donnee-confidentiel-sensible

Archiver des données sensibles implique de prendre en considération l’architecture technique du SAE, les procédures, les politiques d’accès et la gestion dans la durée de ces données.

L’archivage électronique est un passage obligé pour toutes les organisations souhaitant dématérialiser leurs processus et leurs documents. Et en matière de données sensibles et confidentielles, la vigilance est de mise. De quelles données parle-t-on ? Quels sont les différents aspects d’un projet d’archivage électronique de données sensibles ? Et comment le mettre en oeuvre ? Trois spécialistes – Pierre Fuzeau, président du Groupe Serda, Hervé Streiff, du groupe Archiveco, et Arnaud Laprevote, CEO de Lybero.net – partagent leur expertise et leurs conseils depuis le Salon Solutions 2019. 

Qu’est-ce qu’une donnée sensible ou confidentielle ?

Selon la Cnil, les données sensibles sont des données à caractère personnelles qui révèlent des informations sur l’origine raciale ou ethnique, sur les opinions politiques, l’orientation sexuelle, les convictions religieuses ou philosophiques, ainsi que sur l’appartenance syndicale. Les données de santé ainsi que les données génétiques et biométriques permettant d’identifier une personne constituent également des données sensibles. 

Toute donnée auquel l’accès doit être restreint, par une loi ou un règlement, à un groupe spécifique de personnes entrent également dans le périmètre des données confidentielles. Par exemple, le « secret d’Etat » est un classement permettant de protéger une information contre une utilisation qui pourrait nuire à la sécurité nationale (Instruction générale interministérielle n°1300 sur la protection du secret de la défense nationale). Certaines données appartenant à des entreprises privées peuvent également relever du « secret industriel » et donc être associées à des clauses de confidentialité.

En la matière, tout dépend du contexte d’utilisation des données. « Un numéro de carte bancaire n’est pas forcément considéré comme sensible, explique Pierre Fuzeau, président du Groupe Serda ; mais si l’on arrive, par son intermédiaire, à tracer tout ce que vous achetez, cela peut devenir sensible. Imaginez que vous fassiez toutes vos courses dans des magasins hallal, avoir accès à ces informations depuis votre compte bancaire permettrait d’en déduire vos convictions religieuses ».

Les 3 volets de l’archivage numérique de données sensibles

L’archivage numérique s’appuie sur des réglementations (RGPD, règlement eiDas, etc) ainsi que sur des solutions technologiques. Selon Hervé Streiff, directeur Projet R&D Solutions digitales du Groupe Archiveco, archiver numériquement des données sensibles revient à se poser la question suivante : « comment gérer des milliards de documents avec des niveaux de sécurité importants ? ». De son côté, Pierre Fuzeau précise : « En plus de l’aspect « volume », il ne faut pas oublier que les documents et les données sont multiformes, rappelle-t-il ; il peut s’agir de data pure, de fichiers PDF ou de documents Excel. Il faut donc pouvoir traiter ce vaste ensemble de données ». Selon lui, tout projet d’archivage électronique censé filtrer et traiter des données sensibles doit se baser sur trois aspects :

  • un volet « solution » (pour gérer les différents flux)
  • un volet « organisation » (ou gouvernance : qui prend les décisions ? Qui est l’administrateur du référentiel ? etc.)
  • un volet « infrastructure de stockage » (en cloud, en mode Saas, ou en interne, etc).

Quelle sécurité pour l’archivage de données sensibles ?

Pour Arnaud Laprevote, CEO de Lybero.net, l’archivage de données sensibles doit garantir :

  • leur sécurité (qui peut accéder à quelles données ?)
  • leur intégrité (l’information contenue dans le document archivé a-t-elle été altérée ?)
  • leur traçabilité (quels sont les événements qui ont eu lieu sur le document ?)
  • leur pérennité (pour des consultations et usages futurs)

Archivage de données sensibles : appuyez-vous sur les normes !

En matière d’archivage numérique, la conservation de données sensibles ou confidentielles peut s’appuyer sur un ensemble de référentiels, de modèles et de normes. Ce que confirme Pierre Fuzeau, du groupe Serda : « Respecter les principes du modèle OAIS permet de cloisonner les comptes de différents utilisateurs et faire en sorte que les accès soient bien sécurisés, explique-t-il ; il permet de fédérer des identifiants et de manager des milliers de personnes ». Pour rappel, le modèle OAIS (pour Open archival information system) est un standard élaboré dans l’univers aérospacial (norme ISO 14 721 élaborée en 2003 et révisée en 2012). Véritable modèle de gestion de flux des archives, il tient compte de la qualité des données produites, du cycle de vie de l’information et de la pérennisation.

La norme NF Z42-013 sur l’archivage électronique fixe le cadre de conservation des documents électroniques de manière pérenne, intègre et sécurisée.

Vous lancez votre entreprise ? Découvrez le logiciel de gestion le plus simple !
Découvrez Neofacture, le logiciel de comptabilité et facturation le plus simple pour les entrepreneurs. Idéal pour lancer votre activité, vous pouvez faire très rapidement vos devis et factures, suivre vos dépenses et exporter votre comptabilité. Ergonomique et facile à prendre en main, il est parfaitement adapté aux entrepreneurs. Testez-le gratuitement ici.

Enfin, la norme NF Z42-026 (mai 2017) définit et précise les conditions à remplir pour produire des copies numériques fidèles, c’est à dire identifique de la forme et du contenu. Rappelons que produire une copie fidèle est la première étape pour obtenir une copie fiable, définie comme étant un document numérique dont l’intégrité est garantie dans le temps et de ce fait destiné à être conservé dans un système d’archivage électronique conforme à la norme NF Z42-013. La modification du Code civil du 1er octobre 2016 (article 1379) établit qu’une copie fiable a la même valeur que son document original.

Il est à noter que les services de la fonction publique peuvent de leur côté s’appuyer sur le programme Vitam, déployé en janvier 2017, qui est un programme interministériel d’archivage électronique porté par trois ministères. En accès libre sur internet, il est basé sur des API qui fonctionnent avec un back office et permet une bonne gestion des données ainsi que l’homogénéisation des archives pour en optimiser l’exploitation.

Comment mettre en place une infrastructure d’archivage numérique de données sensibles ou confidentielles ?

Comme indiqué précédemment, le respect du modèle OAIS permet de décrire, dans les grandes lignes, les fonctions, les responsabilités et l’organisation d’un système d’archivage numérique afin d’en préserver les données sur le long terme et pour en garantir l’accès à un groupe d’utilisateurs identifiés. 

La question du chiffrement des données n’est plus à poser aujourd’hui : « Il ne doit jamais y avoir de débat sur le chiffrement, martèle Arnaud Laprevote, de Lybero.net ; tout ce qui transite par le web est nativement chiffré, et les solutions de cryptage permettent aujourd’hui de fiabiliser davantage la gestion des restrictions d’accès aux données sensibles. ». 

Pour Hervé Streiff, du groupe Archiveco, tout est affaire de méthodologie : « Il ne faut pas voir l’archivage électronique comme une solution mais comme une méthode, explique-t-il ; il faut avant tout identifier les flux et partir du plus important vers les flux plus secondaires, et ainsi traiter les problèmes progressivement. Cela doit nécessairement s’accompagner d’une conduite du changement ».

Pierre Fuzeau, lui, conclut en insistant sur l’importance du cadrage et l’analyse des risques : « Il faut absolument cadrer tout projet d’archivage numérique et ne surtout pas se lancer dans une mise en oeuvre immédiatement, explique-t-il ; et à l’épicentre de ce cadrage, les risques doivent être absolument envisagés, très en amont ». 

Facturer en tant qu’auto entrepreneur ou micro entrepreneur ? Rien de plus simple avec Neofacture.Facture auto entrepreneur micro entrepreneur

Pour bien suivre votre activité et surtout réaliser votre facturation dans les meilleures conditions, Neofacture vous propose un service en ligne simple et efficace, il existe une formule à partir 7 € ttc par mois… Testez gratuitement Neofacture !

Promotion de bienvenue
30 % de réduction sur votre abonnement pendant les 3 prochains mois
Promotion de bienvenue
30 % de réduction sur votre abonnement pendant les 3 prochains mois