyperconnectée.

Mais avant d’aller plus loin, il est utile de définir plus précisément les deux termes de l’argument : archivage et subsidiarité.

Le principe de subsidiarité

Le mot subsidiarité vient de subsidiaire, c’est-à-dire de quelque chose qui vient en plus, à l’appui d’un élément principal pour le compléter, le conforter voire le suppléer.

Le principe de subsidiarité est un principe politique mis notamment en avant dans l’organisation européenne (depuis le traité de Maastricht de 1992) pour répartir les compétences entre l’Union et les États membres. L’idée est que, pour les compétences partagées, l’Union Européenne, en tant qu’échelon hiérarchique supérieur, n’agit que si son action est plus efficace que celle conduite au niveau des États ou des régions. En cas de défaillance de l’échelon inférieur, l’échelon supérieur s’entremet pour mener à bien l’opération délaissée.

Le principe de subsidiarité vise à  » assurer une prise de décision la plus proche possible du citoyen en vérifiant que l’action à entreprendre au niveau européen est justifiée par rapport aux possibilités qu’offre l’échelon national, régional ou local » (dico du commerce international).

Le principe de subsidiarité s’oppose à un pouvoir centralisé et surtout centralisateur. Dans le contexte européen, l’objectif est d’éviter une prise de décision trop éloignée des citoyens et de leurs instances exécutives. Il s’agit de « ne pas déconnecter la prise de décision publique de ceux qui devront la respecter. C’est en somme la recherche du niveau hiérarchique pertinent auquel doit être conçue une action publique » (Wikipedia).

L’archivage

Le sens le plus évident de l’archivage est le fait d’archiver, c’est-à-dire le geste consistant à affecter un document qui présente une certaine valeur à un système capable de le conserver, de le protéger et de permettre sa consultation pendant tout le temps nécessaire. J’ai un document important pour moi, je l’archive, il est archivé.

L’archivage s’entend aussi comme une démarche plus globale d’organisation de tous les gestes visant à faire gérer tous les documents d’une entreprise par un système propre à les gérer jusqu’à ce qu’ils perdent toute valeur justifiant leur conservation pour leur propriétaire. C’est le sens de l’expression politique d’archivage.

Le point à souligner est la responsabilité de l’entreprise dans cette affaire : la politique d’archivage n’a vraiment de sens que si elle embrasse toute l’information à valeur d’archives, c’est-à-dire toute l’information dont la mauvaise gestion (perte, diffusion inappropriée, modification inopportune, destruction intempestive, conservation indue…) pourrait conduire à une perte financière pour l’entreprise (manque à gagner, sanction pécuniaire) ou à une perte d’image (manque de fiabilité, manque de sérieux).

Avec la reconnaissance légale de l’écrit électronique au même titre que l’écrit papier il y a déjà vingt ans, la proportion de l’information engageante produite et reçue sous forme numérique a dépassé les 80%. Créés sous forme numérique ces documents et données doivent donc, sauf exception spécifique, être archivés électroniquement, c’est-à-dire que les supports de l’information doivent être mis en sécurité dans la durée dans des systèmes qui garantissent les exigences de sécurité, d’accès et de pérennité pendant la durée de conservation définie.

Application à l’archivage managérial / records management dans l’environnement électronique

La transposition du principe de subsidiarité à l’organisation de l’archivage m’apparaît chaque année plus pertinente. Pourquoi ?

La première raison, négative, est que la centralisation en matière d’archivage électronique n’est ni efficiente ni pertinente. Les solutions logicielles et matérielles communément appelées « systèmes d’archivage électronique » (SAE) se sont développées depuis une vingtaine d’années, en s’appuyant sur les normes nationales et internationales de records management dans l’environnement numérique (MoReq, ICA-Req-ISO 16175) ou de conservation numérique sécurisée (OAIS-ISO 14721, NF Z42-013 et circulaires ministérielles sur la gestion des archives publiques). Elles offrent des avantages certains, notamment en termes de formats et de pérennité; mais elles présentent certains inconvénients dans la mise en œuvre de l’archivage, notamment un fonctionnement sur un mode centralisateur: les fichiers numériques sont collectés ou versés dans un outil unique qui, dès prise en charge, applique aux archives ses propres critères de gestion, exactement comme on le faisait naguère pour les archives papier, regroupées physiquement dans un magasin de stockage avec les procédures archivistiques associées. Or, la centralisation physique des documents, indispensable pour retrouver rapidement des archives dans le monde papier, est secondaire dans l’environnement numérique où l’accès à l’information se fait par le moyen d’un outil informatique, sans question de distance matérielle entre le lieu de stockage et l’utilisateur. C’est pour cette raison que la communauté des records managers anglo-saxons a théorisé, il y a quelques décennies déjà, la notion de post-custodialism (voir le billet Custodialité). La même idée est développée par MoReq2010, malheureusement peu utilisé, qui souligne la nécessaire inversion du modèle d’archivage : mettre les règles d’archivage dans les applications métiers au lieu de continuer et transférer les documents dans des systèmes d’archivage indépendants.

Par ailleurs, à la relative homogénéité et la solidité des formats papier a succédé une hétérogénéité et une fragilité des formes numériques qui complexifient les traitements à l’entrée du SAE. Enfin, l’accès à l’information via le SAE peut être contraignant dans la mesure où il s’opère souvent avec une interface et des modalités de recherche différentes, de sorte que les utilisateurs préfèrent faire des copies de leurs fichiers versés dans le système centralisé pour pouvoir continuer à y accéder facilement ; cette pratique augmente les volumes gérés et génère un problème de fiabilité de l’information (quelle est la bonne version?). Certes, les « SAE » à la française, qui prennent généralement les fichiers en charge « à la fin de leur utilisation courante » limitent le problème de l’accès utilisateur mais, justement, ce faisant ils ne font pas de « records management » car le records management suppose de gérer le cycle de vie des documents engageants dès leur création. Ces SAE ne répondent pas non plus au besoin de pilotage de durées de conservation des données à caractère personnel réclamées par le RGPD, là encore dès la création ou la collecte des données, c’est-à-dire dès le premier traitement. L’archivage étant une affaire de management découlant de la responsabilité de conserver ou détruire telle information, le réduire à la conservation matérielle de ce qui n’est plus utilisé s’apparente plus à du stockage sécurisé qu’à une véritable gestion de la valeur d’archives.

La seconde raison est qui me conduit au principe de subsidiarité pour l’archivage est positive. La production de l’information engageante étant dispersée dans l’entreprise (pour ne pas dire décentralisée), il est important de la gérer au plus près des acteurs concernés. La multiplicité des acteurs dont l’action engage l’entreprise au quotidien, la variété des applications métiers qui gèrent les données et produisent les fichiers engageants, la diversité des risques associés à une mauvaise gestion de l’information, tout cela plaide pour une organisation d’archivage souple et ajustée aux besoins et aux collaborateurs. L’objectif fondamental est que, dès qu’une information est identifiée comme engageante, elle puisse recevoir, dans l’outil où elle est créée, la règle de sécurité et de conservation qui correspond au risque qu’elle porte. Si l’outil initial n’est pas en mesure d’assurer la règle (que ce soit en termes de sécurité, d’accès aux utilisateurs concernés, ou de pérennité, particulièrement si la durée de conservation excède dix ans), le responsable de l’archivage de l’entreprise devra remédier à ce défaut et apporter son appui (subside) au gestionnaire direct de l’information, avec plusieurs types d’interventions :

  • faire appel un nouvel outil plus approprié ;
  • améliorer les fonctionnalités de l’outil initial, par exemple lors d’une mise à jour logicielle ou d’un renouvellement d’outil ;
  • modifier la procédure de production et gestion de l’information par l’utilisateur.

Ainsi, le principe de subsidiarité appliqué à l’archivage consiste donc à :

  • réaffirmer la compétence du responsable de l’archivage, attaché à la direction générale, sur l’ensemble des documents et données appartenant à l’entreprise et engageant sa responsabilité dans la durée (quel que soit le support de l’information et son lieu de stockage);
  • responsabiliser les acteurs immédiats (collaborateurs qui créent et/ou utilisent l’information, administrateurs de l’applications métiers) sur la règle de vie attachée à tout fichier envoyé ou reçu ;
  • auditer régulièrement le périmètre documentaire de l’entreprise et le degré de satisfaction des exigences (sécurité, pérennité et accès) attachées aux documents et données, et remédier aux lacunes observées ;
  • proposer des évolutions plus globales du dispositif d’archivage (dispositif d’archivage = outils + règles + acteurs).

Mise en œuvre avec Arcateg™

Le principe de subsidiarité appliqué à l’archivage est une des idées-maîtresses de la philosophie Arcateg™ en tant que théorie et méthode de gouvernance de l’information.

Le référentiel de conservation Arcateg™, avec ses 100 catégories de conservation standard personnalisables à toute entreprise, met en application le principe de subsidiarité de la façon suivante :

  1. tous les documents et données à conserver pendant la même durée pour la même raison sont rattachés à une « catégorie de conservation » codifiée sur deux caractères (ex : Q2 = 10 ans pour les justificatifs comptables, R2 = 50 ans pour les justificatifs de la retraite) ;
  2. au sein de chaque catégorie, le référentiel précise les modalités d’application de la règle de durée pour chaque groupe ou série homogène de documents ou données : support/format de référence, règle de sécurité/confidentialité, modalités d’accès et, bien sûr outil(s) de conservation-hébergement-gestion de ce groupe de données (en général, quelques dizaines d’outils sont impliqués pour l’ensemble de l’entreprise) ;
  3. grâce à la codification des durées de conservation et à la normalisation des modalités d’application, le référentiel devient un véritable tableau de bord de l’archivage. Si l’outil de proximité donne satisfaction, il n’y a pas besoin d’en changer ; si ce n’est pas le cas, le responsable de l’archivage de l’entreprise doit évaluer qui ou quoi il faut suppléer, puis déclencher, le cas échéant, une reprise en main de l’archivage de cette série au niveau général de l’entreprise, avec le choix d’un outil dédié à une sécurité plus forte, ou à un accès optimisé, ou encore à une pérennité plus grande.

Face à la masse informationnelle susceptible d’engager la responsabilité d’une entreprise en cas de divulgation, de destruction prématurée ou de sur-conservation, gérer unitairement la vie de chaque document et de chaque fichier au sein d’un système unique est illusoire et inadapté. L’archivage, au XXIe siècle, c’est piloter un jeu de règles cohérentes couvrant pour l’exhaustivité du périmètre informationnel engageant et auditer en permanence la bonne application de ces règles, au plus près des intérêts de l’entreprise et au meilleur coût !

C’est exactement ce que permet Arcateg™: attribuer une règle de vie à tout objet d’information qui présente une valeur pour l’entreprise (les actifs informationnels et les données à risque), puis piloter l’application de cette règle au plus juste. L’audit permanent de l’état de l’archivage permet de dégager les priorités, aussi bien en termes de prévention qu’en termes de correction, avec les nécessaires arbitrages en cas de contraintes contradictoires.

Arcateg™ permet en outre d’instaurer des indicateurs pour faciliter la maîtrise des coûts et l’accompagnement des utilisateurs.

La collecte des archives d’intérêt historique et patrimonial est un autre sujet, avec des enjeux, des objectifs, et budgets et des méthodes différents.

Pour en savoir plus:

Marie-Anne Chabin, Des documents d’archives aux traces numériques. Identifier et conserver ce qui engage l’entreprise – La méthode Arcateg™, éditions KLOG, 2018

Cet article Le principe de subsidiarité appliqué à l’archivage numérique est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
Quelques remarques sur la méthode Arcateg https://www.marieannechabin.fr/arcateg/2019/09/02/quelques-remarques-sur-la-methode-arcateg/?utm_source=rss&utm_medium=rss&utm_campaign=quelques-remarques-sur-la-methode-arcateg Mon, 02 Sep 2019 15:04:04 +0000 https://www.marieannechabin.fr/arcateg/?p=4948 De l’archivage à la gouvernance des données (et réciproquement) Mon livre Des documents d’archives aux traces numériques. Identifier et conserver ce qui engage l’entreprise – La méthode Arcateg™, éditions KLOG a été publié au printemps 2018. Vous remarquerez que le mot « archivage » n’apparait pas dans le titre de l’ouvrage, du moins pas directement car il…

Cet article Quelques remarques sur la méthode Arcateg est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
De l’archivage à la gouvernance des données (et réciproquement)

Mon livre Des documents d’archives aux traces numériques. Identifier et conserver ce qui engage l’entreprise – La méthode Arcateg™, éditions KLOG a été publié au printemps 2018.

Vous remarquerez que le mot « archivage » n’apparait pas dans le titre de l’ouvrage, du moins pas directement car il faut rappeler que ARCATEG signifie « ARchivage par CATEGories ». Mais il faut préciser aussi que les fondamentaux théoriques et les modalités pratiques d’Arcateg™ vont bien au-delà de ce que la plupart des gens nomment « archivage ».

Bords de Seine…

Il existe aujourd’hui dans la société une certaine confusion des concepts et des mots autour de la gestion de l’information. Dès lors que l’information, notamment du fait des technologies de l’information, concerne un nombre croissant de professionnels et de profils d’acteurs, cette confusion de surface est inévitable. Certains, parlant d’archivage, pensent stockage ou sauvegarde, d’autres déménagement et logistique, d’autres tri des archives pour l’histoire, etc. Inversement, il y a des gens qui pratiquent l’archivage (i.e. la mise en sécurité dans la durée avec une finalité explicite) mais qui n’utilisent pas le mot ou qui l’utilisent pour autre chose, par exemple dans le contexte du RGPD où l’archivage managérial – le records management – est central bien que ce ne soit pas écrit dans le règlement… Ah la la! On arrive ainsi à une sorte de « lac de concepts » où les espèces théoriques et matérielles se fondent dans le courant d’une eau agitée par les vents de la mode et de la technologie. Derrière ces remous, les réalités sont têtues (comme les faits pour Lénine!).

La réalité est que:

  • les données, sous forme de fichiers ou de documents, engagent la responsabilité de leur propriétaire et/ou détenteur qu’est l’entreprise, sans considération de support, de lieu de stockage ou de date;
  • on ne peut gérer efficacement la sécurité et la durée de conservation d’une information si on ne gère pas l’ensemble des exemplaires de cette information, sous forme de copies intégrales des fichiers ou des documents ou sous forme de redondance partielle de l’information dans des fichiers ou documents distincts créés avant, après ou parallèlement au fichier ou au document initial;
  • une information n’a pas la même valeur si elle est isolée ou si elle est rapprochée ou rapprochable d’autres informations (les technologies actuelles rendent ce risque plus élevé que jamais);
  • etc.

Pour parler un langage plus commun et éviter le mot archivage pour ceux qui ne lui donne pas le même sens que moi, je dirai donc qu’Arcateg est une méthode de pilotage global des risques liés à la gestion de l’information dans l’espace et dans la durée au regard de la responsabilité civile, pénale, managériale et sociétale de l’entreprise, ce que l’on peut dénommer avec moins de mots « gouvernance des données ». CQFD.

Trois constats

18 mois après la publication de mon livre, je fais un triple constat.

Constat n° 1. Intérêt croissant pour la méthode

Je me réjouis de constater la diversité des profils professionnels qui s’intéressent à Arcateg: chef de projet gestion de contenu (ECM) et dématérialisation, délégué à la protection des données (DPO), éditeur de logiciel, responsable de la sécurité de l’information, consultant en gestion de l’information et records management, commercial qui cherche à structurer le besoin de ses clients en gestion de l’information, responsable de collections patrimoniales, chercheur universitaire, ingénieur en intelligence artificielle, etc. et bien sûr, tous ceux dont le libellé de fonction comporte un mot commençant par archiv-.

Ce qui séduit d’abord mes interlocuteurs, c’est la simplicité du modèle Arcateg™, le fait que les 100 catégories prédéfinies permettent de réaliser en quelques jours une première cartographie des données engageantes d’une entreprise, ce qui donne immanquablement du relief et du sens à tout projet lié à la gestion, la sécurité ou l’exploitation de l’information. Cette simplicité est consolidée par la dimension universelle du référentiel (applicable dans toute entreprise, quels que soient son activité, sa taille, son implantation géographique et son histoire). La rigueur, aussi bien que la souplesse de la méthode sont dues à cette simplicité.

Constat n° 2. Absence de méthode concurrente

Depuis le début de ma réflexion sur la méthode, il y a une quinzaine d’années, je cherche à savoir s’il existe une autre méthode de gouvernance systématique de l’information à laquelle je puisse comparer Arcateg™ mais je n’en ai pas trouvé. Bien sûr, il y a les normes (ISO 15489 sur le records management pour n’en citer qu’une) mais une norme n’est pas vraiment une méthode. Bien sûr, il existe des cadres de classement codifiés dans les archives publiques d’autrefois mais ces référentiels de classement ne touchent qu’un pan de la gestion de l’information. Bien sûr il existe des méthodes d’analyse des risques, comme EBIOS, mais elles ne visent pas le management de l’information (données et documents) en tant que telle. Bien sûr il y a des bonnes pratiques, qui sont parfois efficaces, dont certaines sont décrites dans des ouvrages, mais de bonnes pratiques ne constituent de facto pas une méthode, dans la mesure où on peut suivre telle bonne pratique et pas telle autre selon son goût ou selon le contexte. Une méthode n’est pas un menu de possibilités dans lequel on puise des idées mais un jeu complet et cohérent de concepts et de modes opératoires, avec une certaine logique (je n’ose pas dire philosophie mais je pourrais) et pour un certain résultat, avec un certain concept de base (la catégorie de conservation pour Arcateg™). À titre de comparaison dans un autre domaine, on voit bien que l’application partielle et non contrôlée de la méthode Montessori en éducation est sujette à caution; si les utilisateurs modifient ou ne respectent pas la méthode, ce n’est plus la méthode et ils ne pourront pas se réclamer de la méthode. Autre exemple, si on joue au bridge en changeant les règles ou en supprimant la moitié, cela reste un jeu de cartes, sans doute intéressant et amusant, mais ce n’est pas le bridge.

Donc, je n’ai pas trouvé de méthode concurrente d’Arcateg™, c’est-à-dire une autre méthode, complète, qui vise la même finalité; je n’en ai trouvé ni sur le marché ni dans le secteur public. Il pourrait y en avoir, avec un cadre référentiel différent, avec le critère de sécurité placé avant le critère de conservation, avec un concept central basé sur le contenu plutôt que sur le rôle que joue l’information, ou que sais-je encore. J’aimerais bien qu’il y en eût, car cela permettrait une comparaison et, par conséquent, une émulation. Peut-être un jour…

Constat n° 3. Manque de partage de pratiques

Enfin, je constate que, en dépit de son contenu très rigoureux (vocabulaire, codification, incompatibilités énoncées, etc.), la méthode Arcateg™ laisse la possibilité à de nombreuses variantes d’application. Ce constat m’inspire deux remarques:

  1. avec quelques dizaines de projets Arcateg™ à ce jour, dans des structures très variées, il serait intéressant de constituer une communauté Arcateg™ pour faire vivre et prospérer les bonnes pratiques au sein de la méthode;
  2. parallèlement, il est souhaitable d’organiser des partages autour de la méthode pour identifier les mauvaises pratiques, non seulement dans l’intérêt de la méthode elle-même (éviter une dénaturation dommageable) mais aussi pour les utilisateurs afin qu’ils ne s’égarent pas dans des impasses méthodologiques. En effet, j’ai pu voir incidemment l’emberlificotage de morceaux d’Arcateg™ avec des pratiques issues d’une logique opposée, donnant un résultat complexe et sans valeur ajoutée. Pour imager mon propos, c’est comme si une personne, à qui on demande si elle veut du thé au lait, du thé au citron ou du thé à la menthe, répondait: les trois à la fois, dans l’espoir que la douceur du lait, l’acidité du citron et la saveur de la menthe combinées pourraient produire le meilleur des thés…

Session Arcateg™ des 14 et 15 octobre 2019

Alors, pourquoi ne pas participer à la formation « Pratiquer la méthode Arcateg™ » les 14 et 15 octobre prochain à Paris, et:

  • s’exercer au maniement de la méthode avec une étude de cas
  • tester le champ d’application de la méthode: gouvernance des données, ECM, RGPD, dématérialisation, gestion des archives…
  • évaluer et chiffrer le ROI (retour sur investissement) d’Arcateg : fiabilité, gain de temps, reporting.

Pour ne pas monopoliser la parole, voici un témoignage d’un participant à la précédente session:

« Une formation très éclairante : M.A Chabin propose une   présentation simple, claire et précise des principes de la méthode Arcateg. Son exposé s’appuie sur de nombreux exemples concrets. Je suis venue avec de nombreuses questions, et repartie avec des solutions, et surtout des idées et des pistes pour l’application du RGPD dans mon entreprise ». 

Pour toute question, n’hésitez pas à me contacter marie-anne.chabin@archive17.fr

ou à contacter les partenaires d’Arcateg™

Cogniva

Mosaïk.ly

Labgroup

Aerow

Cet article Quelques remarques sur la méthode Arcateg est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
Durée de conservation du bulletin de salaire (suite) https://www.marieannechabin.fr/arcateg/2019/05/25/duree-de-conservation-du-bulletin-de-salaire-suite/?utm_source=rss&utm_medium=rss&utm_campaign=duree-de-conservation-du-bulletin-de-salaire-suite https://www.marieannechabin.fr/arcateg/2019/05/25/duree-de-conservation-du-bulletin-de-salaire-suite/#comments Sat, 25 May 2019 15:44:36 +0000 http://www.arcateg.fr/?p=4888 Combien de temps un employeur doit-il conserver les bulletins de salaire de ses employés? La question n’est pas nouvelle (voir l’article de Jean-Louis Pascon et ma réponse) mais n’est toujours pas limpide pour les entreprises. Cet article revient sur les textes réglementaires et notamment sur la différence de durée légale en fonction du support (papier…

Cet article Durée de conservation du bulletin de salaire (suite) est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
Combien de temps un employeur doit-il conserver les bulletins de salaire de ses employés?

La question n’est pas nouvelle (voir l’article de Jean-Louis Pascon et ma réponse) mais n’est toujours pas limpide pour les entreprises.

Cet article revient sur les textes réglementaires et notamment sur la différence de durée légale en fonction du support (papier ou numérique) au travers d’une analyse diplomatique (rôle et valeur de chaque exemplaire), avant de proposer une solution simple et réaliste aux problèmes rencontrés.

Retour sur la réglementation

Le code du travail comporte plusieurs dispositions relatives à la conservation du bulletin de salaire (ou bulletin de paie) par l’employeur:

Article D3243-8, créé par Décret n°2016-1762 du 16 décembre 2016 – art. 1 – L’employeur arrête les conditions dans lesquelles il garantit la disponibilité pour le salarié du bulletin de paie émis sous forme électronique :
-soit pendant une durée de cinquante ans ;
-soit jusqu’à ce que le salarié ait atteint l’âge mentionné au dernier alinéa de l’article L. 1237-5, augmenté de six ans.
En cas de fermeture du service de mise à disposition du bulletin de paie en raison de la cessation d’activité du prestataire assurant la conservation des bulletins de paie émis sous forme électronique pour le compte de l’employeur, ou de la cessation d’activité de l’employeur lorsque celui-ci assure lui-même cette conservation, les utilisateurs sont informés au moins trois mois avant la date de fermeture du service pour leur permettre de récupérer les bulletins de paie stockés.

Article L3243-4 (modifié par la loi n°2009-526 du 12 mai 2009 – art. 26) – L’employeur conserve un double des bulletins de paie des salariés ou les bulletins de paie remis aux salariés sous forme électronique pendant cinq ans.

Article L3243-2 (modifié par la loi n°2016-1088 du 8 août 2016 – art. 54) – Lors du paiement du salaire, l’employeur remet aux personnes mentionnées à l’article L. 3243-1 une pièce justificative dite bulletin de paie. Il ne peut exiger aucune formalité de signature ou d’émargement autre que celle établissant que la somme reçue correspond bien au montant net figurant sur ce bulletin. Sauf opposition du salarié, l’employeur peut procéder à la remise du bulletin de paie sous forme électronique, dans des conditions de nature à garantir l’intégrité, la disponibilité pendant une durée fixée par décret et la confidentialité des données ainsi que leur accessibilité dans le cadre du service associé au compte mentionné au 2° du II de l’article L. 5151-6. Un décret en Conseil d’Etat pris après avis de la Commission nationale de l’informatique et des libertés détermine les modalités de cette accessibilité afin de préserver la confidentialité des données. […]

Article R3243-5, créé par le décret n°2008-244 du 7 mars 2008 – art. (V) – Le bulletin de paie comporte en caractères apparents une mention incitant le salarié à le conserver sans limitation de durée.

Les utilisateurs sont mis en mesure de récupérer à tout moment l’intégralité de leurs bulletins de paie émis sous forme électronique, sans manipulation complexe ou répétitive, et dans un format électronique structuré et couramment utilisé.

Art. R. 3243-9.-Le service en ligne associé au compte personnel d’activité, mentionné au 2° du II de l’article L. 5151-6, permet au titulaire du compte de consulter tous ses bulletins de paie émis sous forme électronique.
L’employeur ou le prestataire agissant pour son compte doit garantir l’accessibilité des bulletins de paie émis sous forme électronique par ce service en ligne. »

Article L5151-6 (modifié par l’ordonnance n°2018-470 du 12 juin 2018 – art. 9) concernant le compte personnel d’activité – Chaque titulaire d’un compte personnel d’activité peut consulter les droits inscrits sur celui-ci et peut les utiliser en accédant à un service en ligne gratuit. Ce service en ligne est géré par la Caisse des dépôts et consignations, sans préjudice de l’article L. 4162-11. La Caisse des dépôts et consignations et la Caisse nationale d’assurance vieillesse concluent une convention définissant les modalités d’articulation des différents comptes et de mobilisation par leur titulaire.
II.-Chaque titulaire d’un compte a également accès à une plateforme de services en ligne qui: 1° Lui fournit une information sur ses droits sociaux et la possibilité de les simuler; 2° Lui donne accès à un service de consultation de ses bulletins de paie, lorsqu’ils ont été transmis par l’employeur sous forme électronique dans les conditions mentionnées à l’article L. 3243-2; etc.

Pourquoi 5 ans en papier et 50 en électronique? Explication diplomatique

Les responsables de la paie et de l’archivage dans les entreprises sont, à juste titre, un peu perdus au milieu de cette réglementation quelque peu floue et qui mérite explication.

Un premier point est la (con)fusion entre le double et l’original.

Il y a cent ans, il n’y avait pas de bulletin de salaire (c’est la loi du 4 mars 1931 qui impose la production d’une pièce justificative des cotisations salariales). Les salaires étaient inscrits dans un registre dans lequel les salariés émargeaient le jour de la paie.

Au cours des décennies suivantes s’est mis en place peu à peu le système observable dans la majorité des entreprises au début du 21e siècle, à savoir:

Le décret de 2016 qui introduit l’obligation pour l’employeur de garantir la disponibilité du bulletin de paie émis sous forme électronique pendant 50 ans ou (pour faire simple) jusqu’aux 70 ou 75 ans du salarié manque singulièrement de clarté car sa formulation laisse la place à plusieurs scénarios en termes d’archivage et de services:

Une vraie proposition pour régler un faux problème

Plusieurs articles (par exemple celui-ci) pointent la lenteur avec laquelle le bulletin de paie dématérialisé se met en œuvre. Cette lenteur est compréhensible. On impose aux entreprises d’assumer une tâche (celle de conserver ou plutôt d’héberger et de maintenir accessibles les bulletins de salaire de leurs salariés pendant plusieurs décennies) alors que le bon sens suggère d’autres façons de faire.

Le schéma ci-après résume de manière simplifiée l’écosystème du bulletin de salaire, mettant en évidence la durée pendant laquelle le bulletin de salaire joue un rôle dans la relation entre chaque paire d’acteurs:

Il faut rappeler que la pratique d’un grand nombre d’entreprises de conserver les bulletins de salaire (papier) pendant cinquante ou soixante ans, sans obligation légale, est liée à la demande des caisses de retraite dans 99% des cas (il y a toujours des exceptions, que je regroupe dans le 1%).

Certes, la dématérialisation du bulletin de salaire est importante. Mais il y a un événement encore plus important dans l’écosystème, c’est la consolidation des bases de données des caisses de retraites qui sont aujourd’hui en mesure d’identifier les lacunes de leurs données et de simuler en quelques heures le montant de la retraite d’un salarié approchant de sa fin de carrière. J’ai lu beaucoup de choses sur le bulletin de salaire dématérialisé et pas grand-chose sur la finalité d’une conservation à long terme, sur l’évolution des statistiques dans la recherche d’anciens bulletins (trouvés ou pas, où?, conséquences pour le salarié, etc.), sur la pertinence de la conservation maximale par l’entreprise ou les coûts de tout cela.

Deux autres changements significatifs des dernières décennies sont d’une part le recul de la longévité des entreprises avec les cessations, les rachats, les fusions, etc., d’autre part la mobilité, forcée ou volontaire, des salariés qui, au cours de leur vie professionnelle, relève successivement de plus d’employeurs qu’autrefois.

On fait jouer aux entreprises un rôle de service au bénéfice de ses anciens employés qui ne relève pas des missions de l’entreprise mais des missions de l’administration.

Au moment on agite à droite et à gauche le drapeau rouge du RGPD, cette organisation tordue peut paraître contradictoire. Quid si un salarié refuse que son ex-entreprise, qu’il a quitté dans une relation de défiance, conserve au-delà des 5 ans légaux, ses données de salaire? Peut-on raisonnablement demander à salarié d’informer régulièrement ses anciens employeurs de ses changements de coordonnées dans le seul but que celui-ci puisse exercer son obligation de le prévenir que le service qui lui fournit mais qu’il n’utilise pas parce qu’il est encore loin de la retraite?

La conclusion de cette observation est que les caisses de retraite sont aujourd’hui l’acteur social le plus approprié pour la conservation des bulletins de salaire, ou du moins des données du bulletin de salaire, en attendant que leur dernier usage (validation des droits de retraite) soit passé. Les priorités sont donc aujourd’hui, non pas d’installer de coûteuses usines à gaz dans les entreprises, mais de développer pour chaque entreprise les procédures de vérification de la complétude des données détenues par les caisses concernées et de compléter les transmissions de données en cas de lacune.

Finalement, j’ai une seule interrogation: pourquoi faire simple quand on peut faire compliqué?

Cet article Durée de conservation du bulletin de salaire (suite) est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
https://www.marieannechabin.fr/arcateg/2019/05/25/duree-de-conservation-du-bulletin-de-salaire-suite/feed/ 2
L’étoile Arcateg et le RGPD https://www.marieannechabin.fr/arcateg/2019/01/18/letoile-arcateg-et-le-rgpd/?utm_source=rss&utm_medium=rss&utm_campaign=letoile-arcateg-et-le-rgpd Fri, 18 Jan 2019 13:29:32 +0000 http://www.arcateg.fr/?p=4817 Le RGPD conduit les entreprises à devoir justifier l’existence de données à caractère personnel dans leur système d’information, au sens large, qu’il s’agisse des applications gérées directement par la DSI ou sous-traitées, ou qu’il s’agisse des serveurs bureautiques ou de messagerie (où il y a souvent autant à boire qu’à manger…), en incluant aussi les…

Cet article L’étoile Arcateg et le RGPD est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
Le RGPD conduit les entreprises à devoir justifier l’existence de données à caractère personnel dans leur système d’information, au sens large, qu’il s’agisse des applications gérées directement par la DSI ou sous-traitées, ou qu’il s’agisse des serveurs bureautiques ou de messagerie (où il y a souvent autant à boire qu’à manger…), en incluant aussi les documents papiers et audiovisuels gérés par l’entreprise.

Qualifier les données

Pour justifier de l’existence des données à caractère personnel, il faut d’abord identifier ces données, les distinguer de celles qui ne présentent pas de caractère personnel, les qualifier en termes de traitement, de contexte, de personnes concernées, des destinataires, de risques.

En effet, comment attribuer une durée de conservation et une règle de sécurité à telle ou telle donnée dans un système d’information, sans désigner concrètement l’objet informationnel (fichier, document, enregistrement) auquel cette donnée appartient? Une donnée isolée – déconnectée d’un traitement et dissociée des autres données qui tracent avec elle, solidairement, une action réalisée tel jour à tel endroit par tel personne – une donnée isolée donc ne signifie rien en soi et ne saurait recevoir valablement une durée de conservation et une règle de sécurité. Par exemple, la question « Dois-je conserver cette adresse e-mail au regard du RGPD? » n’a guère de sens. Une adresse mail ne peut être gérée au regard du RGPD (ou au regard de l’archivage managérial) si on ne sait pas à qui elle se rapporte, d’où elle sort, et à quoi elle est susceptible de servir.

Pour qualifier les données, il y a deux approches:

  1. interroger a posteriori les données qui existent pour voir d’où elles proviennent (engagement contractuel, gestion administrative, activité légitime..);
  2. partir – a priori donc – de la finalité pour décrire quelles données sont nécessaires pour atteindre cette stricte finalité.

Dans les deux cas, on aura deux lots de données: celles dont l’existence et la conservation sécurisée sont justifiées, et les autres, les « non-données » en quelque sorte.

Finalités multiples

Le Règlement général pour la protection des données personnelles insiste, à bon droit, sur la finalité qui doit permettre de justifier la conservation.

Mais comment choisir la bonne durée pour les données qui relèvent de plusieurs finalités?

On met le plus souvent en avant les réponses juridiques et informatiques à cette question. Il existe une réponse complémentaire qui s’appuie sur la diplomatique (analyse de forme et de la validation des traces) et sur l’archivistique (gestion des volumes d’informations engageantes). Cette réponse consiste à identifier des objets de données cohérents et homogènes pour chaque finalité ( c’est-à-dire chaque risque), et retenir le risque le plus long en termes de conservation, en ajustant la durée de l’accès à l’information pour les utilisateurs impliqués dans les finalités plus courtes.

C’est là que l’étoile Arcateg aide à y voir plus clair. Ce support visuel et le raisonnement associé facilitent la critique et la mise en perspective des données liées à plusieurs finalités dans la durée. Il s’agit bien sûr de trouver le meilleur correctif au traitement de l’existant non conforme. Il s’agit aussi, et peut-être surtout, de penser « RGPD » pour mieux produire les données et mettre en place une gouvernance des données by design, avec une composante informationnelle forte.

L’étoile Arcateg peut être utilisée avec profit pour les structurées comme pour les données non structurées. Les données non structurées sont le plus souvent produites sans norme d’écriture et sans contrôle de l’agrégation des données; elles sont organisées dans l’intérêt immédiat de l’utilisateur, c’est-à-dire de manière thématique dans un but de recherche de contenu (avoir toute l’information sur une question, un produit, un lieu ou une personne, etc.) sans prise en compte de l’hétérogénéité de la valeur de ces données dans la durée. Quant aux données structurées dans des bases de données, la question de la durée de conservation des données dans l’intérêt de l’entreprise est régulièrement négligée par les éditeurs de solutions; la fonctionnalité la plus courante sur ce sujet est le masquage des métadonnées, le déréférencement, afin que les contenus n’apparaissent plus dans les résultats de recherche mais, dans le contexte de la cybercriminalité, ceci est insuffisant.

Visualiser les données

Depuis un an, on observe que la principale difficulté des entreprises, dans la mise en œuvre du RGPD, réside dans le manque de visibilité des enjeux et du périmètre d’application. Le recensement des traitements et des données produit trop souvent des listes analytiques ou des tableaux très détaillés que l’on regarde en se disant: so what? Par quel bout prendre le problème?

L’étoile Arcateg offre une grille d’analyse visuelle basée sur l’identification des interlocuteurs de l’entreprise, de trois niveaux de risques et de quatre types de durées de conservation. Le maniement de l’étoile, guidé par le modèle Arcateg (archivage par catégorie) qui définit les 100 valeurs, universelles et pérennes, que peuvent avoir les données de l’entreprise.

L’objectif est de donner à voir les enjeux du RGPD dans VOTRE entreprise, avec ce qu’elle a de commun avec toutes les entreprises et aussi ce qu’elle a de spécifique. Sur la base de cette cartographie, la production du fameux « registre des traitements » (article 30 du RGPD) sera plus facile et plus efficiente.

C’est le sens de la journée du 7 mars 2019, proposée par Archive17. En savoir plus.

 

Cet article L’étoile Arcateg et le RGPD est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
Le RGPD et les données de don https://www.marieannechabin.fr/arcateg/2018/12/12/le-rgpd-et-les-donnees-de-don/?utm_source=rss&utm_medium=rss&utm_campaign=le-rgpd-et-les-donnees-de-don Wed, 12 Dec 2018 10:59:26 +0000 http://www.arcateg.fr/?p=4799 Le RGPD est une affaire de longue haleine. Une fois les grands principes assimilés (consentement, accountability), une fois les grandes règles prises en compte (registre des traitements, mesures de sécurité), la mise en œuvre au quotidien soulève diverses questions d’aspect pratique telle que le lien concret entre les données et la durée de conservation à…

Cet article Le RGPD et les données de don est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
Le RGPD est une affaire de longue haleine. Une fois les grands principes assimilés (consentement, accountability), une fois les grandes règles prises en compte (registre des traitements, mesures de sécurité), la mise en œuvre au quotidien soulève diverses questions d’aspect pratique telle que le lien concret entre les données et la durée de conservation à leur appliquer.

Mise en perspective de la question

Il faut insister – on ne le dit pas assez – sur le fait qu’appliquer une durée de conservation à une donnée (isolée, unitaire) n’a guère de sens. Une donnée toute seule, même un nom de personne ou un numéro de carte bancaire, ne signifie rien. La signification, donc l’utilisation (licite ou non), n’apparaît qu’avec l’agrégation de plusieurs données, soit dans l’identification des éléments qui décrivent une action (un paiement par exemple), soit dans la documentation d’un objet ou d’une personne en prévision d’une action (les données de santé d’un patient ou l’historique des achats d’un client).

Un des enjeux du RGPD est donc d’identifier à quel groupe de données s’applique telle durée de conservation. C’est une des valeurs ajoutées de la méthode Arcateg sur les habituelles listes de types de données ou de noms de documents qui trop souvent s’arrêtent au milieu du gué…

Une personne de mon réseau vient de me poser la question de la durée de conservation des données figurant dans les « bulletins de don » à des œuvres humanitaires ou caritatives. Les données des bulletins reçus et les paiement joints sont saisis dans une base de données et traitées pour différentes finalités: gestion des dons, édition d’un reçu fiscal pour le donateur, contact ultérieur du donateur pour un nouvel appel, etc. S’agit-il de données fiscales (durée de conservation coutumière de 6 ans) ou de données comptables (que l’on garderait alors 10 ans selon la durée légale)? La nature de ces données n’est pas nouvelle. L’intérêt d’attribuer aux documents une durée de conservation pour une bonne maîtrise de l’archivage n’est pas nouveau. L’exigence de veiller à la protection des données personnelles n’est pas nouvelle car elle figure déjà dans la loi de 1978 qui a créé la CNIL (Commission nationale Informatique et Libertés). Ce qui est nouveau, c’est l’impact du RGPD dans la société, avec la prise de conscience de la responsabilité des entreprises, la reconnaissance du droit des personnes sur leurs données, et le risque à ne pas gérer l’information engageante (créatrice de droits et d’obligations) et/ou sensible (confidentielle, personnelle) collectée, exploitée ou transmise à un tiers. En conséquence, la question de la durée de conservation des données remonte un peu sur le dessus de la pile.

Chercher la durée de conservation de telles ou telles données en cliquant sur Internet dans l’espoir de trouver une réponse toute faite dans une liste ou un tableau prédéfini est une illusion, pour trois raisons:

  1. il n’existe pas de listes exhaustives et fiables des durées de conservation en entreprise (et il ne peut pas en exister!);
  2. un nom de document est insuffisant à définir sa valeur dans un contexte donné: deux documents portant la même appellation peuvent contenir des informations différentes; les mêmes données peuvent exister ailleurs, en totalité ou en partie; le document lui-même peut exister en double, en plusieurs versions, en plusieurs copies ; or, la gestion d’un exemplaire de référence sans prendre en compte l’existence d’autres exemplaires – que ce soit pour la valeur de preuve ou le besoin d’information – est partielle.
  3. le risque de conserver ou détruire des documents/données ne s’apprécie pas de la même façon d’une entreprise à l’autre car l’environnement, les enjeux, les usages ne sont pas les mêmes.

Et quand on s’intéresse à comment font les autres, on réalise que les pratiques sont très hétérogènes (du reste, il ne faudrait pas conclure trop vite que cette hétérogénéité est illégitime, mais c’est un autre sujet). Le RGPD le dit: c’est à chaque entreprise de justifier de la conservation de ces données. Il ne faut pas copier son voisin; il faut réfléchir! Ceci est vrai en général et donc dans ce cas particulier des données relatives aux donateurs et aux dons à une association.

Raisonnement Arcateg sur les données relatives aux dons aux associations

Arcateg invite à aborder la question à partir de la relation au sein de laquelle les documents (au sens de groupe de données créé pour une finalité identifiée à un moment précis) sont créés et utilisés; puis, dans le contexte de cette relation, à procéder à l’analyse de risque de conservation ou de destruction des données liées à chaque interlocuteur en cause (émetteur, personne concernée, destinataire, autorité de contrôle, tiers) afin de formaliser la justification de la meilleure durée de conservation. C’est le principe de l’étoile Arcateg.

En l’occurrence, on peut distinguer quatre relations au sein desquelles les données et les documents qui les contiennent jouent un rôle:

  1. la relation entre le donateur et l’association (échange d’un don contre un reçu fiscal)
  2. la relation de l’association vers le donateur (appel aux dons)
  3. la relation entre l’association et les autorités de contrôle (prouver la transparence comptable et fiscale)
  4. la relation entre l’association en tant qu’entité juridique propriétaire des données et les héritiers de cette association, c’est-à-dire les membres de l’association dans le futur et le public en général (besoin de mémoire des activités de cette association).

Dans les quatre contextes, les données à caractère personnel sont issues du donateur et, vu que c’est lui (ou elle) qui a l’initiative du don et donc de la collecte des données par l’association, on peut en inférer qu’il donne non seulement son argent mais aussi son consentement. Ce consentement est cependant implicite pour cette seule finalité.

Nous avons donc quatre « objets » distincts à documenter:

  1. L’acte de don

Le seul risque, du point de vue du donateur, est de ne pas recevoir le reçu fiscal correspondant à son don ou de voir ce reçu contesté par l’administration fiscale. Le délai de contrôle fiscal étant, pour les particuliers, de trois ans, on peut fixer à trois ans la durée de conservation minimale de son bulletin par l’association. Du point de vue de l’association, il est possible d’émettre un reçu fiscal sur la foi des informations de sa base de données constituée à partir des bulletins de don reçus, même si les originaux des bulletins ont été détruits (il ne s’agit pas de copie fiable au sens du scan prévu par la norme NF Z42-026 mais d’une recopie des données par saisie dans un outil et dont la qualité aurait été contrôlée). C’est la même démarche que celle d’un DRH émettant une attestation pour un salarié à partir d’un SIRH et non des documents originaux qui ont servi à alimenter le SIRH, dès lors que ce DRH a suffisamment confiance dans son SIRH pour engager sa responsabilité à partir de la base de données.

Une fois la durée de conservation fixée et justifiée, il faut penser à l’appliquer à tous les fichiers créés à partir de ces données et pas seulement aux documents envoyés par le donateur et à la base de données. Par exemple, certaines associations envoient des mails de confirmation de don, reprenant les mêmes données personnelles: ces mails doivent être gérés par ce même délai de destruction.

  1. La gestion du donateur

Les mêmes données d’identification du donateur, voire celles relatives aux modalités du don lui-même, peuvent être réutilisée par l’association dans le cadre de campagne marketing d’appel à un nouveau don. Pendant combien de temps est-ce « licite »? Par défaut d’autres exigences, on peut fixer le délai de 5 ans, qui est à la fois le délai de prescription civile (code civil, article 2224) et le délai de prescription commerciale (code de commerce, article L110-4). Les « autres exigences » peuvent être tout simplement la volonté du donateur, exprimée à son initiative ou sollicitée au travers du formulaire de don.

  1. La gestion du don (l’argent)

Les données relatives au don sont gérées par la comptabilité de l’association: bordereaux de chèques pour la banque, saisie des recettes dans le SI comptable, relevés de banque. La durée légale de conservation des documents comptables est de dix ans (code de commerce, article L123-22) et le délai de contrôle fiscal est de trois si tout va bien mais de six ans voire de dix ans en cas d’irrégularité. Par ailleurs, il est souvent difficile, sur le terrain de dissocier la valeur de justificatif comptable et la valeur de justificatif du respect des obligations fiscales, sauf en matière de TVA et encore (mais dans le cas des dons aux associations, il n’est pas question de TVA). Dès lors, la « durée opérationnelle » de dix ans semble pertinente. Dans ce processus comptable, le lien au donateur peut être anonymisé car l’identité du donateur n’est pas nécessaire à la comptabilité en tant que telle. Quel est le risque à ne pas disposer de l’identification des donateurs pour la gestion du don proprement dit ? Le risque d’un chèque en blanc, d’un compte bloqué, d’une fraude, de blanchiment d’argent sale…? Ceci se traduirait principalement pour l’association par un manque à gagner, sauf si des membres de l’association étaient eux-mêmes impliqués dans une opération illégale…

  1. La mémoire des donateurs

Concernant la relation entre l’association et ses interlocuteurs futurs, bien qu’en marge des exigences de bonne gestion, la question de conserver durablement ou pas une liste, un registre des donateurs, ou du moins des principaux donateurs, peut se poser. On peut invoquer pour justifier ce choix la possibilité prévue par le RGPD de conservation à long terme dans le cadre d’un « traitement à des fins archivistiques dans l’intérêt public »; même quand il s’agit d’archives privées d’association, l’engagement humanitaire et caritatif relève de l’intérêt public. On peut imaginer que cette mémoire soit utilisée, dans longtemps, pour la communication de l’association par exemple, de même que certaines enseignes commerciales utilisent aujourd’hui d’anciennes (très anciennes) fiches clients pour la promotion de leurs produits.

La question de la conservation à long terme de données à caractère personnel pour cette finalité est évidemment indissociable de la question de l’accès, ou plutôt du « non-accès ». Autrement dit, la conservation « longue » est indissociable de la sécurisation de ces données pendant le temps de latence de leur non-utilisation, peut-être 30 ans (mais le délai général de prescription trentenaire a été supprimé par la loi du 17 juin 2008), ou en lien avec le délai de communicabilité de 75 ans prévu dans le code du patrimoine. Ce sujet est trop peu débattu.

Toutefois, quel que soit le souhait de l’association de garder une trace de ses donateurs dans un objectif de mémoire et de patrimoine informationnel pour demain, le consentement des personnes concernées (les donateurs) ne peut être aujourd’hui escamoté. Il est à prévoir que certains voudront rester anonymes (après émission du reçu fiscal) et que d’autres seront flattés par cet enregistrement. Il faut donc valider l’idée d’un tel registre, peut être limité à un certain montant, ou à une durée d’engagement ou selon un autre critère, puis, dans le cas où cette idée fait sens, obtenir le consentement des donateurs (via le bulletin de don). On peut aussi se contenter de statistiques et de témoignages.

Il va sans dire (mais ça va mieux en le disant) que si ces données sont gérées par un prestataire, le prestataire, comme sous-traitant, est co-responsable des traitements avec la direction de l’association.

En résumé

En conclusion, les durées de conservation des documents et données issues des dons aux associations pourraient être les suivants (avec le consentement des donateurs):

  • dossiers de don (« dossier » pour désigner un ensemble: le bulletin original, les données de contact, les modalités et montant du don, les courriers/mails associés): 3 ou 5 ans, selon que l’on retient le délai fiscal du donateur ou le délai de la relation commerciale;
  • justificatifs comptables et fiscaux: 10 ans, pour être pragmatique (en considérant que le tri serait plus complexe et plus coûteux que le « non-tri »), étant entendu qu’il n’y a pas là de données non utiles à la gestion financière;
  • registre des donateurs (éventuellement) avec les données d’identification voire quelques bulletins spécimens: longue durée à condition expresse que l’accès à ces données soient suspendu (avec la sécurité adéquate en termes de localisation et de support) en attendant le délai de communicabilité au public.

Cela étant dit, il appartient à chaque association de faire ses choix en fonction de son activité, de sa sensibilité et surtout en fonction des risques à conserver versus risques à détruire, et de les justifier.

Cet article Le RGPD et les données de don est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
RGPD. Traitement à des fins archivistiques dans l’intérêt public https://www.marieannechabin.fr/arcateg/2018/11/13/rgpd-traitement-a-des-fins-archivistiques-dans-linteret-public/?utm_source=rss&utm_medium=rss&utm_campaign=rgpd-traitement-a-des-fins-archivistiques-dans-linteret-public https://www.marieannechabin.fr/arcateg/2018/11/13/rgpd-traitement-a-des-fins-archivistiques-dans-linteret-public/#comments Tue, 13 Nov 2018 11:35:18 +0000 http://www.arcateg.fr/?p=4771 Cet article RGPD. Traitement à des fins archivistiques dans l’intérêt public est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>

L’article 89 du Règlement général pour la protection des données personnelles traite des « Garanties et dérogations applicables au traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ».

Le traitement à des fins de recherche scientifique ou historique ou à des fins statistiques autorise des exceptions aux articles 15, 16, 18 et 21 du Règlement; le traitement « à des fins archivistiques dans l’intérêt public » prévoit des dérogations aux mêmes articles et en outre aux articles 19 et 20, traitant respectivement l’obligation de notification en ce qui concerne la rectification ou l’effacement, et le droit à la portabilité des données.

Le texte du RGPD a fait l’objet de beaucoup de copiés-collés mais assez peu de glose, d’explication, d’analyses et de commentaires, en tout cas sur cette question de « traitement à des fins archivistiques ». La formule accroche cependant et je me suis demandée (voir l’allusion dans le billet Protection des données personnelles post mortem) ce que recouvrait exactement la formule « traitement à des fins archivistiques dans l’intérêt du public ». Un étudiant étranger ayant récemment sollicité mon opinion sur la question, j’ai tenté d’y voir plus clair. Voici le détail de mon analyse.

Occurrences et contexte de la formule dans le RGPD

Le RGPD comporte au total seize occurrences de l’expression que l’on peut regrouper ainsi:

mot-clé extraits référence
personnes concernées lorsque les données à caractère personnel sont traitées à des fins archivistiques, le présent règlement devrait également s’appliquer à ce traitement, étant entendu qu’il ne devrait pas s’appliquer aux des personnes décédées. […] considérant 158
type de données les traitements de catégories particulières [origine raciale ou ethnique, les opinions politiques, etc.] sont interdits, sauf si… j) le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques article 9
durée les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques article 5
traitement ultérieur traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques devrait être considéré comme une opération de traitement licite compatible considérant 50
traitement ultérieur la conservation ultérieure […]devrait être licite lorsqu’elle est nécessaire à l’exercice du droit à la liberté d’expression et d’information, au respect d’une obligation légale, à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, pour des motifs d’intérêt public dans le domaine de la santé publique, à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, ou à la constatation, à l’exercice ou à la défense de droits en justice considérant 65
traitement ultérieur le traitement ultérieur de données à caractère personnel à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques doit être effectué lorsque que le responsable du traitement a évalué s’il est possible d’atteindre ces finalités grâce à un traitement de données qui ne permettent pas ou plus d’identifier les personnes concernées, pour autant que des garanties appropriées existent (comme par exemple la pseudonymisation des données) considérant 156
traitement ultérieur les États membres devraient également être autorisés à prévoir un traitement ultérieur des données à caractère personnel à des fins archivistiques, par exemple en vue de fournir des informations précises relatives au comportement politique sous les régimes des anciens États totalitaires, aux génocides, aux crimes contre l’humanité, notamment l’Holocauste, ou aux crimes de guerre considérant 158
traitement ultérieur le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré […] comme incompatible avec les finalités initiales article 5
dérogations, exceptions dérogations possibles à des fins de santé […], ou à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques considérant 52
dérogations, exceptions traitement, par les autorités […] en vue du contrôle de la qualité […] des soins de santé ou de la protection sociale […], ou à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques considérant 53
dérogations, exceptions l’obligation de fournir des informations [à] la personne concernée […] exigerait des efforts disproportionnés […], notamment, lorsqu’il s’agit d’un traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques considérant 62
dérogations, exceptions la fourniture d’informations à la personne concernée ne s’applique pas si elle « se révèle impossible ou exigerait des efforts disproportionnés, en particulier pour le traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » article 14
dérogations, exceptions le droit à l’effacement («droit à l’oubli») ne s’applique pas si « le traitement est nécessaire […] à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques article 17

 

Comment on disait avant?

Jusqu’à la publication du RGPD, la loi française n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée en 2004 et en 2011, parlait de « traitement ultérieur à des fins statistiques ou à des fins de recherche scientifique ou historique » (notamment dans l’article 6) et l’article 36 était ainsi rédigé: « Les données à caractère personnel ne peuvent être conservées au-delà de la durée prévue au 5° de l’article 6 qu’en vue d’être traitées à des fins historiques, statistiques ou scientifiques ; le choix des données ainsi conservées est opéré dans les conditions prévues à l’article L. 212-3 du code du patrimoine. Les traitements dont la finalité se limite à assurer la conservation à long terme de documents d’archives dans le cadre du livre II du même code sont dispensés des formalités préalables à la mise en œuvre des traitements prévues au chapitre IV de la présente loi ».

On retrouve la même expression dans le code de la santé publique au sujet de la conservation des dossiers médicaux, très précisément à la fin de l’article R1112-7: Le dossier médical mentionné à l’article R. 1112-2 est conservé pendant une durée de vingt ans à compter de la date du dernier séjour de son titulaire dans l’établissement ou de la dernière consultation externe en son sein. […] A l’issue du délai de conservation mentionné à l’alinéa précédent et après, le cas échéant, restitution à l’établissement de santé des données ayant fait l’objet d’un hébergement en application de l’article L. 1111-8, le dossier médical peut être éliminé. La décision d’élimination est prise par le directeur de l’établissement après avis du médecin responsable de l’information médicale. Dans les établissements publics de santé et les établissements de santé privés participant à l’exécution du service public hospitalier, cette élimination est en outre subordonnée au visa de l’administration des archives, qui détermine ceux de ces dossiers dont elle entend assurer la conservation indéfinie pour des raisons d’intérêt scientifique, statistique ou historique.

Après le RGPD, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles dispose que « L’article 36 de la loi n° 78-17 du 6 janvier 1978 est ainsi modifié : 1° Au premier alinéa, les mots : « historiques, statistiques ou scientifiques » sont remplacés par les mots : « archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » ».

Et un nouvel alinéa est ajouté: « Lorsque les traitements de données à caractère personnel sont mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public conformément à l’article L. 211-2 du code du patrimoine, les droits prévus aux articles 15,16 et 18 à 21 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique« . Avec ces derniers mots, « archivage » fait son entrée dans la loi « Informatique et Libertés », aux côtés des mots archives et archivistique.

Et en anglais?

Comme souvent dans les textes européens, la version anglaise donne un éclairage pour une compréhension due message. Or, dans le texte de la GDPR (General Data Protection Regulation), l’expression anglaise correspondant à « traitement à des fins archivistiques dans l’intérêt du public » est « processing for archiving purposes in the public interest« , suivi de « scientific or historical research purposes or statistical purposes ».

Dans un  » Guide to archiving personal data« , les Archives nationales du Royaume-Uni (The National Archives) font remarquer que cette disposition de la GDPR (General Data Protection Regulation) n’apporte pas de grand changements: « in practical terms, processing for archiving purposes under the new legislation is not very different from the previous Act and its effective safeguards. « However – dit encore ce guide – the law recognises there is a public interest in permitting the permanent preservation of personal data for the long-term benefit of society ».

Il faut à ce stade préciser à quoi renvoie le mot archives en anglais. Le guide de TNA cite la définition de la norme ISO16175-1:2010: « Archives are materials created or received by a person, family or organisation, public or private, in the conduct of their affairs and preservec because of the enduring value contained in them or as evidence of the functions and responsabilities or their creator, especially those materials maintained using the principles of provenance, original order and collective control; permanent records ».

Rappelons au passage la définition de record dans ISO15489: 2001, 2016): « information created, received and maintained as evidence and as an asset by an organization or person, in pursuit of legal obligations or in the transaction of business ».

Il est intéressant de rapprocher ces définitions de la définition légale française du mot archives, que l’on trouve dans le code du patrimoine (article L212-1) répond:  » l’ensemble des documents, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l’exercice de leur activité ».

Il y a (ce n’est pas nouveau mais il est bon de le rappeler) un écart entre la terminologie anglaise et la terminologie française sur la définition d’archives: par opposition aux « records », les « archives » anglo-saxonnes se caractérisent par une conservation de longue durée, permanente, en raison de leur valeur patrimoniale, tandis que la définition française d’archives insiste sur « quelle que soit la date ». La conséquence de l’équivalence entre « fins archivistiques » et « archiving purposes » est un « ressenti » de lecture et une interprétation potentiellement différente du RGPD/GDPR pour un lecteur anglophone et un lecteur francophone.

Reconnaissance d’une archivistique patrimoniale

L’archivistique a donc été ajoutée dans le RGPD comme finalité d’exception au traitement des données à caractère personnel, au même titre que les recherches scientifiques et historiques.

On doit bien sûr s’en réjouir car le travail essentiellement discret des archivistes et le sens de ce travail pour la collectivité mérite bien cette reconnaissance. Cette avancée pose toutefois la question de ce qu’est l’archivistique et de son champ d’application.

On en trouve plusieurs définitions du substantif archivistique (voir mon petit catalogue). Prenons celle du Dictionnaire de terminologie de la Direction des Archives de France (2002): « principes et les méthodes qui régissent la collecte et la conservation des archives appliquées à la collecte, au traitement, à la conservation, à la communication et à la mise en valeur des documents ». On remarque que cette définition ne contient pas de restriction temporelle, pas plus que la définition légale des archives reprise ci-dessus.

Si on compare l’ancienne expression de la loi du 6 janvier 1978 (« traitements dont la finalité se limite à assurer la conservation à long terme de documents d’archives ») et la nouvelle formulation (« traitements à des fins archivistiques dans l’intérêt public »), on peut constater une réduction de l’archivistique à la conservation à long terme de documents d’archives. L’archivistique ne serait-elle que cela?

Le considérant 158 du RGPD, malheureusement, entretien l’ambiguïté. Il donne une sorte de définition des services publics d’archives ou plutôt des services d’archives à mission de service public. Je cite: « Les autorités publiques ou les organismes publics ou privés qui conservent des archives dans l’intérêt public devraient être des services qui, en vertu du droit de l’Union ou du droit d’un État membre, ont l’obligation légale de collecter, de conserver, d’évaluer, d’organiser, de décrire, de communiquer, de mettre en valeur, de diffuser des archives qui sont à conserver à titre définitif dans l’intérêt public général et d’y donner accès ». Certes, il n’est pas dit explicitement que lesdits services ne doivent pas collecter, conserver ou évaluer autre chose que des archives de nature définitive (archives que l’on appelle communément « archives historiques ») mais le périmètre documentaire de ces archives est clairement patrimonial et mémoriel.

D’où une interrogation: quelles sont les autorités publiques, quels sont les organismes publics ou privés qui conservent des archives » qui ne sont pas des archives définitives? Pourquoi les compétences de gestion des archives à des fins juridiques et managériales ne sont pas mentionnés dans le RGPD? En effet, si on trouve à maintes reprises dans le RGPD, l’expression « durée de conservation » (ce dont je me réjouis chaque jour), force est de constater que la notion de records management (pour utiliser le mot anglais) ou la notion d’archivage au service des intérêts de l’entité publique ou privée propriétaire et responsable de l’existence et de devenir des documents et données qu’elle détient, ne sont pas évoquées dans le RGPD. J’ose dire que c’est une grande lacune.

Dit autrement, si on doit se réjouir de la reconnaissance du travail des archivistes dans la constitution et la gestion de la mémoire écrite et documentaire, on ne peut que déplorer que le Règlement européen ignore le rôle des archivistes en dehors des archives historiques, et ce n’est guère mieux dans la version anglaise qui ignore les records managers (même s’il est fait une brève allusion au « record-keeping » dans le considérant 13).

L’archivistique est-elle une fin en soi?

La nouvelle formulation, « traitement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques » pose indirectement la question, en les différenciant de cette façon, de la relation entre les « fins archivistiques » d’une part, et les « fins de recherche scientifique ou historique » d’autre part.

On note au passage que la formulation déjà ancienne « à des fins de recherche scientifique ou historique » pourrait laisser penser à un lecteur pressé, qu’il n’existe que deux types de recherche concernées par les données personnelles ou, puisque que l’on distingue les recherches scientifiques et les recherches historiques, que l’Histoire n’est pas une science, ou qu’il y a une Histoire qui n’est pas scientifique, ou je ne sais quelle interprétation. Ce qui est certain, c’est que les chercheurs eux-mêmes, quelle que soit leur discipline (notamment les chercheurs en sciences humaines auxquelles est rattachée l’Histoire), parlent de « recherche scientifique ». Et on pourrait remarquer encore que les recherches utilisant des données personnelles intéressent bien d’autres sciences humaines que la seule Histoire.

Mais revenons aux « fins archivistiques ». Une première interprétation serait de dire que c’est l’archivistique en tant que discipline qui est mise en avant. Mais on doit alors remarquer que l’étude des « principes et les méthodes » qui régissent la collecte et la conservation des archives n’utilise pas directement de données personnelles. La finalité de l’archivistique est d’organiser les archives, non de les exploiter. L’exploitation des archives a pour finalité la connaissance, qu’elle vise des intérêts particuliers (la défense des droits) ou « l’intérêt public ».

Pour la discipline archivistique, les données personnelles sont des classes ou des catégories. Là où les données à caractère personnel sont concernées en tant que telles, c’est en tant qu’instances de classes ou catégories de données définies par l’archivistique, c’est-à-dire dans la constitution des fonds d’archives, dans la mesure où ces données personnelles figurent dans les documents retenus pour être conservés à titre d’archives. C’est là une seconde interprétation, plus pertinente. La finalité n’est pas la science archivistique mais la « mise en archive », l’archivage dans un but de documentation historique, celle qui correspond mieux à l’anglais « archiving ». On peut se demander pourquoi le mot archivage n’existe pas dans la version française du RGPD.

Il est intéressant d’invoquer ici l’article L212-1 du code du patrimoine. Il est précisé, après la définition des archives, que « la conservation des archives est organisée dans l’intérêt public tant pour les besoins de la gestion et de la justification des droits des personnes physiques ou morales, publiques ou privées, que pour la documentation historique de la recherche ». On voit là le lien entre les archives et la recherche: la recherche est une des finalités des archives, l’autre étant la justification des droits. Cette double finalité des archives correspond assez bien du reste au doublet terminologique anglais: la finalité de défense des droits pour les « records » et la finalité de la recherche pour les « archives ».

La dissociation que fait le texte du RGPD entre les différentes finalités laisse penser que la recherche (historique, scientifique, etc.) utilise des données à caractère personnel en dehors des archives constituées pour la recherche. Mais alors, qui est le gestionnaire de ces « données non archivées » ou de ces « données non encore archivées »? Les principes et méthodes archivistiques sont-ils complètement étrangers à cette gestion? Au nom de quoi le seraient-ils? Au nom de quoi couper ainsi en deux le champ de la discipline archivistique?

L’article R1112-7 du code de la santé publique cité plus haut (et dont la rédaction remonte à 2006) distingue, quant à lui, trois finalités à la conservation des dossiers médicaux au titre d’archives historiques: intérêt scientifique, intérêt historique, intérêt statistique, les trois finalités étant mises sur le même plan. Cette définition est très claire et se comprend bien au-delà des seules archives médicales. Pourquoi l’avoir abandonnée au profit d’une expression complexe et relativement ambiguë?

Qu’est-ce que l’intérêt public?

Comme le fait remarquer l’étude des Archives nationales du Royaume-Uni déjà citée (§ 57), la notion d’intérêt public peut changer selon les temps et les circonstances. Il est bien difficile de légiférer valablement sur le sujet. Mais il est intéressant que la loi et les institutions reconnaissent l’importance pour la société de préserver une mémoire écrite, incluant des données personnelles sur les personnes qui ont vécu sur le territoire national ou des citoyens qui ont pu vivre sur d’autres territoires. La conservation sans limite de durée des registres d’état civil en est l’exemple le plus éclatant.

Dans le règlement, un mot m’accroche encore au sujet des « fins archivistiques dans l’intérêt public »; c’est le mot « nécessaire » justifiant le traitement à des fins archivistiques (cf articles 9 et 17, voir le tableau au début de ce billet). En quoi la conservation à des fins patrimoniales de données personnelles peut-elle être jugée « nécessaire »? On s’attendrait davantage au qualificatif « légitime » voire « légal » dans la mesure où la réglementation peut effectivement dire quelles données personnelles doivent être conservées. C’est du reste ce qui est évoqué dans le considérant 158 du RGPD avec la possibilité pour les Etats de conserver les données relatives au « comportement politique sous les régimes des anciens Etats totalitaires, etc. ».

L’autre option serait de dire que la collecte de telles ou telles données est « pertinente », « issue d’une réflexion archivistique » sur la réalité des données produites en regard des attentes du monde de la recherche, mais alors ces choix devraient être publiés, au nom de la transparence démocratique, dans un document de « politique de constitution des archives publiques » intégrant tous les ingrédients démocratiques d’une politique.

Question à suivre!

Conclusions

Après avoir brassé toutes ces idées, j’en arrive à deux conclusions:

  1. l’expression « traitement à des fins d’archivage historique » ou « d’archivage patrimonial » aurait été plus claire;
  2. il est vraiment dommage que l’archivage managérial (le records management) n’ait pas été pris en compte dans le RGPD. Très dommage.

 

Cet article RGPD. Traitement à des fins archivistiques dans l’intérêt public est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
https://www.marieannechabin.fr/arcateg/2018/11/13/rgpd-traitement-a-des-fins-archivistiques-dans-linteret-public/feed/ 6
Données structurées et données non structurées https://www.marieannechabin.fr/arcateg/2018/09/06/donnees-structurees-et-donnees-non-structurees/?utm_source=rss&utm_medium=rss&utm_campaign=donnees-structurees-et-donnees-non-structurees https://www.marieannechabin.fr/arcateg/2018/09/06/donnees-structurees-et-donnees-non-structurees/#comments Thu, 06 Sep 2018 20:15:32 +0000 http://www.arcateg.fr/?p=4726 Ces deux expressions – données structurées et données non structurées – sont aujourd’hui  répandues et acceptées. C’est la première et principale façon de caractériser les données dans la société de l’information, dans les entreprises et leurs directions des systèmes d’information (DSI) mais aussi, de plus en plus, pour les responsables métiers, pour les juristes et…

Cet article Données structurées et données non structurées est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
Ces deux expressions – données structurées et données non structurées – sont aujourd’hui  répandues et acceptées. C’est la première et principale façon de caractériser les données dans la société de l’information, dans les entreprises et leurs directions des systèmes d’information (DSI) mais aussi, de plus en plus, pour les responsables métiers, pour les juristes et pour les professionnels de l’information.

On parle aussi d' »informations structurées » versus « informations non structurées » mais il semble que cette appellation perde du terrain face aux données, sans doute parce que le mot information porte davantage sur le sens et que le mot donnée porte davantage sur la forme; peut-être aussi parce que le mot information en anglais ne prend pas le pluriel).

Même les métadonnées (les données sur les données) sont réparties entre métadonnées structurées et métadonnées non structurées (cf la norme d’archivage électronique MoReq).

Le sens est clair:

Données structurées: informations (mots, signes, chiffres…) contrôlées par des référentiels et présentées dans des cases (les champs d’une base de données) qui permettent leur interprétation et leur traitement par des machines.

Données non structurées: le reste, tout ce qui n’est pas organisé en base de données, c’est-à-dire la bureautique, la messagerie, les images, les vidéos, etc.

Vérification faite cependant, il n’y a pas tant de définitions que cela dans les glossaires informatiques, juridiques ou d’archivage. A noter aussi que certains sites définissent les données structurées, d’autres les données non structurées et quelques-uns les deux. Voir le petit recueil de définitions en ligne en fin d’article.

Je voudrais faire sur ces expressions trois remarques:

La première est que parler de données structurées ou non structurées est d’abord un point de vue d’informaticien spécialiste de la gestion de valeurs (noms, nombres, couleurs, etc.) réparties dans des tables (le mot valeurs est ici au pluriel). On nomme ce que l’on connaît, ce que l’on contrôle. Et le reste, eh bien, c’est « non » ceci ou cela.

L’identification d’un objet par la négative, par ce qu’il n’est pas, par une non-qualité, est réducteur et ne constitue pas un critère de gestion très efficace. Enfin, dans le monde des sciences dures, on peut comprendre la distinction entre métaux ferreux et les métaux non ferreux. Mais dans le monde de l’information, c’est très insuffisant. A titre de comparaison, je prends les toiles à la place des données: c’est comme si on parlait des toiles cirées et des toiles non cirées: c’est très bien pour les quincaillers et les marchands de déco mais c’est très flou pour la gestion des autres toiles (émeri, de tente, de Jouy, d’araignée…). Idem pour les bandes dessinées et les bandes non dessinées: c’est clair pour les libraires mais ce n’est pas opérant pour les bandes Velpeau, les bandes annonces, les  bandes passantes, les bandes organisées et j’en passe).

Ceci pour dire que la famille éclatée des « données non structurées » recouvre des quantités de réalités qu’on ne saurait réduire à une anti-définition. Bon, c’est vrai que l’on a inventé les données semi-structurées mais cette précision se cantonne toujours au format technique de l’information et n’atteint pas le niveau de la gouvernance.

Il est temps de gouverner l’ensemble des données avec des définitions positives pour mettre en relief la valeur de l’information (poids, portée, risque, richesse… – le mot valeur est là au singulier) et non son seul format.

Du reste, le RGPD ne s’y est pas trompé et on ne trouve pas ces appellations de structuré / non structuré dans le Règlement européen, si ce n’est une allusion dans la définition de fichier:  » tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique » (article 4). Toutefois, ici, c’est l’ensemble qui est structuré et non les données; pour ma part, je comprends que cet ensemble structuré peut être constitué de données structurées, de données non structurées ou d’un mélange des deux. On est donc plutôt dans la pertinence, le sens, la valeur de responsabilité et d’usage de l’information, que dans le format de données.

***

La deuxième remarque est que cette existence encombrante de données non structurées commence à préoccuper sérieusement un nombre croissant d’acteurs, alertés en quelque sorte par le RGPD, comme en témoignent, parmi d’autres, les deux articles suivants:

GDPR, quelle méthodologie adopter pour la gestion des données non structurées ? Raphael Feddawi / Responsable Architecte – Avant vente, avril 2018. Extrait: « Les entreprises disposent de deux types de données, les données structurées (stockées dans des bases de données) et les données non structurées (Filer, NAS, messagerie…). Les données non structurées sont celles qui ont toujours posé le plus de problèmes dans leur gestion.« 

Données non structurées : pourquoi sont-elles plus difficiles à sécuriser ?, juillet 2018 par Vincent Dely, Solutions Architect chez Digital Guardian Extrait: « De nombreuses initiatives de protection des données se focalisent sur la sécurisation des données structurées sans protéger suffisamment des données tout aussi sensibles mais plus difficiles à sécuriser : les données non structurées. »

Le défi des données non structurées est qu’elles sont partout, créées par tout un chacun, échappant aux règles du management comme aux logiques des outils, à la manière d’un liquide qui se répand dans tous les interstices à sa portée.

Est-ce fatal?

Non.

Le point d’attention ici est que le problème ne relève pas de la nature « non structurée » de l’information mais de la négligence, de l’indiscipline ou simplement de l’insouciance des auteurs de ces informations: expéditeurs et réexpéditeurs de mails (dont quelques-uns sont effectivement du courrier), rédacteurs de notes (dont quelques-unes sont pertinentes), amateurs compulsifs d’appareils de prise de vues (dont quelques-unes sont effectivement des photographies), producteurs de foutoirs qui sont des foutoirs avant d’être des données non structurées!

***

La troisième réflexion porte sur ce qui est en train de se passer pour une meilleure maîtrise des données. Les professionnels de l’information font des efforts pour indexer les écrits et les images, avec l’intelligence humaine, avec parfois le renfort du public (cf le crowdsourcing / l’indexation participative). https://labo.societenumerique.gouv.fr/2018/09/03/indexation-collaborative-insitutitions-culturelles-appel-public-annoter-oeuvres-documents-archives/

Mais ces efforts, éminemment louables, restent ténus face à la puissance des princes de la technologie qui s’attaquent à la question avec l’intelligence artificielle.

L’enjeu, pour les maîtres du monde technologico-commercial qui est le nôtre, est de transformer les données non structurées en données structurées, pour qu’elles puissent être exploitées et rentables (sans parler des autres enjeux de contrôle des fuites de données et de destruction des données périmées).

Un bon exemple est la démarche de Google qui crée des données structurées en analysant les vidéos. Philippe Nieuwbourg expliquait en mars 2017: Le Big Data c’est bien évidemment des données non structurées : des images, des sons, et des vidéos. Mais l’extraction de connaissances à partir des vidéos est un domaine encore exploratoire. Google semble avoir beaucoup progressé et vient d’annoncer Google Cloud Video Intelligence, une solution en Beta qui permet d’analyser des vidéos et d’en extraire de l’information structurée.

Ce n’est qu’un début et je suis, comme beaucoup, plus curieuse qu’inquiète de connaître la suite.

Cependant, le résultat d’une intervention de l’intelligence artificielle sur des « données non structurées » dépend, d’une part, de la façon dont on alimente l’algorithme au départ, d’autre part, de la façon dont sont produits les écrits et les images analysés. Or, la qualité du texte initial est une notion subjective: on peut trouver des textes d’apparence très carrée mais dénué d’intérêt voire de sens, tandis que d’autres documents portent des idées fortes mais dans une langue élaborée et pleine de subtilités. Et les images, plus encore que les textes, peuvent être « lues » différemment selon la préoccupation du lecteur ou son degré d’expertise.

On peut comparer ce sujet avec celui de la traduction automatique: la qualité de la traduction tient aux dictionnaires sur le sujet et à la qualité du texte initial. La qualité des traductions automatiques a beaucoup progressé ces dernières années mais je ne crois pas qu’elle dépasse jamais la qualité humaine d’une traduction humaine (sauf si les humains deviennent des robots). C’est que la littérature, même professionnelle, n’est pas comparable au jeu d’échecs qui n’a plus de mystère pour Deep blue). Si vous n’êtes pas convaincu, lisez le magnifique « Trois essais sur la traduction » de Jean François Billeter (Allia) – voir la présentation sur France Culture.

Il en va de même pour la « traduction » de données non structurées en données structurées.

Le risque est que l’humanité abandonne complètement le regard humain sur un texte ou une image pour se contenter de l’interprétation machine qui, toute puissante qu’elle soit, sera différente de l’interprétation humaine. Or, ne dit-on pas qu’un progrès technologique est fait pour ouvrir de nouvelles possibilités et non pour remplacer ce qui existe (le web n’a pas remplacé la télé qui n’a pas remplacé le cinéma qui n’a pas remplacé la lecture). C’est pourquoi, il est souhaitable qu’il subsiste une lecture et une interprétation non technologiques des productions informationnelles des humains. Il n’est pas question de refuser l’IA ou de prétendre qu’elle ne modifie pas nos modes de pensées; il est question de préserver la nature humaine à côté de la « nature technologique », par souci de diversité, par respect de la culture et, disons-le, pour le fun. Car il est très enrichissant, à titre individuel, de faire l’effort d’organisation de la pensée, d’analyse personnelle de ce que l’on voit ou de ce qu’on lit et que l’on peut comparer à d’autres analyses, de « structuration » collective des connaissances à partir des usages, en lien tant avec les résultats de l’IA qu’avec ce que l’Histoire nous a transmis.

Tant qu’à avoir des maîtres, je préfère sans aucune hésitation les philosophes – de tous temps et de tous pays (je parle des vrais « amoureux de la sagesse »…) – aux GAFA et autres BATX.

Il y a donc une réflexion « humaine » à promouvoir pour construire des modèles de connaissances, dans le but à la fois de nourrir les algorithmes et de créer un vertueux contrepoids à l’intelligence artificielle, histoire de ne pas perdre ses racines et la mémoire de pensée des générations qui nous ont précédés. Personnellement, je n’aime pas mettre tous mes œufs dans le même panier, ni penser que l’œuf ne vient pas de la poule…

C’est l’idée qui soutient la méthode Arcateg™: une grille de lecture des données de l’entreprise ( structurées ou non), basée sur mon expertise diplomatique (plusieurs siècles de critique du document) et sur mon expérience humaine de l’entreprise de plus de trente ans, mais enrichi par les capacités de l’IA, au travers du logiciel C3 et de la solution Mosaïk.

CQFD.

Quelques définitions et citations

Donnée

Mot, nombre, signal, chaîne de caractères, séquence de bits, morceau de matière ou tout autre élément brut enregistré dans un système d’information où il pourra être corrélé à d’autres objets et interprété pour constituer une information.

On distingue les données structurées qui correspondent aux éléments calibrés saisis dans les différents champs des bases de données, et les données non structurées qui englobent toutes les autres informations enregistrées sous forme numérique ; ce sont principalement les fichiers bureautiques et la messagerie. On parle aussi de données semi-structurées quand une partie du fichier est codifiée selon certaines règles d’écriture ou de présentation : formulaire, feuille de style, organisation structurée d’éléments textes non structurés dans des pages web, etc.

Nouveau glossaire de l’archivage

Données structurées

Les données structurées sont des informations encadrées par des balises spécifiques dans les sources de vos pages et qui permettront aux moteurs de recherche (principalement Google) d’interpréter ces données d’une certaine manière. Ces données sont ensuite affichées dans les résultats de recherche afin de les enrichir.

Wifeo

Que sont les données structurées ?

Pour faire simple, les données structurées sont le langage grâce auquel un humain peut communiquer avec les robots des moteurs de recherche. C’est par leur utilisation que Google peut mieux déchiffrer et comprendre le sens du contenu de votre site web. Les principaux moteurs de recherche, Google, Bing et Yahoo, se sont concertés et entendus pour ne gérer qu’un seul format de données structurées afin de simplifier leur utilisation. Ce format standard s’appelle schema.org. Il indique le type de données que le moteur de recherche doit interpréter.

Webmarketing

Données non structurées

Les données non structurées sont une désignation générique qui décrit toute donnée extérieure à un type de structure. Les données non structurées textuelles sont générées par les courriels, les présentations PowerPoint, les documents Word, ou encore les logiciels de collaboration ou de messagerie instantanée. Les données non structurées non textuelles, quant à elles, sont générées via des supports tels que les images JPEG, les fichiers audio MP3, ou encore les fichiers vidéo Flash.

Le MagIT

Données non structurées
Le désordre numérique tient plus particulièrement à ce qu’on appelle les données non structurées, c’est-à-dire tout ce qui n’est pas organisé et calibré dans des systèmes applicatifs ou des bases de données qui formatent l’information à l’entrée et la traitent ou l’exploitent avec de manière automatique et programmée. On peut capturer des données dans des documents ou objets non structurés pour en faire des bases de données structurées exploitables, dans un but scientifique, administratif, ou commercial. C’est ce qu’on appelle le big data.

Les mots du MOOC « Bien archiver: la réponse au désordre numérique »

Données semi-structurées

Les données semi-structurées sont des données qui n’ont pas été organisées en référentiel spécialisé, comme c’est le cas dans une base de données, mais qui comportent néanmoins des informations associées, des métadonnées par exemple, qui les rendent plus faciles à traiter que des données brutes.

Whatis

 

Cet article Données structurées et données non structurées est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
https://www.marieannechabin.fr/arcateg/2018/09/06/donnees-structurees-et-donnees-non-structurees/feed/ 2
Analyse d’un faux (arnaque au RGPD par fax) https://www.marieannechabin.fr/arcateg/2018/06/27/analyse-dun-faux-arnaque-au-rgpd-par-fax/?utm_source=rss&utm_medium=rss&utm_campaign=analyse-dun-faux-arnaque-au-rgpd-par-fax https://www.marieannechabin.fr/arcateg/2018/06/27/analyse-dun-faux-arnaque-au-rgpd-par-fax/#respond Wed, 27 Jun 2018 07:18:12 +0000 http://www.arcateg.fr/?p=4688 L’escroquerie Entre le 12 et le 18 juin 2018, diverses entreprises ont reçu par fax un semblant de document, mi-circulaire- mi-courrier, les incitant à se « régulariser au Règlement général pour la protection des données personnelles » en appelant le 0977558580 ! Pour qui est un peu rompu à la correspondance administrative, il apparaît tout de suite que…

Cet article Analyse d’un faux (arnaque au RGPD par fax) est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
L’escroquerie

Entre le 12 et le 18 juin 2018, diverses entreprises ont reçu par fax un semblant de document, mi-circulaire- mi-courrier, les incitant à se « régulariser au Règlement général pour la protection des données personnelles » en appelant le 0977558580 !

Pour qui est un peu rompu à la correspondance administrative, il apparaît tout de suite que c’est une arnaque. C’est ainsi que Christophe Binot, de Total, a tout de suite posté l’image du fax reçu (données de destinataire masquée) et dénoncé le procédé sur le réseau LinkedIn.

D’autres responsables d’entreprises, moins avisés, ont pu être intrigués par ce fax, à une époque où le fax est en voie de disparition même s’il reste utilisé dans un certain nombre de PME. D’après les témoignages d’un site d’identification des numéros téléphoniques, les détenteurs du numéro de téléphone « se présentent comme membre d’un organisme de l’Union Européenne alors que c’est une société qui arnaque à coup de « formations » à 500,00 € ».

On apprend aussi que ce numéro est en liste rouge et a été attribué par l’opérateur VOXBONE. J’ai tenté d’appeler le numéro pour en savoir plus mais, après le 18 juin, sans succès : « Toutes les lignes de votre correspondant sont occupées, veuillez rappeler ultérieurement ».

L’affaire a été hâtivement résumée dans un bref article sur BFMTV. A priori, la tentative d’escroquerie s’est arrêtée là.

La démarche diplomatique

Les commentaires autour de cette arnaque ont évoqué partiellement (et parfois à tort du reste) les incohérences de ce document, certains soulignant à juste titre l’intérêt d’en faire un catalogue complet.

Mon propos est ici de recenser tous les indices de fausseté de ce document, en m’appuyant sur la méthode diplomatique (science du document authentique).

La méthode consiste a examiner systématiquement le document tel qu’il se présente, dans la forme (ce qu’on voit) et dans son contenu (ce qu’on lit), afin de déterminer l’authenticité (ou la fausseté) de cet objet documentaire et la fiabilité (ou l’incertitude) de son contenu.

La diplomatique définit l’authenticité comme le fait, pour un document, de porter sur lui les éléments de preuve qu’il est bien ce qu’il prétend être, c’est-à-dire tel document, écrit par la personne qui prétend l’avoir écrit, à la date prétendue. La fiabilité, de son côté, est le fait que le contenu d’un document correspond à la réalité des faits et que le destinataire peut donc s’appuyer sur ce qui est dit dans ce document pour faire ou dire autre chose. C’est dans ce sens que l’on peut parler d’une copie fiable, alors que la copie, en soi, s’oppose au document authentique. Les deux notions sont différentes (et trop souvent confondues). On les retrouve notamment dans la norme ISO 15489 (2001, 2016) sur le records management.

La diplomatique distingue deux grands types de faux :

  • la falsification: le faussaire part d’un document existant (déjà produit, déjà diffusé, déjà engageant) qu’il modifie, en changeant les noms, les chiffres ou sommes d’argent indiquées dans le texte, la date, la signature, etc., ce qui, compte tenu de la définition ci-dessus, retire au document son authenticité ;
  • la forgerie (on entend parfois le terme de contrefaçon appliqué au document, c’est la même chose) : le faux est fabriqué de toutes pièces, à partir d’une feuille blanche, ou d’un papier à entête, parfois avec des éléments copiés-collés d’autres documents.

Le faux fax en cause est une forgerie.

Pour prouver l’authenticité (qui est une), il est difficile de se passer de l’original. En revanche, pour prouver la fausseté (qui est multiple, pour ne pas dire infinie), une copie peut suffire, a fortiori quand les indices de falsification ou de forgerie sont très nombreux, comme dans le cas présent.

L’analyse diplomatique consiste à observer d’abord l’aspect extérieur du document puis ses indices internes, à la fois ce qui se trouve dans le document et ce qui n’y est pas et devrait y être, ce qui suppose d’avoir un modèle de référence. La grille de lecture est celle d’un document standard avec des éléments d’identification (émetteur et destinataire), et des éléments de validation (date, signature, référence) et, entre les deux, le corps du texte qui se décompose à son tour en trois parties :

  1. l’exposé de l’affaire ; on dira aujourd’hui l’objet, le contexte
  2. le « dispositif » ou cœur du message porté par le verbe central : je vous informe, je décide, j’achète…
  3. les clauses ou annexes (références à d’autres documents, pièces justificatives, etc.)

Analyse du faux fax

On parle de faux fax, mais il est plus correct de parler de faux document transmis par fax. Le fax n’est qu’un moyen technologique de transmission par reproduction fidèle et contrôlée du document transmis. Pendant longtemps (et il n’y a pas si longtemps !), le document reçu par fax était considéré comme juridiquement valable, bien avant le mail. Dans le cas présent, c’est bien le document de départ qui est un faux. Le moyen de transmission n’est qu’un artifice supplémentaire pour tromper, en faisant appel à cette « réputation » de naguère du fax. Il y a également tromperie du fait de masquer délibérément le n° de fax expéditeur.

Pour organiser l’analyse, j’ai découpé le document en différentes zones (1, 2, 3…) et sous-zones (A, B, C). Les éléments douteux sont décrits dans le tableau qui suit l’image ci-dessous.

Elément suspect Zone(s) concernée(s)
Le logo utilisé avec le nom du règlement à côté des 12 étoiles n’est pas officiel, certes. On ne le trouve ni sur le site Euralex ni sur la page Wikipedia où le seul logo est celui de l’Union.

Mais les faussaires n’ont pas inventé le logo utilisé ; on le trouve notamment sur le site https://www.coolandworkers.com/

Le nombre de sites non administratifs (hors Union européenne, hors CNIL…) qui incluent le sigle RGPD dans leur URL sont assez nombreux. J’ai dénoncé dès juillet 2017, l’utilisation indélicate des noms de domaines gdpr.fr et rgpd.fr par des entreprises privées à l’affut du business. Tout cela est de bonne guerre, en tout cas, plus malin.

L’élément logo n’est pas donc pas très significatif.

1

Le pavé « Régularisation au Règlement général pour la protection des données personnelles » a lui, très visiblement, été fabriqué par les faussaires :

·        faute de syntaxe : « régularisation au » (à mon sens, un des éléments les plus significatifs de la fausseté du document)

·        forme de logo incluant la référence du règlement, ce qui ne correspond à aucune pratique administrative connue ; cela fait plutôt penser à une pub et détonne dans un document qui se veut sérieux

2

Aucune identification de l’émetteur du document, ce qui, au-delà des logos et pseudo-logos doit sauter aux yeux

(1 et 2)

L’espèce de paraphe sous la mention « service administratif » à la toute fin du document ne respecte pas les critères d’identification de l’émetteur d’un courrier qui doit soit être nominatif soit indiquer la fonction.

De plus, si c’était réellement et seulement un service administratif, il y aurait au moins « le service administratif » (avec l’article).

Enfin, ce gribouillis est inséré sous les annexes et non sous le dispositif (la décision, l’impératif de régularisation)

8D

« Date du décret : 25 mai 2018 » : c’est la date d’entrée en vigueur du règlement, et non la date d’on ne sait quel décret : la confusion est grossière, d’autant plus que cette indication de date du document de référence dans un écrit administratif ne se présente jamais de cette façon (on donne la date, on n’utilise pas le mot « date ».

3 A

OBJET : ce passage est correct dans la présentation mais le fait de l’avoir regroupé avec la date du décret et le numéro d’identification en fait une sorte d’étiquette ajoutée après coup et dont la mise en page (à gauche de la date) n’est pas conforme aux pratiques administratives

Surtout, l’expression « Régularisation au » n’est pas grammaticalement correcte et doit attirer l’attention

3 B

Le numéro d’identification et le code barre qui l’accompagne est suspect : identification de quoi ? une entreprise est identifiée par un SIRET (le SIRET est évoqué plus bas – zone 6, et il n’y a pas encore de dossier constitué d’une éventuelle régularisation

3 C

La date (13/06/18) – information capitale dans un document – n’est pas dans la même police de caractères que le reste du texte, ce qui n’est pas un critère de fausseté absolu mais doit alerter ; c’est visiblement le seul élément de tout le courrier créé par les faussaires, tout le reste est du copié-collé.

4

Le début du courrier se présente dans un style pseudo-administratif (cf l’exposé des motifs) qui peut tromper mais ce centrage du paragraphe principal dans un courrier administratif est lui tout à fait surprenant.

5

Sur le contenu, on retrouve pour la 3e fois la formule « régularisation au » qui est incorrecte.

5 A

Dans le texte, le mot « organisme » dans « la responsabilité des organismes » peut surprendre car le fax est censé s’adresser à des entreprises ; le terme « établissement » utilisé dans le paragraphe précédent est régulier. Ce point de formulation est toutefois mineur.

5 B

L’encadré central correspond bien au  » dispositif » du document, c’est-à-dire le point principal visant l’injonction de l’émetteur, la décision, ce qu’il faut faire.

L’encadré n’est pas classique mais on le rencontre de plus en plus de nos jours et il n’est pas en soi un indice de fausseté.

Ce qui m’accroche en revanche est que la taille des caractères est plus petite que celle des paragraphes précédents (là, il serait bien d’avoir l’original pour analyser l’écriture de plus près mais malheureusement, c’est le faussaire qui le détient).

6

REGULARISEZ-VOUS : la forme de slogan publicitaire, avec l’impératif, détonne dans un courrier administratif ; ceci dit, la confusion des genres est aujourd’hui de plus en plus courante dans l’expression de l’écrit d’une manière générale.

6 A

« effectuer votre inscription au règlement » : cette formulation trahit le faux par sa maladresse : il n’existe pas d’inscription au RGPD

le faussaire joue avec la confusion possible du destinataire entre les mots registre/règlement (cf inscription au registre du commerce).

6 B

« service de régularisation » ; sauf erreur les services de régularisation n’existent que dans le domaine fiscal ; en tout cas, le mot régularisation n’apparaît à aucun moment dans le texte du Règlement.

6 B

« Veuillez vous munir… » : le post-scriptum en petits caractères est assez habile en faisant le lien entre le numéro de SIRET et le pseudo numéro d’identification, sauf qu’il mélange la notion d’objet et de référence de dossier.

6 C

La partie du document intitulée « GLOSSAIRE RGPD » n’est pas aberrante en soi ; elle correspondant à la partie annexe du courrier.

Le problème est que les deux paragraphes qui la composent ne sont pas des définitions, ce qui rend l’ensemble tout à fait suspect.

Le glossaire du RGPD fait l’objet de l’article 4 du Règlement ; ce n’était pas difficile de le citer. Le faussaire a vraiment bâclé son travail !

A préciser que l’utilisation du futur dans cette partie (cf « Il entrera en vigueur le 25 mai »), pointée par un commentateur, n’est pas gênante car ce passage est censé être une citation.

7

« solution de digital analytics » : l’emploi d’une expression anglaise attire l’attention car le RGPD est en français

7 B

La partie intitulée « ARTICLES DE LOIS CONÇERNANT LE RGPD » fait elle aussi partie des annexes ; le fait qu’elle se présente sous une forme différente du « Glossaire » souligne le montage du faux ; le centrage et l’encadré du titre s’oppose à la présentation du « Glossaire ». Ce manque d’harmonisation de la mise en forme est frappant.

8

Le « ç » a conçernant est une faute de graphie grossière qui attire l’attention.

8 A

Mettre un « s » à loi dans cette formule n’est pas régulier non plus.

8 A

Le premier paragraphe correspondant soi-disant à des articles de loi ne contient aucune référence précise d’article.

8 B

Les références au code pénal, article 226, traitant « De l’atteinte à la vie privée » sont ici en décalage avec l’objet principal du document (« régularisation ») et sont placées là pour faire peur.

8 C

Commentaire

Cette analyse, à vocation essentiellement pédagogique, n’est pas destinée à démontrer l’escroquerie dans la mesure où celle-ci est évidente ou quasi-évidente.

Dans le cas présent, les erreurs de forme et les erreurs de fond se complètent et sont les unes et les autres importantes pour la démonstration du faux.

Mais les faux ne sont pas toujours aussi grossiers. Ils sont parfois de bonne facture, par exemple ce faux communiqué de l’entreprise Vinci en novembre 2011.

La forme était bien imitée, mais le numéro de téléphone indiqué était faux et les destinataires, flairant le scoop, ne se sont pas inquiétés de vérifier la source. Et ce jour-là, les faussaires ont atteint leur cible.

L’idée m’est venue (j’espère ne donner de mauvaises idées à personne !) que les escrocs pouvaient dans cette histoire de fax avoir l’intention de jouer au mauvais faussaire/bon faussaire, comme on a le mauvais flic et le bon flic dans d’autres cas de figure. Une première arnaque est cousue de fil blanc et ne trompe personne mais elle est suivie par une autre arnaque mieux orchestrée qui permet à un complice de tromper son monde.

Un autre souci à venir est la baisse de qualité de la forme des documents officiels ou assimilés (agences, associations de service public…) qui contiennent de plus en plus de fautes d’orthographe (de sorte que cet indice-là ne joue plus tant que ça), de fautes de morphologie ou de syntaxe surtout (la langue est parfois pitoyable) et d’erreurs de contenus. Même sans parler d’erreur caractérisée, on trouve de plus en plus de documents administratifs qui ne sont plus rédigés, ou partiellement rédigés, dans la mesure où (telles des attestations ou des autorisations) ils sont produits par des applications métiers, de sorte que le cœur du document officiel est un encadré (un peu comme dans ce faux fax) ce qui n’altère pas en soi l’authenticité du document mais peut surprendre.

Au risque de me répéter, d’un écrit à l’autre, je redis ici que la démarche de critique de l’information, notamment la méthode diplomatique, est un enseignement auquel il faudrait donner plus de poids, tant dans les études secondaires (en adaptant aux risques de la société numérique évidemment) qu’à l’université.

 

Cet article Analyse d’un faux (arnaque au RGPD par fax) est apparu en premier sur Arcateg, méthode d'archivage par catégorie.

]]>
https://www.marieannechabin.fr/arcateg/2018/06/27/analyse-dun-faux-arnaque-au-rgpd-par-fax/feed/ 0