TRANSFORMATION & ORGANISATION
Gestion de l’information : le Records Management au secours des organisations
Grâce aux bonnes pratiques du Records Management et aux normes ISO et ILNAS, les organisations publiques et privées peuvent mieux gérer la preuve et la traçabilité au sein de leurs systèmes d’information, tout en respectant le règlement GDPR.
March 16, 2020
To keep or not to keep ?… Le sujet de la gouvernance et de la gestion de l’information est plus que jamais d’actualité à Luxembourg, avec les problématiques de preuve, de traçabilité et d’authenticité dans l’environnement électronique, de sécurité et protection des données, de transparence et compliance. Rencontre avec deux expertes en « Records Management », Sylvie Dessolin, Senior Consultante Governance and Regulatory Compliance chez Sopra Steria, membre des Commissions ISO TC46- WG13 (Gouvernance de l’Information) et TC46-SC11 (Records Management et Archives), et des comités miroirs ILNAS correspondants. Et Sylvie Forastier, Innovation & Information Management Specialist chez Linklaters LLP, également membre des Comités ISO et ILNAS TC46-SC11.
On parle beaucoup de gouvernance et de gestion de l’information. Quelle est la situation à laquelle les organismes publics et privés doivent aujourd’hui faire face ?
Sylvie Dessolin : Les exigences de gestion de l’information, issues de différents règlements européens et de normes internationales, sont nombreuses et parfois contradictoires.
Dans le cadre de GDPR, les organisations, qu’elles soient publiques ou privées, doivent désormais gérer la rétention des données personnelles, mais aussi l’obligation de destruction de ces données après la période requise. Pour cela, il faut identifier les exigences légales de rétention afin de ne pas conserver les données au-delà. En parallèle, les entreprises sont confrontées à d’autres injonctions : les exigences de Recordkeeping et de transparence des réglementations financières (MIFID 2, AML KYC…). Mais aussi, dans d’autres secteurs comme la santé, les transports ou l’industrie, de fortes exigences de traçabilité, de valeur probante et de conservation… La preuve et la traçabilité des processus dématérialisés est un autre sujet d’actualité. Comment faire en sorte que les processus numériques soient aussi probants que les pratiques anciennes où tout se faisait sur papier ? Tout ce qui permet de rendre un acte authentique doit désormais être transposé dans un environnement digitalisé
Ajoutez à cela les enjeux de sécurité des systèmes d’information, la nouvelle loi d’archives au Luxembourg publiée en 2018, l’émergence de la blockchain… La donnée est au cœur de notre monde et sa gestion est devenue un véritable défi pour tous les acteurs, publics et privés.
Sylvie Forastier : Quand on voit le niveau d’exigence auquel doivent répondre les organismes, on comprend qu’ils ne doivent pas improviser sur ces sujets. En tant que Records Managers, nous sommes là pour partager les bonnes pratiques, aider à mettre en place des systèmes d’information efficients. Il existe notamment des normes internationales sur ces sujets que les membres du comité ISO-ILNAS « Records and Archives Management » contribuent à rédiger au niveau international, à diffuser et à mettre en œuvre à Luxembourg. Ces normes permettent de garantir la qualité du traitement des informations. Elles ne sont bien évidemment pas à envisager seules. C’est une pièce du puzzle à intégrer dans un contexte plus large, en tenant compte des contraintes législatives et professionnelles qui peuvent s’y greffer.
Qu’entendez-vous exactement par « Records Management » ? Que regroupe ce concept ?
Sylvie Dessolin : Le Records Management, c’est la gestion de l’information probante. Il permet un contrôle efficace et systématique de la création, de la réception, de la maintenance, de l’utilisation et de la destruction des données, y compris des processus de capture et de conservation des preuves et informations concernant les activités et transactions commerciales. Ces données peuvent être créées, reçues et conservées comme éléments de preuve et comme des actifs par une organisation, que ce soit dans le cadre de l’exécution d’obligations légales ou de la conduite des affaires. Elles peuvent prendre la forme d’emails, de données, d’enregistrements téléphoniques, de vidéos, de plans, etc. Ce qui compte aujourd’hui pour l’entreprise n’est pas tant de conserver des documents, mais de disposer de preuves.
Sylvie Forastier : Cette valeur probante est conditionnée par les critères (d’authenticité, de fiabilité, d’intégrité et d’exploitabilité des informations) que l’on retrouve de manière explicite ou implicite dans les règlements et directives internationaux, européens et nationaux. Au-delà, on touche à la gestion des risques dans l’entreprise. Les entreprises confrontées à des pertes de données ou qui sont incapables de livrer des preuves au moment voulu s’exposent à des risques financiers et réputationnels.
Beaucoup de règlements et normes internationaux et européens comportent des exigences de « Recordkeeping ». Comment fait-on pour les mettre en œuvre et se prémunir des risques ?
Sylvie Dessolin : Il existe différentes normes : ISO 15489, ISO 30301 pour la gestion de l’information probante, le règlement européen eIDAS pour gérer l’identification électronique et les services de confiance liés aux transactions électroniques…. On définit d’abord la politique (interopérable avec les autres systèmes de management de l’organisme). Puis on passe aux référentiels et procédures. Pour cela, on procède à une analyse des processus de l’organisme, puis des exigences et obligations, en fonction de son activité. Dès ce moment, il est important d’intégrer la gestion du risque. On spécifie des systèmes capables de capturer la preuve grâce aux métadonnées dans les systèmes de production ou d’information existants. On dispose aussi de systèmes de gestion de documents ou de flux de données électroniques probants.
Quels sont les bénéfices du Records Management pour les organisations ?
Sylvie Dessolin : Le Records Management permet tout simplement de gérer et sécuriser la donnée, qui fait aujourd’hui partie intégrante des actifs des organisations. Il garantit au quotidien la création et la conservation de traces, précises et fiables. Il permet de se conformer aux exigences légales et d’assurer la conformité et la valeur probante des décisions, des activités et des transactions de l’entreprise. Le Records Management intègre bien sûr aussi la protection des données personnelles. Il minimise les risques juridiques, veille à la sauvegarde des informations vitales et préserve la mémoire de l’entreprise.
À quoi faut-il être attentif pour mettre en place une bonne politique de Records Management ?
Sylvie Forastier : Le Records Management doit s’appuyer sur une bonne base de données, de bonnes procédures. Il demande de se doter de compétences professionnelles (les Records Managers), d’y consacrer des ressources, de sensibiliser le management et l’ensemble du personnel et de les informer de leurs responsabilités. Tout le monde doit participer.
Sylvie Dessolin : En effet, il faut avoir tout le monde à bord, mais on tend de plus en plus vers des systèmes de tracking et d’enregistrement automatisés, par défaut (comme l’enregistrement systématique des conversations, des mails dans le secteur financier, exigence renforcée par MIFID 2). La finalité du Records Management est de fournir des preuves, que ce soit pour se défendre ou pour attaquer. Des entreprises sont aujourd’hui confrontées à des enquêtes internationales sous forme d’e-discovery, procédure qui consiste à aller directement « screener » les systèmes d’information pour chercher la preuve. Grâce à l’intelligence artificielle, les emails peuvent par exemple être analysés afin de détecter un éventuel délit d’initié. Peu d’entreprises sont conscientes de cela.
Concrètement, que peuvent faire les services publics et entreprises luxembourgeois ?
Sylvie Dessolin : Prenons l’exemple d’un acteur du secteur public luxembourgeois des transports, confronté, dans le cadre de sa certification internationale et européenne, à de fortes exigences de « Recordkeeping ». Il fallait gérer les “preuves” relatives aux “baseline requirements” de la certification, mettre en place une politique, des procédures et une solution comportant des fonctionnalités de Records Management. Les normes ISO de « Records Management » ont permis de répondre rapidement aux exigences. Elles ont servi de base à la rédaction d’une politique, de référentiels, de spécifications pour un système d’EDRMS (Electronic Document and Records System). Le Records Management permet aussi au secteur financier de se conformer aux obligations MIFID 2. Et à tous les secteurs, de répondre aux exigences de rétention et de conservation légale des données dans le cadre de GDPR.
Quelles sont les initiatives et les collaborations en place au Luxembourg ? Quels sont les développements attendus dans le futur ?
Sylvie Dessolin : Les experts du Comité ILNAS (ISO) TC46 SC11 « Records Management et Archives » contribuent aux travaux internationaux et diffusent les bonnes pratiques ISO à Luxembourg. Un autre comité de l’ILNAS, le TC106, travaille à la révision de la Règle Technique pour la certification des Prestataires de Services de Dématérialisation ou de Conservation (PSDC). Le Luxembourg participe également aux travaux internationaux sur la Gouvernance de l’Information, qui intègre toutes les composantes de la gestion des informations au sein des organismes (records, sécurité des SI, Data Protection…). Au sein de l’Association pour la protection des données au Luxembourg (APDL), la question de la rétention des données dans le cadre du RGPD fait l’objet d’un groupe de travail.
Sylvie Forastier : Notre but est de mettre en place des méthodes et des techniques pour aider les organisations à répondre à leurs obligations légales. De plus en plus de questions se posent autour du Records Management, sur l’innovation technologique, l’intelligence artificielle et l’automatisation des processus. Ces questions ont un impact sur la gestion de l’information et notre façon de l’aborder car elles sont maintenant au cœur des discussions. Beaucoup d’entreprises, dont la mienne, sont déjà impliquées sur ces nouvelles thématiques.