L’archivage dématérialisé, lorsqu’il s’intègre dans une solution de cloud computing, n’est pas sans poser quelques problèmes de sécurité.

Des recommandations sur l’archivage dématérialisé ont donc été publiées par la CNIL (Commission nationale de l’informatique et des libertés). Elle est à l’attention des entreprises souhaitant souscrire à des services à distance.

archivage dematerialiseArchivage dématérialisé et identification des données sensibles

La première recommandation que met en avant la CNIL est de bien identifier les données sensibles susceptibles d’être hébergées dans le cloud. Avant tout archivage, ces données peuvent être classifiées en différents groupes. Les données à caractères personnels, les données sensibles, les données stratégiques pour l’entreprise, les données utilisées dans les applications métiers. Par ailleurs, en raison de secret professionnel ou autre, certaines données peuvent être soumises à des réglementations spécifiques. Au préalable, il est donc important lors de la mise en place d’une solution d’archivage de vérifier si l’hébergement est certifié. Par exemple, par le ministère de la Santé pour les données médicales.

Définir ses propres exigences techniques et juridiques

La mise en place d’un cahier des charges de l’archivage peut reposer sur trois contraintes à définir. Dans un premier temps, du fait de la dématérialisation des documents, il s’agit de définir les contraintes légales. Comme la localisation des données (souvent sur le territoire français), ou encore les garanties de sécurité et de confidentialité. Et enfin les données soumises à des contraintes spécifiques liées à leur nature (domaine médical, juridique, secret professionnel). Ensuite, il faut préciser les contraintes pratiques : disponibilité des documents présents sur la GED, gestion des droits d’utilisateur en matière d’archivage et de consultation des documents. Enfin, comme pour tout système informatique, il faut aussi respecter des contraintes dites techniques. Notamment concernant la question de l’interopérabilité du système d’archivage GEIDE.

Mise en place d’une analyse de risque de l’archivage dématérialisé

La mise en place d’une analyse de risque de l’archivage vise à identifier les points essentiels qu’il sera nécessaire de sécuriser. Il ne faut pas hésiter à engager un expert informatique en cas de doute. Les points soulevés par la CNIL en matière d’archivage électronique sont la perte de gouvernance sur le traitement, la dépendance à une solution logicielle qui rend impossible tout transfert des données vers une autre solution. Ou encore une faille de sécurités dans la confidentialité des informations qui rendraient des données accessibles à des tiers, des failles liées à la sous-traitance de certains services par le prestataire. L’ensemble de ces risques peut être jugulé par la mise en place d’un contrat spécifique et non générique. Il vous assurera que la prestation d’archivage répond bien à vos spécificités en matière de sécurité.

Partager cet article ...Share on FacebookEmail this to someoneShare on Google+Tweet about this on TwitterShare on LinkedIn