Veuillez me pardonner, Cher Monsieur Rabelais, pour avoir détourné votre si précieuse pensée, mais ayant vainement tourné et retourné lettres, mots, phrases et autres billevesées, sur l'essentiel à savoir le présent billet j'ai préféré corps et âme me consacrer...
Le sujet ? De la littérature ? Non ! Une réflexion philosophique ? Non plus !! Une révolte morale contre une injustice ? Encore moins !!! Tout juste l'envie de rappeler qu'il ne faut pas compter exclusivement sur la technique pour que s'instaure la "Confiance Numérique"...
"Ah tiens ! Il enfonce des portes ouvertes, le Monsieur (Pantagruel ?)" allez-vous penser ! Si, si, je suis persuadé que, pour certain(e)s, l'idée que, bien évidemment, la technique ne fait pas tout est "normale". Et en faire un article sur un blog, quelle exagération !
Mais... En êtes-vous si certains ?
Prenons deux exemples assez simples : la (sacro-sainte) signature électronique et un système d'archivage électronique.
Pour la première, corsons la chose en utilisant une signature avancée (grosso modo, avec un certificat numérique nominatif sur support physique et délivré à une personne dument identifiée par une autorité agréée). La totale ! Vous savez, celle qui permet de garantir authenticité, intégrité, fiabilité, non-répudiation et qui lave aussi plus blanc que bl... ah zut ! Là je me suis fourvoyé ! Enfin, revenons à ladite signature...
Donc, prenons un contrat de vente (document au format PDF/A-3 pour faire bonne mesure) et signons-le avec le client (l'autre Partie en fait, mais vous pouvez inverser les rôles, ça marche aussi), chacun avec son beau certificat classe III+). Bon. Jusque là tout va bien. Mais quelques jours plus tard, catastrophe : votre client dénonce le contrat ! "Pas de problème, j'ai mon document signé, il va voir ce qu'il va voir !" pensez-vous ingénument... Et là, re-catastrophe : Mme/Mr le Juge, pointilleux et/ou mal informé, rejette votre "preuve" ! Impossible ! Et bien non, justement !
Parce que, en vrac, vous ne pourrez pas prouver :
- que c'est bien vous qui avez signé (le certificat et la clé sont personnels, certes, mais les avez-vous gardés à votre usage exclusif ? Jamais "prêtés" ? Jamais laissé traîner dans un tiroir avec le code sur un post-it collé sous le clavier ?)
- que vous aviez le droit de signer électroniquement ce type de documents à ce moment-là (avez-vous déjà entendu parler des "politiques de signature" et des "politiques de validation/vérification de signatures" ?)
- que la signature se rapporte bien au document papier que vous présentez au Juge (oui, les tribunaux sont souvent encore à l'ère du physique, et rappelons aussi qu'une signature électronique, c'est du charabia qu'il faut savoir décoder !)
On continue ? Au tour du SAE à présent...
Vous avez fait, à grands renforts budgétaires, l'acquisition d'un magnifique Système d'Archivage Électronique (à Valeur Probatoire, bien sûr), et vous vous réjouissez que tous les documents de votre entreprise y soient désormais bien en sécurité. Pas de problème à l'horizon, le soft est "béton" : des prises d'empreintes partout, des vérifications même lorsque vous n'en voulez pas, une traçabilité complète de toutes les actions, etc, rien ne peut l'ébranler ! D'ailleurs, il est conforme AFNOR Z42-013 (certificat à l'appui) !
Alors où est le problème ? Tout simplement que vous avez certainement oublié (peut-être pas dans votre cas, mais on va faire comme si pour les besoins de la démonstration !) que (liste non exhaustive) :
- c'est toute la chaîne documentaire qu'il faut sécuriser, et ce depuis la production des données (par exemple votre GED préférée, un ERP, un CRM, ...)
- l'archivage ne peut se faire que conformément à une Politique d'Archivage et des Déclarations de Pratiques d'Archivage
- un document archivé n'est pas "mort" et qu'il suit un cycle de vie, incluant notamment sa pérennisation et son "sort final" (élimination, transfert, restitution, ...)
- un SAE est un système complet et non pas un produit simplement installé sur des serveurs, système qu'il faut savoir préparer, contrôler et réparer, ...
- il y a un certain nombre d'obligations en termes de sécurité, confidentialité, qualité, ... à respecter pour que la dimension probatoire puisse être établie
Naturellement, j'ai un peu schématisé, forcé le trait (pas tant que ça, finalement), et tout est condensé en quelques mots là où il faudrait un ouvrage pour en dresser les maux, mais nous pourrions trouver bien d'autres exemples dans bien des domaines. Et ne croyez pas que tout ceci n'est qu'élucubrations stériles : il existe d'ores et déjà des jurisprudences !
C'est pourquoi, à l'heure où l'émergence du domaine dans les mentalités se fait de plus en plus forte, où l'explosion démesurée du Numérique impose des usages stricts, nous devons tous veiller à ce que confiance ne se transforme pas en défiance.
Cela peut arriver si nous ne sommes pas vigilants et si nous n'apprenons pas à nous poser les vraies bonnes questions ; si nous oublions qu'il faut aussi établir des procédures, des processus, documenter les pratiques, etc ; et naturellement si nous ne (re)prenons pas conscience que les choses sont faites par des femmes et des hommes pour des femmes et des hommes !
Point de paranoïa donc (cela ne fera rien avancer du reste), simplement :
- ne nous reposons pas exclusivement sur l'aspect technologique (a fortiori d'un seul composant), la Confiance Numérique ne peut s'établir qu'avec un tout cohérent et démontrable, sur la base d'un constat vers un objectif bien défini
- n'oublions pas que l'Homme est indispensable pour que tout se mette en place et vive normalement, grâce à des experts (technologiques, juridiques, ...), des archivistes (leur métier change nécessairement, mais leurs missions demeurent), des informaticiens, des utilisateurs, ... et potentiellement des Juges !
Aucun commentaire:
Enregistrer un commentaire