Vision

La conformité

La dématérialisation

Le stockage

Services StorageAcademy

Archives

Qui sommes-nous ?

Nous contacter

Les origines

La société informationnelle qui a émergé à la fin XXème siècle ne se réalise pas sans problèmes. Comment garantir une bonne utilisation de nouveaux moyens numériques, toujours plus nombreux et performants ? Comment assurer la protection des droits des citoyens et des entreprises ?

Pour cela, il a fallu créer de nouvelles lois. Comme il était difficile d’anticiper ce type de problème dans un domaine qui marquait une rupture technologique, économique et sociale aussi radicale, les nouvelles règles et lois ont été et sont créées après le constat de failles et manquements importants par rapport à celles qui existaient.

C’est ainsi qu’a été promulguée la loi "Informatique et libertés" du 6 janvier 1978, pour protéger les citoyens. Elle met l’accent sur des principes tels que : "L'informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques".

D’autres lois ont suivi, comme celle du 3 janvier 1979, qui définit ce qu’est l’archive, sans apporter d’aide pour définir les modalités techniques d’archivage. Puis la loi du 13 mars 2000 - "portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique" - aborde la question de l’archivage électronique légal (force probante, intégrité des données et traçabilité). Enfin des normes – recommandations des milieux professionnels - ont été proposées et utilisées, sans qu’elles puissent prévaloir devant la loi. C’est le cas de la norme AFNOR Z 42 013 qui formule des spécifications pour construire une solution d’archivage conforme à la loi.

Mais le début des années 2000 a été perturbé par plusieurs scandales qui ont ébranlé des sociétés américaines. La faillite d’Enron, en décembre 2001, a révélé la dérive d’un certain nombre de règles et de pratiques, et le cabinet Arthur Andersen, qui certifiait les comptes d’Enron, ne s’en est pas remis. La liste des entreprises en faillite dont les comptes étaient truqués n’a pas cessé de s’enrichir : WorldCom, Global Crossing, Parmalat, etc.

En conséquence, pour obliger les sociétés cotées à plus de transparence financière, la loi Sarbanes-Oxley (SOX) a été votée le 30 juillet 2002 aux Etats-Unis. A la suite de cette nouvelle réglementation américaine, a été adoptée en France, le 1er août 2003, la loi de sécurité financière (LSF) pour répondre à cette crise de confiance dans les marchés financiers. Une nouvelle loi - la loi sur la confiance dans l’économie numérique (LEN) - a été adoptée par l’Assemblée Nationale et promulguée fin juin 2004. Elle donne naissance à un véritable droit autonome de l’internet, renforce le contrôle sur les contenus par les hébergeurs et fournisseurs d’accès, responsabilise les sites marchands à l’ensemble de la chaîne de vente et impose le mode opt-in comme seul moyen d’envoi d’email par les professionnels de marketing direct.

Pendant cette même période, pour éviter que de tels événements se reproduisent et sous la pression des organismes internationaux, plusieurs secteurs d’activités – banques, assurances, santé, etc. – ont commencé à définir des règles de bonne conduite pour leurs activités.

C’est le cas, par exemple, des nouvelles réglementations Bâle II et IAS. Différentes analyses montrent des impacts significatifs sur les systèmes d’information et une criticité accrue des bases de données, ainsi que des contraintes fortes de continuité de service.

La conformité aujourd’hui

La conformité est un mot en vogue depuis fin 2003. En effet, la communauté mondiale est de plus en plus préoccupée par la conformité, la transparence et la gestion des risques.

En conséquence, les entreprises doivent :

• se conformer à des législations de plus en plus complexes ;
• jouer sur la transparence pour restaurer la confiance des investisseurs et des parties prenantes envers l’entreprise ;
• stocker et protéger les données ;
• se donner la flexibilité suffisante pour s’adapter aux changements des législations.

La conformité doit être considérée comme une discipline à l’échelle de l’entreprise. Elle doit être gérée et supportée par un responsable, et être étayée par des processus soigneusement conçus et une technologie appropriée. Comme d’autres disciplines, elle doit être intégrée dans tous les processus pour être efficace.

Une solution de conformité doit inclure les documents corrects, ainsi qu'un enregistrement des processus ayant permis de les créer. Cette trace permettra de savoir quand, comment, où et par qui ils ont été créés, qui les a modifiés pour la dernière fois, d’où ils proviennent et à quels besoins ils répondent. La documentation des processus et les logiciels de contrôle peuvent offrir un moyen d’attribuer et de documenter des rôles et responsabilités.

La description, l’automatisation et le contrôle des processus figurent au cœur de toute solution de conformité, mais une législation réglementaire complexe offre rarement aux entreprises une formule ou une liste d’ingrédients pouvant garantir la conformité. Il peut être utile de faire appel à un consultant : les meilleures pratiques sont en train de voir le jour pour certaines des nouvelles législations, mais beaucoup de points restent à définir.

La conformité implique des processus définis et des règles appropriées. Si les deux ne sont pas présents et cohérents, la piste d’audit est rompue et l’entreprise est exposée au risque. Une règle documentée, sur la manière dont une métrologie financière, par exemple, a été calculée, ne laisse aucune place au doute. La formulation des règles oblige également les entreprises à analyser et à standardiser la logique opérationnelle. Sur le long terme, ce processus permet toujours de gagner du temps et de l’argent.

Si les responsables informatiques en viennent à implémenter des projets uniques pour respecter les échéances de conformité d’une loi spécifique, ils passeront à côté d’opportunités de sécuriser à long terme pour leur entreprise. Il leur faudra faire face à d'autres réglementations. Il est, par conséquent, pertinent de créer un système de contrôle pour tous les objectifs que recouvre la conformité et de développer un programme d'amélioration continuelle. En outre, il est recommandé d’utiliser une structure de processus informatiques pour implémenter la conformité et les autres objectifs. Le CobiT, par exemple, est une structure idéale pour de nombreuses entreprises dans le monde.

En conclusion

La conformité est un domaine qui vient prendre sa place sur le devant de la scène informatique. Il faut la traiter, avec beaucoup d’attention, dans le cadre d’une gestion des risques, en prenant en compte l’ensemble des lois et règlements (internes et externes) qui concernent l’entreprise.