Manifestation du CR2PA du 5 juin. Oséo et la protection des données

Le président Richard Cazeneuve remercie la direction d’Oséo pour son accueil et Françoise Philippe-Laroche pour la préparation active de la séance. Il salue la présence et l’intérêt d’un certain nombre d’éditeurs et les invite à se faire accompagner au CR2PA par leurs entreprises clientes.

Présentation d’Oséo

par Christian Provost, Directeur de l’Organisation et de la Maîtrise d’Ouvrage

Oséo est un « animal hybride » à la frontière du public et du privé, qui fait le lien entre les banques privés et l’administration, une société qui dépend du public mais dont les clients sont des entreprises privées. Chacun des établissements dont est issue l’entreprise est venu avec son système d’information, ce qui fait aujourd’hui du SI d’Oséo un système complexe

La mission d’Oséo est d’accompagner dans leur croissance les PME et les ETI (Etablissements de taille intermédiaires) en leur permettant d’investir et d’innover.

Oséo,  c’est un réseau de 37 implantations, 6 directions de réseau, 28 directions régionales ; 84 000 Entreprises soutenues en 2011 avec 31 milliards d’euros.

L’établissement qui a besoin d’exercer le secret professionnel dans un environnement où la mobilité de l’information est nécessaire au profit des différents partenaires.

Comment conjuguer confidentialité des données et circulation de l’information ?

Présentation du projet Archivage d’Oséo

par Françoise Philippe-Laroche

Oséo a lancé son projet GED, dématérialisation et archivage il y a 5 ans dans le contexte de la révision du PCA, avec l’objectif de sécuriser les pièces juridiques pour le service du contentieux. On constate que chaque région a son mode de conservation, locale ou externalisé. Il y a des sources d’économies potentielles.

Le site de Lyon, en raison de son déménagement, devient site pilote. Une étude du marché de la dématérialisation est menée dés juin 2007. Le dossier client fait l’objet alors d’une analyse de contenu par un groupe de travail regroupant tous les acteurs intervenant dans la constitution et le suivi de ce dossier. On établit  un « kit de classement » qui comporte 9 chemises avec les pièces essentielles de chaque dossier. Pour Lyon, l’existant est numérisé en l’état tandis que les nouveaux dossiers sont triés dans le kit.  Avec  le tri, on réalise un gain de 30 à 40% sur la volumétrie des dossiers.

L’outil du prestataire, CD DOC, est très vite pris en main et les équipes se voient offrir des écrans 24 pouces pour une meilleure lisibilité à l’écran ! L’opération est victime de son succès ! Le projet prend de l’ampleur et Oséo poursuit sa réflexion pour unifier ses procédures et ses outils.

Processus de dématérialisation cible chez Oséo

par Pierre-Emmanuel Muniesa

P-E Muniesa présente les principes de mise en œuvre de la solution IBM Entreprise Records- Plateforme File Net P8, retenue par Oséo.

Cette solution s’appuie sur une politique d’archivage : il est nécessaire d’identifier les documents qui sont des « records » et quels sont leurs cycles de conservation.  Dans la GED, on déclare que le document est un « record » et on lui applique donc un cycle de conservation long et une règle de conservation à compter du « cut-off ». Les étapes s’organisent sous forme de workflows (une dizaine de workflows standards mais il est possible d’en paramétrer d’autres). On utilise des plans de classements qui ne sont pas ceux de la GED mais ceux des « records » avec héritages des sous-dossiers.

Trois acteurs sont concernés :  la DSI, l’utilisateur Records Manager effectue les recherches, suspend le cycle de vie ; l’Administrateur Records Manager administre l’outil, les droits, assure le reporting. Les pré-requis à l’implémentation de ce type de système :

  1. avoir élaboré une politique d’archivage
  2. avoir rédigé des procédures
  3. avoir fait les choix technologiques

Débat « Donner des garanties, garantir les données »

Intervenants

  • François Xavier Ferrario, Inspecteur Général Oséo,

  • Christine Roule, responsable juridique Oséo

  • Marie-Anne Chabin, secrétaire général du CR2PA

Les termes du débat :

  • Donner des garanties : s’assurer de la qualité des données, que les dossiers sont fiables et les pièces justificatives sincères car elles sont les éléments qui fonde la décision
  • Garantir les données : dés le début et pendant tout leur cycle de vie

F.X. Ferrario : le rôle des inspecteurs, auditeurs, contrôleurs internes est d’assurer un contrôle périodique des opérations, et de viser à l’amélioration des processus de fiabilisation qui accompagnent l’activité d’Oséo.

Ch. Roule : depuis 2005, les obligations de secret professionnel se sont renforcées très nettement dans les conventions bancaires, notamment au titre de la loi informatique et libertés. Dans les contrats informatiques et les contrats de prestations, la question de la confidentialité des données est de plus en plus importante, on précise les moyens mis en œuvre pour sécuriser l’archivage.

Q. Donner des garanties est-ce plus difficile aujourd’hui ?

R. Oui car la technique avance plus vite que le juridique. Il est nécessaire d’analyser et d’anticiper l’état de l’art dans chaque métier. Le « risque de l’archivage » s’inscrit dans le périmètre de la grande sécurité bancaire, lui-même associé au secret professionnel bancaire. Il s’agit de l’obligation pour les banques de garder confidentielles les informations reçues de leurs clients. Le but du secret bancaire c’est la protection des intérêts du client et ce pendant toute la durée de son prêt et la durée de prescription (5 ans au-delà de la date de fin du prêt). Par conséquent cette obligation de secret professionnel bancaire a de lourdes répercussions sur l’archivage et la sécurité des archives.

Q. Est-ce que les obligations de la CNIL recoupent celles du secret bancaire ?

R. Les deux notions (CNIL et secret bancaire) sont différentes mais se recoupent.

Q. Chez Oséo, y a-t-il un maillon faible dans la chaîne pour garantir sécurité et confidentialité des données ?

Les participants font valoir leurs obligations de réserve !

L’enjeu de demain est de se préparer collectivement, c’est-à-dire les banques et l’ensemble des acteurs qui sont les clients et les partenaires d’Oséo, aux enjeux de l’intelligence économique. Toutes les procédures d’archivage, de dématérialisation … doivent tendre à la protection de l’information. Dans les banques, il faut adapter les dispositifs car la compétition internationale va devenir de plus en plus forte ; il faut se prémunir contre toute forme de récupération d’informations par des tiers.

Q. Est-ce que cela signifie qu’il faut être plus rigoureux sur la destruction des données et le partage de l’information ?

R. On a dit que le secret professionnel bancaire renforçait déjà les règles d’accès et d’archivage dans le secteur bancaire. Il s’agit là d’une plus forte coordination entre l’Etat, les entreprises et les banques. Le rôle des banques est de sensibiliser leurs clients et leurs partenaires à cette question de l’intelligence économique. Pour les prestataires l’enjeu est évident. Il est moins visible pour les clients. Il faut donc inscrire dans les contrats l’obligation de mieux gérer leurs propres données. C’est l’objet du projet de loi sur le secret des affaires.

Q. Quelle est la position des partenaires européens ?

R. Il existe la possibilité de lever le secret bancaire pour certains dossiers spécifiques. Dans ce cas on utilise la notion de chef de file ou la participation à un pool bancaire. Les processus sont un peu différents selon les cas. Face aux exigences de pérennité, il faut mettre prendre en compte les coûts de conservation numérique, s’assurer que la distinction est faite entre ce qui n’a pas besoin d’être protégé et ce qui doit être  « blindé ». Cela pose des problèmes techniques et juridiques. Les changements de support de l’information ne modifie pas la nature de l’information et les contraintes juridiques restent les mêmes.

Réactions de la salle

Les ajouts de couches successives de sécurité rende parfois impossible l’accès aux données lors qu’il est nécessaire à l’activité

Le risque d’image ou de notoriété est un risque majeur pour l’établissement bancaire.  L’obligation de secret fait partie de la culture interne. Il arrive que des infractions à la loi (texte CNIL et code pénal) soient commises par inadvertance, c’est pourquoi il est nécessaire de développer cette culture, les outils et les procédures y participent même si ils sont parfois vécu comme une contrainte pour l’accès aux documents.

Les progrès substantiels de l’informatique ainsi que la mobilité des collaborateurs de l’entreprise ont pour conséquence l’ouverture de l’entreprise ; toute l’information de l’entreprise se trouve aujourd’hui en permanence à l’extérieur de l’entreprise. Il est quasiment impossible d’éviter ce risque de la mobilité.

On protège, on verrouille, on sécurise … et on accède plus aux documents.

Tout le monde a déjà vu des post-it avec les mots de passe collés sur les ordinateurs ! Dans ces cas, les mesures sont plus organisationnelles que techniques.

L’intelligence économique impacte les règles d’archivage, nécessite de les renforcer par des règles d’habilitations et de rédiger des procédures.

Pour le contrôle interne, le mot clé est : « adapté », notamment à la demande des prestataires. Oséo est déjà très sensibilisé à ces risques mais demain quel sont les enjeux ? L’établissement bancaire est un maillon de la chaîne ; une coordination globale est nécessaire.

Finalement l’information contenue dans chaque document unitairement est sensible mais le risque réside surtout dans la globalisation de ces informations qui constitue un formidable outil d’intelligence économique. Ce sont les informations rassemblées qui deviennent extrêmement sensibles. Il faut donc prévenir les regroupements d’informations, la reconstitution de l’information. Et protéger l’évaluation de l’information dans le temps.

Actualités du CR2PA

Nathalie Morand-Khalifa IMO L’Oréal R&I, témoigne des répercussions bénéfiques en interne de la présentation du projet Retention data policy de L’Oréal lors de la rencontre CR2PA du 8 mars et la réalité du KRM.

Aurélien Conraux (BNF) et Frédérik Grelard (Banque de France) présente l’état d’avancement des groupes de travail du CR2PA : GT Aide à la maîtrise d’ouvrage, GT Bench entre adhérents.

Daniel Colas (PSA Peugeot-Citroën) nous informe que le Livre Blanc du CR2PA « L’archivage des mails ou les utilisateurs face aux mails qui engagent l’entreprise » a servi de base au développement d’un outil (CIMAIL, TEMIS, ATOS en partenariat avec Microsoft). Le CR2PA peut être la voie des utilisateurs pour faire évoluer les outils !

Richard Cazeneuve annonce deux publications du CR2PA pour la rentrée  :

  1. Un référentiel sur l’archivage managérial pour faire le point sur : un concept qui s’affirme ; les fondamentaux du records management et les bonnes pratiques internationales ; les rouages essentiels de la gouvernance de l’information et de la gestion des risques.
  2. Un livret de bienvenue pour les nouveaux adhérents.

Prochaine réunion plénière en octobre et AG des adhérents en novembre.

Compte-rendu rédigé par Chloé Tolédano que le CR2PA remercie vivement. Compte rendu complet sur le site www.cr2pa.fr dans quelques jours (pour les adhérents).