01net. | Actualités | Comparatifs et tests | Jeux | Astuces | Vidéo | Telecharger.com | Services | Forums
01net Pro Entreprise informatique
01net. web avec Google
Actualités gestion et logiciel informatique professionnel
Offre et recherche Emploi informatique internet
Salon conférences inofrmatique IT ebusiness 01
Informatique et TIC pour les PME TPE
Vidéos reportage entreprise acteur informatique
Retrouvez tous les services 01Net dédiés aux professionnels !
Télécharger logiciels Pro et progiciels
Livres blancs e-commerce informatique et nouvelles technologies
Retrouvez l'ensemble des dossiers de la rédaction 01net Entreprise
Les synthèses des bonnes pratiques sur les sujets IT du moment
01net Entreprises

Moreq 2, un cadre pour l'archivage probant

Tout récemment traduites en français, les spécifications de Moreq 2 sont un très bon cahier des charges pour mener un projet d'archivage électronique. Elles manquent cependant de pragmatisme.
01net.
le 08/01/09 à 00h00
envoyer
par mail
imprimer
l'article
Dans un contexte réglementaire où les besoins de traçabilité et de conservation des informations probantes vont grandissants, les spécifications de Moreq 2 viennent à point nommé. Mandatées par la Commission européenne, publiées début 2008 et traduites en français mi décembre par la direction des Archives de France (DAF), ces recommandations définissent un cadre pour l'archivage. Cadre qui s'applique aux ' records ', c'est-à-dire aux documents électroniques dans leur version définitive ?" par opposition aux documents de travail ?", qui engagent la responsabilité juridique de l'entreprise. Moreq 2 n'est certes pas le seul à couvrir cette problématique, mais c'est celui, à l'échelle européenne, qui l'aborde sous l'angle le plus métier. Il peut d'ailleurs être vu comme la déclinaison électronique de la norme ISO 15489 relative au records management (ou politiques de gestion des archives).
Quand faut-il capturer l'archive (ou le record) ? Quelles métadonnées lui associer ? Dans quel plan de classement s'insère-t-elle ? Sous quel format ? Avec quelle politique de conservation, de destruction ?... Toutes ces questions déjà d'actualité avec Moreq 1, publié début 2001 (et dont l'influence est restée limitée), trouvent avec Moreq 2 des réponses cette fois beaucoup mieux détaillées.

Définir un plan de classement hiérarchique

Ces avancées portent, par exemple, sur la notion de gel des archives, devenu critique. L'entreprise doit se rendre capable de réviser ses politiques de conservation et de stopper provisoirement la destruction de ses archives. Moreq 2 définit également le concept de document composite, terminologie utilisée pour décrire une archive logique constituée de plusieurs éléments physiques (fichiers, images, pages web etc.). De la même façon, il détaille le principe de hiérarchisation du plan de classement, ce dernier se décomposant en dossiers, sous-dossiers, volumes, sous-volumes, documents, composants. ' Un système d'archivage ne peut être conforme à Moreq 2 s'il ne respecte pas cette hiérarchie, ou n'associe pas aux différentes pièces des codes de classement et des identifiants uniques ', précise Marie-Anne Chabin, qui a traduit Moreq 2 pour la DAF. A noter que ces exigences, relatives au plan de classement, sont également au c?"ur de la DOD 5115, la norme d'archivage issue du département américain de la Défense.
Enfin, et c'est une grande nouveauté, plus de 80 % des prérogatives de Moreq 2 deviennent testables. C'est le cas, par exemple, avec les règles de conservation et de destruction : ' Si un utilisateur veut créer une règle alors qu'il n'a pas les droits, ou encore déclarer un record sans lui attribuer une durée de conservation, le système d'archivage doit signaler un échec ', explique Marie-Anne Chabin. Moreq 2 documente ainsi une série de tests sur différentes thématiques.
Pour le reste, le document reprend et renforce les grands principes du records management déjà exposés dans son ancienne mouture. Comme celui de la capture de l'archive, processus au cours duquel le document est enregistré, classé, enrichi en métadonnées puis figé. Cette déclaration, qui intervient à la fin de la durée d'utilité du document de travail, responsabilise l'entreprise. Autre grand principe abordé : celui du sort final de l'archive. Il s'agit de définir son délai de conservation ainsi que ses modalités de destruction (automatique ou non). Et ce en supprimant les copie générées ici ou là, mais en conservant tout de même une trace de la destruction. De nombreux autres points sont abordés, telles les problématiques de contrôle-sécurité ou de recherche-restitution.

Des spécifications en quête de valeur juridique

Seulement, bien que très complet, le document décrivant Moreq est relativement jeune et manque encore de sens pratique. ' Les spécifications indiquent bien que Moreq 2 est personnalisable. En revanche, on ne sait pas bien comment, regrette Marie-Anne Chabin. Les exemples manquent. Ils font particulièrement défaut dans les chapitres relatifs aux règles de destruction et à la gestion des métadonnées. ' Aucune piste n'est en effet avancée concernant leur format d'export ou les modalités de leur extraction. Qu'il s'agisse de métadonnées liées aux mails ou aux documents bureautiques.
Autre questionnement légitime : la bonne mise en application de Moreq 2. A la différence de la norme Afnor NFZ42-013, il n'a pas le statut de standard. Comment dès lors se conformer à ce guide de bonnes pratiques ? A ce jour aucune certification n'existe. Et quand bien même elles seraient effectives, quels éléments devraient être certifiés ? La brique technique du SAE (système d'archivage électronique) ? La méthodologie du projet ? Les deux ? ' La liste des exigences minimales pour la conformité à Moreq2 n'est pas précisée ', poursuit-elle.

Bien doser le degré d'exigence

Ces doutes sur l'application de Moreq2 induisent nécessairement la question de sa valeur juridique. Quelles garanties en cas de litige une entreprise aura-t-elle à implémenter ses grands principes ? Le juge sera-t-il sensible à cette implémentation ? La question a été longuement débattue lors de la présentation de Moreq 2 par Marie-Anne Chabin à Paris en octobre dernier. Pour Marie-Laure Laffaire, avocate associée du cabinet Lexvia, cela ne fait pas de doute : Moreq2 sera un prérequis en cas de contestation de document électronique. ' Le juge mandatera un expert qui le renseignera sur l'état de l'art en matière d'archivage. L'entreprise qui parvient à démontrer qu'elle a cherché au maximum à respecter les meilleurs pratiques du moment sera avantagée ', avance-t-elle. Moreq 2 fournit en effet une série d'outils pour tracer différents événements intervenant au cours de l'archivage, notamment le bon déroulement des règles. Attention, cependant, à ne pas s'engager sur un niveau d'exigences trop ambitieux : ' si les engagements formulés dans la déclaration d'intention devaient finalement ne pas être totalement respectés, l'effet devant le juge serait désastreux ', avertit-elle.
Mais, plus que la valeur juridique de Moreq 2, c'est la place accordée au juridique qui pose problème. Et pour cause, elle est quasi-inexistante. ' C'est vrai que le rôle de la fonction juridique est bien plus prononcé dans la DOD 5115, concède Marie Anne Chabin. Cependant, dans Moreq 2, le juriste peut intervenir dans l'élaboration de la politique d'archivage. Précisément celle qui définit la gestion des risques et des règles de conservation. '
Cette absence soulève cependant une délicate question. A savoir celle de l'impact juridique de l'archivage sur les documents à conserver. En théorie, le SAE n'est pas nécessairement neutre : ' Moreq 2 nous dit que les documents composites à archiver peuvent être transformés afin de préserver leur restitution. Seulement, dans quelle mesure cette modification n'altère-t-elle pas leur valeur juridique ? ', s'interroge Marie-Laure Laffaire. Même questionnement pour les droits d'accès. Du point de vue juridique, un module de DRM (gestion des droits numériques) apposé sur un document fait partie intégrante de celui-ci. Si, lors de son archivage, cette protection devait être levée, comme l'autorise Moreq 2, le document pourrait être lu par des personnes non autorisées. Ce qui, du point de vue du droit, est inacceptable.
Ces questions aujourd'hui sans réponses ne doivent cependant pas faire oublier que Moreq 2 forme un ' très bon cahier des charges. Je m'en inspire déjà fortement pour des missions de dématérialisation de documents ', affirme Gérard Weisz, consultant chez Sirius Systems, et père de la norme NFZ42-013. Pour certaines entreprises qui débutent en matière d'archivage Moreq 2 met le pied à l'étrier. C'est le cas pour l'Etablissement Public de Sécurité Ferroviaire, qui déploie pour mi 2009 un système de records management, limité dans un premier temps aux archives physiques. ' Pour la composante électronique, à défaut d'appliquer 100 % de Moreq 2, nous nous appuierons sur ses deux pierres angulaires : la définition de métadonnées, ainsi que l'élaboration du plan de classement et du référentiel de conservation ', prévoit Ingrid Dumirier, chef de projet archivage documentation. Pour d'autres grandes organisations plus déjà avancées en matière d'archivage, Moreq 2 est un moyen de conforter des choix. Chez France Télécom, il a ainsi permet de valider les métadonnées à conserver lors de l'archivage.
On l'aura compris, Moreq2 ne doit pas être envisagé comme un bloc monolithique. Chacun y trouve son besoin, comme le fait justement remarquer la Fedisa (Fédération ILM stockage et archivage) dans son guide consacré aux normes de l'archivage numérique : ' L'utilisateur doit sélectionner les éléments qui permettent au système d'être conforme à ses besoins. Pour chaque indication, il doit soit prendre le critère tel qu'il est énoncé, soit ne pas le retenir, soit encore l'adapter à ses contraintes. Par exemple le nombre d'utilisateurs ou une volumétrie de données à traiter. ' Toute la difficulté de Moreq 2 consiste donc à définir la liste des critères raisonnablement applicables dans le contexte de son entreprise.

Moreq 2

Moreq 2 est la seconde version de Moreq (Model Requirements for the Management of Electronic Records), un ensemble de specifications pour capturer, conserver et sécuriser des archives électroniques. Ces directives s'adressent aussi bien au monde privé que public.

Mandataire : la Commission européenne.
Prestataire : Serco, un comité éditorial fort de 8 experts européens.
Date de publication : février 2008.
Date de traduction par les Archives de France : décembre 2008.

Nathalie Morand Kalifa (département APH de France) : ' France Télécom applique Moreq 2 avant l'heure '

C'est en 2006 que le groupe Français déploie un socle d'archivage électronique. Ce système documentaire, développé en interne, s'inspire des spécifications disponibles à l'époque : la norme ISO 15-489 relative au records management et Moreq. Le périmètre est vaste, il concerne tous les documents à valeur probante du groupe, exceptés ceux relatifs à la chaîne de facturation.

' Notre service d'archivage électronique considère l'archive dès la création du document, insiste Nathalie Morand Khalifa, records manager au département APH de l'opérateur. Lorsqu'un utilisateur capture un document ou le crée dans la GED, il renseigne obligatoirement sa nature dans ses métadonnées '. Cette nature (un contrat par exemple) associe ou non un statut de ' future archive ' au document. Celui-ci reste ensuite stocké dans la GED jusqu'au terme de son utilité : ' C'est l'utilisateur qui, d'un clic, indique que le contrat est arrivé à échéance. Le document de travail devient alors une archive. ' La nuit, cette archive est transférée vers une baie de disque dédiée sur laquelle elle est conservée plusieurs années (un délai spécifique est associé à chaque nature de document). Si le document reste en ligne dans la GED, ses droits d'accès sont modifiés : il devient accessible à un éventail plus large de personnes, là où auparavant seul le service concerné le consultait.

Moreq et Moreq 2 ont aidé à choisir les métadonnées ou à adjoindre des identifiants uniques aux archives. ' Ils nous ont permis de structurer notre GED selon les problématiques de l'archivage. L'enjeu consiste à synchroniser au maximum les deux plans de classement alors qu'ils répondent à une logique différente. ' La GED manipule des documents unitaires, l'archivage, des dossiers : il ne considère pas tel contrat de Monsieur Durant, mais le dossier Durant dans sa totalité.

A l'avenir, France Telecom s'appuiera sur Moreq 2 pour gérer des archives mixtes (papier et électronique), restituer les archives dans leur format d'origine, mettre en place des règles de nommage ou gérer des habilitations pour accéder aux documents.

Des directives alternatives ou complémentaires

NFZ42-013. Moreq 2 ne couvrant pas les aspects technologiques du stockage comme la norme Afnor, les recouvrements sont minimes. Ils portent seulement sur les aspects de capture et de sécurité.

DGME-DAF. Ce standard d'échange est né en 2006 de la collaboration de la Direction de la Modernisation de l'État et de la Direction des Archives de France. Il spécifie un format d'échange lors des opérations de versement dans les plate-formes d'archivage. Pour l'heure réservé à l'Administration, DGME-DAF est complémentaire à Moreq 2.

DOD 5115. Directive issue du département de la défense américain. Très similaire à Moreq 2.

CIA 2008. Concurrent de Moreq2. Le Conseil international des archives (CIA) a validé un texte émanant d'une instance australienne, qui est en train d'être porté à la normalisation ISO sous le groupe de travail 46/SC 11. Il reprend les mêmes principes que Moreq2. Si ce dernier parle mieux à la sphère privée, les spécifications du CIA donnent plus de détails sur l'implémentation, au niveau de l'archivage, de problématiques métier spécifiques.

3 questions à... : Marie-Anne Chabin, consultante en archivage et traductrice de Moreq 2 pour le compte de la Direction des Archives de France

Moreq 2 étant impossible à appliquer en totalité, qu'en retenir ?

' Surtout les huit premiers chapitres. A commencer par les exigences relatives au plan de classement et aux règles de conservation. Autre priorité : le processus de capture des archives. Une capture qui s'applique à tous les supports et à tous les formats, et qui vise surtout les données non structurées. Enfin, le dernier volet essentiel concerne la sécurité. Il spécifie les contrôles d'accès au système d'archivage, garantit l'intégrité des archives et assure une traçabilité des accès. '

Moreq 2 semble davantage concerner le privé...

' C'est la situation historique en France. L'Administration prend très tardivement en compte les archives numériques. Elle les accumulent dans les systèmes documentaires plutôt que leur assigner un cycle de vie dès leur création. La situation est différente au Canada ou au Royaume-Uni. Mais cela commence à changer en France, comme en témoigne la présence accrue d'experts du secteur public dans les colloques consacrées à l'archivage électronique. Sans compter bien sûr la volonté affichée des Archives de France de promouvoir Moreq 2. '

Pourquoi Moreq 2 aurait-il plus de succès que la mouture de 2001 ?

' A l'époque la Commission européenne, pourtant à l'origine du texte, ne l'avait pas vraiment poussé. Et encore moins les institutions françaises. Cette fois, la Commission a mis plus de moyens en communication. Moreq 2 est désormais aussi poussé par les éditeurs de logiciels de gestion de contenu. Enfin, c'est pour beaucoup la gestion du risque qui favorisera l'adoption de Moreq 2. Or cette problématique est plus d'actualité qu'en 2001. '

Les points clés de Moreq 2

Le document original décrivant Moreq 2 compte 800 exigences et 330 pages (contre respectivement 400 et 134 pour Moreq). 66 % de ces exigences ont un caractère obligatoire. Par ailleurs, 91 pages sont consacrées aux 158 métadonnées, dont 76 sont obligatoires, 81 facultatives, et une quinzaine conditionnelles. En marge de la traduction effectuée pour le compte de la direction des Archives de France et enrichie par une introduction concernant son application dans le contexte français, le cabinet de conseil Archive 17 fondé par Marie-Anne Chabin a publié ' Le petit Moreq 2 illustré ' dont sont extraites les fiches ci-contre.

1. Plan de classement

Le plan de classement du SAE (système d'archivage électronique) doit être compatible avec le plan de classement métier de l'entreprise. Il doit aussi représenter des dossiers et des documents organisés en séries hiérarchisées. Ces éléments sont associés à des codes de classement hiérarchique. Dans l'idéal, le SAE peut clore un volume automatiquement sur la base d'une date, d'un délais ou d'une volumétrie.

2. Contrôle et sécurité

Les accès aux documents archivés doivent être tracés. Ils sont accordés à des profils d'utilisateurs et non à des personnes nominatives. Les opérations de sauvegarde relèvent des compétences de la DSI. Le choix de la fréquence, des documents, des supports de stockage relève, lui, de l'administrateur du SAE. La criticité des archives doit être spécifiée sous forme de métadonnées.

3. Conservation et destruction

Toute série, dossier ou volume a au moins une règle d'archivage. Les règles incluent une durée de conservation, un événement déclencheur, une date de ' sort final ' (révision, conservation permanente, destruction automatique ou après validation, transfert aux archives historiques). Enfin une correction apportée à une règle doit s'appliquer immédiatement à toutes les entités concernées.

4. Capture et déclaration

Qu'ils proviennent de l'interne ou de l'externe, les documents sont capturés, quel que soit leur format, sans que leur contenu soit altéré. Ils sont rattachés à un plan de classement, ainsi qu'à un ou plusieurs dossiers ou séries. Lorsque le document est composite, le lien entre ses composants est maintenu. Le système d'archivage doit privilégier l'extraction automatique d'un maximum de métadonnées. La capture des mails est effectuée depuis la messagerie.

5. Identification

A chaque entité du plan de classement (série, dossier, sous dossier, volume, document ou composant) sont attribués un code de classement (établi de manière hiérarchique) et un identifiant système unique. Ce dernier doit être généré à l'aide d'un algorithme UUID (Universal Unique Identifier) par le SAE. Les codes de classement de chaque série peut être combiné avec ceux des séries supérieures pour constituer un code de classement complet.

6. Fonction d'administration

Les paramètres originaux du système d'archivage doivent être reconfigurables, comme les droits d'accès et les codes de classement. Le système gagne aussi à être doté de fonctions étendues de reporting, pour traduire l'activité du SAE (documents capturés, consultés, archivés...) ou détailler les anomalies lors d'export ou de destruction. Enfin, dans certains cas, des documents à priori non modifiables doivent pouvoir être détruits pour se conformer à des exigences légales.

7. Archives physiques (optionnel)

A défaut de les stocker, le système doit pouvoir référencer les archives physiques externes (document électronique ou papier). Il doit garantir, dans ce cas, que leurs métadonnées sont soumises au même contrôle d'accès que celles des documents électroniques.

8. Archives et documents de travail

Si le système gère dans le même plan de classement des documents de travail et des archives, il doit être capable de distinguer les deux types d'entités. Autre exigence : soit archiver tous les documents de travail, soit les détruire, soit ne détruire que ceux ayant un certain âge.

9. Signature électronique (optionnel)

Si cette option est choisie, le système capture, vérifie et stocke les signatures électroniques, les certificats et les coordonnées des prestataires de certification. Il conserve une trace des vérifications opérées sur les documents signés électroniquement.

10. Chiffrement et DRM (optionnel)

En cas de document électronique chiffré, le système conserve sous forme de métadonnées le numéro de série du certificat électronique, le type d'algorithme, le niveau du chiffrement et la date de ce dernier. Si un DRM est présent, il doit pouvoir l'identifier, conserver le dispositif de contrôle ou bien le désactiver.

L'avis de la juriste : Marie Laure Laffaire (cabinet Lexvia) : ' les pièces maîtresses des procès ne sont pas encore numériques '

' En France, il n'y a pas encore eu, à ma connaissance, de contestation sur la valeur probante d'une pièce numérique. Il faut dire que ces pièces se limitent aujourd'hui aux seuls mails. Et lors de procès, on ne s'intéresse pas à leur forme, car ils sont accompagnés d'autres documents. Ils interviennent en cela dans un contexte cohérent. Par ailleurs, pour des questions d'image et de coût, aucune des deux parties n'est prête à contester la valeur d'un mail. Aujourd'hui les pièces maîtresses des procès sont donc sur papier. Avec le temps, et sous l'impulsion de la signature électronique, elles pourraient devenir numériques. Elles risquent alors d'être naturellement contestées par les parties adverses. D'où l'intérêt, pour une entreprise, de démontrer qu'elle a bien suivi l'état de l'art en matière d'archivage électronique. '

L'Avis du spécialiste : Gérard Weisz (AFNOR) : ' la norme Afnor Z42-013 est prête à faire peau neuve '

' La révision de la norme NFZ42-013 relative à la conception et à l'exploitation des systèmes d'archivage électronique est en phase d'homologation par le ministère de l'Industrie. C'est une question de semaines. Les principales nouveautés portent sur les supports de stockage. La norme reconnaît désormais le Worm logique ainsi que les supports réinscriptibles protégés par un scellement numérique. Comme toujours lorsque des avancées importantes sont en passe d'être réalisées, quelques combats d'arrière-garde tentent de freiner le dénouement des opérations. Après deux ans de travail et un large consensus professionnel autour du nouveau texte, il faut espérer que le marché pourra bientôt s'appuyer sur cette norme révisée pour faire progresser le numérique en France. Parmi les autres avancées de la norme révisée, on retiendra la référence à la norme ISO 15489 (Records Management) et à Moreq 2, une plus grande flexibilité de mise en ?"uvre grâce à la modularité des niveaux d'exigences à développer, et la prise en compte de certaines recommandations émises par le Forum des droits sur internet. '

L'avis de l'éditeur : François Pichon (Open Text) : ' rechercher le dénominateur commun entre les différentes normes '

' Il existe une kyrielle de normes ou directives sur lesquelles toutes les plates-formes de gestion de contenu pourraient en théorie s'aligner. Mais il serait impossible pour les éditeurs de maintenir des développements en parallèle. C'est pourquoi nous recherchons des troncs communs à toutes ces normes. Historiquement nous nous sommes conformés aux spécifications définies par la DOD 5115, quasi obligatoires en Amérique du Nord. Or ses récentes mises à jours partagent beaucoup de valeurs avec Moreq 2, comme la traçabilité des processus, la gestion de version du plan de classement ou les modalités d'import-export des archives d'un référentiel à l'autre. Courant 2009, Open Text se conformera à dautres spécifications de Moreq 2. '

publicité
Nos partenaires
 
Nous contacter | Charte de confiance | Notice légale | Conditions d'abonnement | 01net. recrute
01net. - 01men - RMC - RMC Sport - BFM BUSINESS - BFMTV - Association RMC-BFM