Découvrez les avancées de la gouvernance de l'information dans le 12ème rapport de Serda Conseil : signature électronique, bilan carbone, dématérialisation. Serda Conseil et Serda Lab du Groupe Serda/Archimag publient le 12ème rapport sur la Gouvernance de l’information numérique, des documents et des données. Nous menons cette enquête annuelle depuis 13 ans auprès d’organisations et d’entreprises de tous horizons où l’essor des technologies et la démocratisation de la digitalisation sont exponentiels. Ce baromètre annuel nous permet de prendre la température des évolutions en matière de systèmes de gestion de l’information, de mesurer les pratiques et les modes de traitement et d’accès aux informations, et d’identifier les thèmes émergents ou irritants sur lesquels nous alertent nos répondants. En effet face à une obésité d’informations toujours plus grandissante, à des modes de gestion de plus en plus outillés, à la fragilité de l’information numérique, ainsi qu’avec une multiplication importante des lois, normes et règlements régissant cette évolution numérique, la Gouvernance apparaît comme une réponse adaptée. De par son approche multidimensionnelle, sa prise en compte de la gestion des risques y compris environnementaux, et d’autre part sa considération de l’information comme ressource, la Gouvernance de l’information s’inscrit parfaitement dans les besoins opérationnels des organisations, que ce soient pour leurs équipes comme pour les interlocuteurs externes (clients, salariés, usagers, fournisseurs, …). Et 2023 nous apporte son lot de sujets structurants : maîtrise des risques, progression de la couverture de la Gouvernance dans les organisations, place des datas dans les programmes de GI, démocratisation des usages de la signature électronique, et timide mais actif accroissement de la mesure du bilan carbone de la dématérialisation. Nous vous souhaitons une bonne lecture du Rapport 2023 ! Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Le décret n°2016-1673 du 5 décembre 2016 pris pour l'application de l'article 1379 du code civil confère à la copie numérique la même valeur probante que l'original signé papier. Pour les documents sur support papier, c’est un appel à la numérisation des originaux signés et la possibilité ensuite de détruire les originaux papier. Pour les documents électroniques, c'est la possibilité de signer électroniquement et de ne pas éditer de papier. On est dans le zéro papier, dans l'ère du paperless pour tous. Pour rappel le Code Civil 2016 pour le droit des contrats, le régime et la preuve des obligations, contient un article très important en matière de support de preuve pour toutes les entreprises et organisations quels que soient leurs métiers ou activités : l'article 1379 relatif à la copie numérique fiable remplaçant l'article 1348 al.2 concernant la copie fidèle et durable. En effet cet article précise que "la copie fiable a la même force probante que l'original. La fiabilité est laissée à l'appréciation du juge". Il s'agit précisément du décret français n°2016-1673 du 5 décembre 2016 pris en application de l'article 1379 du Code Civil qui confirme la fiabilité des copies. En termes de sécurité, l'intégrité de la copie numérique constitue la qualité la plus importante du dispositif réglementaire. Pour garantir l'intégrité de la copie, les utilisateurs doivent disposer d'une empreinte numérique (signature ou cachet électronique, ...) afin d'assurer que toute modification ultérieure de la copie à laquelle elle est attachée est détectable (article 3). L'intégrité de la copie sera présumée (c'est à dire que naturellement elle est reconnue) lorsqu'est utilisé un horodatage, un cachet ou une signature électronique qualifiée. Autre élément essentiel qui consacre la reconnaissance de la copie numérique : le dispositif de stockage dans lequel reposera l’ensemble des copies numériques, un SAE ou système dit « d’archivage électronique ». Le SAE est largement recommandé, à la place d'une GED ou de tout autre ECM dans lequel toute le monde a plus ou moins des droits d’accès et de collaboration. Ainsi, ce décret permet de dématérialiser du papier en numérique avec le dispositif de sécurité requis applicable à tous les contrats (contrat de travail, contrat commercial, bail…), de conserver en archivage électronique des documents signés électroniquement et de supprimer le papier. Ce processus nécessite d'être encadré et documenté dans des procédures jusqu'à la destruction des papiers, de manière à garantir la chaîne de confiance qui sous tend une telle transformation dans une entreprise. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

On attendait que la certification d’une chaîne de numérisation en mode copie fiable en conformité avec la norme NF Z 42-026 soit possible. L’Afnor a décidé la création de la marque NF 544 dont le référentiel de certification a été diffusé et mis en application le 22 novembre 2018. Une mise à jour mineure à eu lieu en mars 2023. Désormais la chaîne en mode copie fiable, qui a vocation d’être conforme aux recommandations du décret n° 2016-1673 du 5 décembre 2016 relatif à la fiabilité des copies et pris pour l'application de l'article 1379 du code civil, peut être certifiée par Afnor certification. Cette capacité vient renforcer la réponse qualitative est prestataires en numérisation auxquels sont confiés des flux et stocks à numériser dans l’objectif de la suppression des supports papier. Elle vient également renforcer des offres de services mises en place en interne des organisations, qu'elles soient publiques ou privées : pour exemple un service d'archives ou un service de courrier ou bien encore un service de reprographie qui ajoutent ce nouveau service à leur catalogue. Le champs de la certification couvre les différents cas d’usage, à savoir la reprise de stock ou la numérisation de flux continus, à la fois en mode centralisé (mono-site) et en mode décentralisé (multi-site). Est également couverte les activités de copie fiables sous-traitées (pour exemple un service archives qui assure une partie courante de numérisation de stock et qui, pour un volume important et exceptionnel sous-traite la numérisation). Dans le cas ou pour cette partie sous-traitée, le sous-traitant est déjà certifié NF544, il n’est pas besoin de demander une extension du champs de la certification. Comme pour toute certification, la certification s’applique à un management de système et non à un simple dispositif technique. En d’autre termes, c’est la capacité à gouverner et faire évoluer le fonctionnement d’excellence de la chaîne numérisation en mode copie fiable à savoir le pilotage de la mise en œuvre, de l’amélioration, de l’anticipation et du contrôle. C’est pourquoi la clef pour les expert d’Afnor certification est bien la documentation produite et maintenue. C’est souvent là que le bât blesse ! Et la convention de numérisation en est le pivot, pivot qui est particulièrement bien précisé dans le cadre de la norme NF Z 42-026. Comme usuellement pour les certifications de systèmes, un dispositif d’audit interne ou/et externe est à mettre en œuvre selon la périodicité annuelle, l’audit de certification ayant lieu tous les 3 ans. Note d’attention : 1/ La chaîne de numérisation en mode copie fiable doit traiter tous les sujets de management/mesure de performance et gouvernance, d’organisation, de bâtiments/locaux, de sécurité, technique (architecture infra et applicative), de compétences (formation et qualification des personnels) et de dispositif d’audit / certification 2/ La chaîne de numérisation en mode copie fiable est complète dès lors qu’un système d’archivage conforme NF Z 42-013 intègre les versements des flux issus de la chaîne de numérisation en mode copie fiable. 3/ La mise en place d’une telle certification permet la suppression du support papier dès lors que l’analyse de risque a été produite et que dans le cas d’une mission de service public, l’autorisation d’élimination a été formalisée par l’autorité archivistique correspondante (pour exemple Archives départementales) Pour aller plus loin, n'hésitez pas à consulter cet article d'archimag.com. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Le processus des subventions est simple “sur le papier” (pardon, sur la tablette ou l’ordi !) : un demandeur (association sportive, entreprise, particulier, etc.), un dossier à nourrir de pièces justificatives, un ou des instructeurs. Mais aussi une commission avec ses membres pour l’attribution de l’instruction, les notifications de rejet ou d'attribution, le service ordonnateur pour valider la dépense, le service payeur, le contrôle financier... Ajoutons également les actions en amont comme en aval de questions/réponses, de précisions, de compléments, de commentaires sur l’état d’avancement du dossier. Et enfin le suivi et le pilotage de l’ensemble de ces actions, et nous avons peu ou prou l’ensemble des tâches associées. Très souvent, l’instruction d’un dossier est seulement pour partie dématérialisée, voire rematérialisée à un moment ou un autre (pour le passage en commission par exemple). De nombreuses ruptures sont également constatées entre dépôt du dossier sur le portail et l’enregistrement dans la GED, entre le portail et la commission, entre la commission et le flux financier sans évoquer l’archivage électronique réglementaire qui est souvent aux abonnés absents ! Aujourd’hui, de nombreuses solutions sont développées soit par les éditeurs ou des intégrateurs (sur des bases Share Point Portail ou Alfresco donc installables en interne (on premise) comme en mode SaaS ou Cloud). Soit par développement interne (certains ministères). Soit par un service de l’état (la solution Dauphin du Commissariat général à l’égalité des territoires). Ou encore en mode directement SaaS comme avec une solution type 6Tzen. Citons enfin demarches-simplifiees.fr portail développé par la DINSIC qui est utilisé par plus d’un millier d’administrations et qui à ce jour a permis le dépôt de plus de 100.000 démarches. Ils proposent tous de manière plus ou moins évoluée, un éditeur de formulaire riche incluant la gestion des formulaires à étapes (le plus souvent en respect du formulaire Cerfa 12156*05 ou COSA), le pré-remplissage des formulaires, le suivi de démarche personnalisé, souvent la prise en charge de France Connect. Ainsi, le “basic” revient à mettre en place une connexion avec France Connect voire des bases partagées inter-administration et un Front Office (FO) suffisamment ergonomique pour que l’usager ne se perde pas. Souvent le “service minimum” s’arrête là… et cela peut suffire dans certains cas… mais seulement dans certains cas ! Pour la plupart des autres cas, on aura besoin du travail d’échanges en amont de l’instruction (comment faire ?, suis-je éligible ?, ai-je des chances ?, combien ?, ...), de questions et réponses, de suivi de dossier (où en est mon dossier pour l’usager ? Et combien et à quel état d’instruction en sont les dossiers que j’ai à suivre pour l’agent de l’administration ?), de contrôle de complétude de dossier (alertes et demandes automatiques en cas de manquement ou de contenu pas à jour réglementairement), d’organisation des commissions (convocations, transmission, compte rendu de décision) de notification, d’instruction du paiement (comprenant également les transmissions Chorus par exemple). Et enfin de suivi des activités et projets subventionnés (évaluation). Selon mon expérience, il faut être simplement adaptatif : pour des subventions simples, un portail front office peut suffire, mais pour des subventions complexes comme volumétriques, des solutions plus élaborées sont nécessaires. En quand des applications métiers pré-existent, des connecteurs ou des décommissionnements de certaines fonctions de ces applicatifs métiers sont à développer ou opérer. C’est dire que la dématérialisation des subventions peut être très simple comme plus complexe, et du coup avoir besoin d’un court cadrage préalable et indispensable à mon avis ! Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Le nouveau règlement RGPD et avant lui les directives de la CNIL imposent des durées de conservation maximum de certaines informations. 3 exemples • Les CV reçus par une entreprise ou une organisation publique doivent être détruits immédiatement si le candidat n'est pas retenu ni pour le poste à pourvoir ni dans le cadre d'un futur recrutement. Autrement, possibilité de conserver le CV pendant 2 ans après le dernier contact avec le candidat (recommandation CNIL 20 juillet 2012). • Les photocopies de pièces d’identité et les extraits d’acte de naissance doivent être détruits 1 an après la cessation de fonctions d’un agent du service public. • Les données figurant dans un dossier médical doivent être conservées 10 ans à compter de la consolidation du dommage. Disponibles en ligne, nos deux bases de données des durées de conservation des documents Archimag vous permettent de connaître les durées légales de conservation et le sort final des principales catégories de documents de votre organisation. Pour chaque catégorie de document, la durée légale de conservation (DUA) et le sort final associé sont affichés, accompagnés du texte de référence consultable en lien direct sur Legifrance. Un conseil ou commentaire facilite l’application. Partenaire d’Archimag, le cabinet d’avocats Lexing-Alain Bensoussan, spécialisé en droit du numérique et des technologies avancées, a validé l’ensemble des contenus. Le contenu de nos bases de données spécialisées : • 4 domaines (fonctions régaliennes, politiques, support comme santé, marchés publics - et annexes), comprenant 4 niveaux inférieurs. • Chaque domaine comprend ensuite 3 sous-niveaux. • Plus de 500 durées légales de conservation et de sort final, sous forme de tableaux de gestion. • Nouveauté Base de données du Secteur public : Une identification dite “RGPD” : les catégories de documents attenants aux données personnelles sont identifiées afin de faciliter le travail des archivistes et Data Protection Officers (DPO). C’est cette fonctionnalité à laquelle nous allons nous intéresser aujourd’hui, en prenant pour exemple un document lié au dossier Agent. 1 - Identifier les documents liés au RGPD Lorsque l’on tape le mot “rgpd” dans la barre de recherche, on retrouve 174 documents pour lesquels les informations contenues sont liées aux données à caractère personnel et méritent une attention particulière (cette recherche fonctionne également avec les mots clés suivants : DPO, données, personnelles). Mais comment faire pour savoir si un document en particulier y est soumis ? C’est ce que nous allons voir dans l’étape 2. 2 - Chercher un document précis dans la base de données Prenons l’exemple du Bulletin de paie, document le plus courant dans les organisations publiques et privées. En tapant “Bulletin de paie” dans la base, je vois les résultats de recherche contenant “bulletin” ou “paie” (en tapant également “fiche de paie”, on retombe sur ce même résultat). Si vous regardez sous chaque résultat de recherche, vous verrez un certain nombre de mots clés en gris. Si le mot “rgpd” y est présent (ou encore “dpo”), c’est que le document et sa durée de conservation sont soumis au régime de protection des données personnelles. 3 - Rechercher des documents RH Il est possible également d’effectuer une recherche croisée avec les termes “rgpd” et “ressources humaines”, mais ce n’est pas le meilleur moyen de s’y retrouver. Pour cela nous vous invitons à passer par l’arborescence de la base de données, vous y trouverez la liste détaillée de tous les documents attenants. Pour savoir si le document que vous avez trouvé dans la liste est soumis au RGPD, il vous suffit de le copier / coller dans la barre de recherche au-dessus de l’arborescence, et de vérifier suite à cette recherche avancée si le terme “rgpd” est mentionné dans les mots clés. 4 - Où trouver la DUA ? Une fois que vous avez trouvé le document qui vous intéresse, par exemple le bulletin de paie, il vous suffit de cliquer et une nouvelle fenêtre s’ouvre dans laquelle toutes les informations s’y trouvent (durée de conservation, lien vers le texte réglementaire, et pour certains documents complexes un commentaire du cabinet Lexing-Alain Bensoussan avocats pour vous aider dans la création de vos tableaux de gestion). Vous trouverez une vidéo explicative ainsi que le détail des tarifs de cette base sur le site Archimag ici. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Retour d’expérience en EP (établissement public) que Serda Conseil a accompagné récemment : quelles sont les bonnes pratiques en matière de signature électronique pour la passation des marchés ? Pour rappel, la signature électronique garantit l’identité de l’EP comme celle de l’opérateur économique du fait qu’elle ne peut pas être falsifiée ou copiée. En parallèle, par application du procédé technique de calcul d’empreinte, la signature électronique d’un document permet de garantir son intégrité. Enfin, la signature, comme la signature manuscrite, engage le signataire qui ne peut plus se désengager. A noter qu’au regard des marchés, que dit maintenant la règle : aujourd’hui la signature sans être obligatoire est fortement recommandée et elle sera très probablement rendue obligatoire d’ici 2 à 3 ans dans le cadre plus général de l’Action publique 2022. Mais dès lors que l’EP adopte la signature électronique, les règles à respecter sont au nombre de 4: 1 - il est nécessaire de spécifier dans le règlement de consultation (RC) que la signature électronique est requise, 2 - dès lors, l’EP et les opérateurs économiques sont tenus de l’exécuter, 3 - la signature utilisée doit être de la catégorie « qualifiée », soit une signature de niveau RGS 2 étoiles (processus traduit par une remise en mode face à face en main propre), 4 - que la signature soit vérifiée (et que la vérification soit évidemment tracée) au dépôt d’une pièce de la part de l’acheteur public (AP) ou de l’opérateur économique (OE). On pose souvent la question : qu’est-ce qui doit être signé parmi toutes les pièces du marché ? Toutes les pièces, ou seulement certaines ? Là encore, les textes (arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique) sont là pour rappeler que pour l’EP, seule la notification, l’acte d’engagement et les courriers de rejet et de classification sans suite doivent l’être. Du coup, les CCAP, RC, CCTP, BPU, et toute autre pièce ou annexes n’ont pas à l’être. Ce point est important car cela limite le nombre de personnes qui vont devoir signer et de ce fait, va simplifier le processus. En ce qui concerne l’OE, c’est au moins l’offre finale qui va être déposée qui doit être signée et cela inclut l’Acte d’engagement, le CCAP, etc. et tout autre document que l’EP exigera de voir signer. Il appartient à l’EP de spécifier lesquels dans le règlement de consultation. Ceci étant, en tant que Conseil, nous recommandons d’éviter d’exiger de la part de l’OE de signer de nombreuses pièces. Et dernière question : est-ce que dorénavant, tous les échanges qui sont rattachés à un dossier de marché par voie électronique et signés électroniquement doivent être également en mode électronique dans le cadre de son exécution ? La réponse est oui et aussi non : si rien n’est spécifié dans la documentation du marché (notamment les modalités de transmission par voie électronique), alors les échanges peuvent encore être effectués sous format physique ou par courrier papier. Si par contre, les règles du marché l’exigent, le mode dématérialisé s’impose à l’OE et donc aux deux parties. Notre conseil est bien sûr d’utiliser ce levier réglementaire pour passer au tout numérique afin de pouvoir réduire les coûts et garantir les retours sur investissement (ROI). Ce long préambule indispensable posé, deux sujets doivent être traités pour concevoir et mettre en œuvre le processus de signature électronique : - D’une part le sujet de la plateforme de dépôt et d’échange des pièces du marché dans le cadre de la passation (depuis le 1er octobre 2018 pour les marchés supérieur ou égal à 25 000 euros HT, les acheteurs doivent se doter d’un profil d’acheteur (une plateforme de dématérialisation des marchés publics. Ces plateformes permettent de mettre à disposition des documents de la consultation, de réceptionner les documents transmis par les opérateurs économiques et de réaliser et tracer les échanges, cf. arrêté du 14 avril 2017 relatif aux fonctionnalités et exigences minimales des profils d’acheteurs) : la plateforme de dépôt fournit-elle la signature électronique à l’EP et/ou à l’OE ? Produit-elle les preuves du dépôt avec son dispositif d’horodatage et de transmission de ces preuves à l’OE ? Ici les plates-formes, sans se valoir toutes, disposent de modalités assez proches fonctionnellement et techniquement. Certaines disposent également d’un archivage électronique soit intégré, soit facturé en complément. Ici l’EP en retour d’expérience a retenu la plateforme des marchés publics de l’Etat PLACE qui convenait et intégrait également le système d’archivage électronique (SAE) Atlas. - D’autre part, le sujet de l’instruction de la signature électronique au sein de l’EP pour instruire le processus d’engagement (Acte d’engagement, courriers de rejets, voire avenants, etc.). C’est là que la complexité se révèle du fait qu’il s’agit d’adapter l’organisation interne à l’EP, dont on sait que pour toute organisation interne, le terme de « changement » ou de « changement à piloter » n’est pas un concept à prendre à la légère. Qui va signer : le service utilisateur ? Le président de l’EP, un ou plusieurs directeurs selon sa compétence en termes de montant ou de type de marché ? Quelles délégations de signature mettre en place ou modifier ? Plusieurs possibilités sont disponibles « au catalogue des services » : parapheur papier puis signature électronique par un Directeur (chaque signature manuscrite dans le parapheur papier ayant valeur de visa ou d’approbation par les responsables de services), le parapheur électronique qui gère le premier niveau de visa électronique acté par un engagement dans les services et également le second niveau de signature électronique RGS 2 étoiles appliquée par un (ou plusieurs) Directeur (s) ou le Président. Dans le cadre de l’EP, c’est la logique de la dématérialisation complète qui a été le fil rouge de la mise en œuvre : parapheur électronique avec visa et signature RGS 2*, modélisation du processus de passation des marchés en lien avec la plateforme PLACE. Ce type de sujet est la plupart du temps perçu comme complexe réglementairement, techniquement, humainement et au plan de l’organisation. Ici la prise de décision pour ce projet est intervenue dans le délai assez normal pour un AMOA pour ce type de sujet d’un mois : point d’acculturation sur le sujet, entre 1 et 4 ateliers avec les représentants de la chaîne d’instruction des marchés, un grand sponsor qui fait partie du CODIR pour la décision, et… le sujet est clôt et les actions immédiatement engagées. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

VITAM (pour Valeurs Immatérielles Transmises aux Archives pour Mémoire) est un programme interministériel visant à réaliser et à maintenir de façon mutualisées une solution logicielle libre de type back-office d'archivage numérique. VITAM a vocation de répondre aux besoin d’archivage réglementaire comme d’archivage historique. L’objectif est de faciliter la mise en place d’une telle solution. En effet, il manquait un modèle pour organiser et couvrir l’ensemble des fonctions nécessaires. Dans la lignée du déploiement de VITAM, une étude à été lancée et pilotée par le SIAF, VITAM et ses 3 porteurs. Les conclusions rendues répondent aux 3 questions suivantes : quels processus ? quelles compétences prévoir ? quels budgets programmer ? quelles périodicités respecter ? Les équipe conseils de Serda et Mintika ont co-produit cette documentation, destinée à tout manager ou porteur d’un projet d’archivage électronique. Qu’il porte sur l’archivage intermédiaire à durée longue ou à vocation probatoire ou sur l’archivage définitif ou à vocation patrimoniale. Quand mettre en place un dispositif élaboré pour son SAE en matière de préservation des ressources numériques ? Parlons ici de durées de conservation qui impliquent d’anticiper sur les obsolescences des formats et supports. Disons pour faire court que cet effort d’organisation de la préservation va concerner les archives dont les délais de conservation devraient excéder les 5 ans (échéance technologique bien connue des SI et archivistes). A partir du moment où la politique d’archivage a défini le périmètre, l’étude sur la modélisation de la préservation et les risques associés, va permettre de répondre aux questions : que prendre en compte ? Quelles fonctionnalités développer ? Quelles compétences, quelles expertises et quels profils recruter ? A quel moment ? Comment organiser la préservation ? Etc. On trouvera dans le lien toute la documentation mise en ligne par les équipes du SIAF : la cartographie des concepts, la bibliographie, la webographie, la synthèse des principales normes et référentiels, et enfin la très riche modélisation des processus de préservation. Nous avons également décliné cette modélisation pour évaluer des scénarios de budgets, charges ou compétences. Pour cela, nous avons appliqué les règles sur des périodes avec des cycles de 25 ans. Ces périodes incluent entre autres les migrations, les contrôles et audits et les dispositifs de veille et de restauration de données. C’est ce dispositif qu’il convient pour chaque projet d’archivage électronique de définir afin de permettre à la Direction générale de provisionner charges et budgets nécessaires. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

L’archivage des dossiers des urgences est un sujet récurrent pour les centres hospitaliers. Ils sont encore trop souvent créés systématiquement par le service des Urgences à chaque passage. Que le patient ait ou non déjà un dossier médical lié à son nom suite à une hospitalisation précédente. Et qu’il soit ou non hospitalisé suite à son arrivée par les Urgences (SAMU, Pompiers, ou arrivée directe). Cela inclut autant les dossiers du service que les enregistrements d’appel. Créés à part, ils sont exponentiels en termes de nombre. Mais, ils restent peu volumineux en taille car contenant très peu de documents mais plutôt des annotations médicales et des résultats d’examens. Ils sont constitués le plus souvent sans lien avec le Dossier Patient informatique (ou « DPI ») et encore souvent en papier. En termes de conservation, ils sont référencés par jour de passage, année calendaire, et numéro d’enregistrement donné par les urgences. Ils ne sont pas toujours versés aux services d’archives médicales du Centre hospitalier ou seulement après plusieurs années. Et de toute façon ils ne sont que rarement rapprochés du DPI ou d’autres dossiers médicaux existants. Et pourtant, la même obligation de conservation s’applique à savoir 20 ans date de dernier passage. En l’occurrence date de passage du patient aux Urgences, conformément à l'article R1112-7 du Code de la santé publique. C’est pourquoi ce type de dossier médical est mis en évidence au sein de l'onglet "Médical patient". Nous y retrouvons : les durées de conservation du « dossier de passage aux urgences », ainsi que les indications de sort final (ici "tri"), ou encore la valeur primaire et secondaire du document (ici "administrative" / "probante"). Un lien vous redirige systématiquement vers le texte de loi, et vous avez la possibilité d'enregistrer vos recherches en PDF. Rendez-vous ici pour en savoir plus sur les bases de données des durées de conservation des documents. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Les mutuelles sont actuellement au cœur de vastes programmes de dématérialisation : cellule de numérisation, outils de GED, RPA (robotisation des processus), etc. Ces projets visent notamment à fluidifier la relation avec les adhérents, réduire les temps de traitement des équipes et sécuriser les gigantesques volumes de données qu’elles gèrent au quotidien. Face à la multiplication de ces projets et à l’accroissement des flux numériques (mails, pièces jointes associées, documents signés électroniquement, courriers scannés formulaires,…). Voici 5 conseils pour appréhender la gestion documentaire et l’archivage des documents et data : 1 - Être attentif à la sensibilité de la donnée et aux acteurs associés au traitement : vérifier les conformités réglementaires et normatives des prestataires partie prenante du projet (agrément Hébergeur de Données de Santé dans le cadre d’une externalisation de l’hébergement), paramétrage des droits d’accès des outils, anonymisation de la donnée le cas échéant… Cela peut paraître évident, mais la réglementation en constante évolution est parfois insuffisamment maîtrisée. 2 - Dissocier la gestion courante des documents dématérialisés (traitement de documents numériques par les gestionnaires) de l’archivage électronique à valeur probatoire (conservation des documents et des data, et traces de preuves). Les outils, l’organisation, les référents et les exigences normatives ne sont pas les mêmes. 3 - Définir des règles de gestion et d’archivage électronique et les intégrer dans son organisation : au même titre que ce qu’on fait pour l’archivage papier, il est indispensable d’appliquer des règles de durées de conservation, d’accès et de classement, et de sort final à ces mêmes documents. 4 - Intégrer l’analyse de risque dans la cadre de la gestion documentaire et de l’archivage : tout n’a pas vocation à être archivé. Il convient au préalable d’identifier l’importance des documents (vitaux, probants, informatifs…) et d’y associer des outils et organisation adaptés à la valeur des documents. Car l’analyse de risque se base à la fois sur le cadre réglementaire lié aux durées de conservation mais également sur l’étude des contentieux actuels et passés. Cette étude préalable vous permettra ensuite de vous orienter vers le ou les type(s) d’outils le(s) plus adapté(s) à vos besoins (Ged, ECM, Coffre-fort Numérique, Système d’archivage Electronique…). Ce sont vos besoins qui déterminent l’outil et non l’inverse…. 5 - Enfin, quel que soit le choix de l’outil ou de service choisi, il est très important d’être attentif a minima au Plan de Reprise d’Activité : en cas de panne machine, problèmes techniques ou humain, prévoir les actions et l’organisation afin d’y remédier*. *Certains établissements sont par exemple pourvus d’un second site de numérisation courrier en cas d’arrêt du site principal. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Qu’est ce que la norme ISO TR 18128 ? Le référentiel ISO 31000 Management du risque recouvre la famille des normes internationales relatives à la gestion des risques. Dans ce cadre général, la gestion des risques est considérée comme un processus organisationnel central et critique dans lequel les risques sont pris en compte. Les directions générales comme le management considèrent que la gestion efficace des risques est essentielle pour la réalisation des objectifs de l’organisation qu’elle soit publique ou privée. Les questions posées auxquelles il est nécessaire d’apporter des réponses en terme d'évaluation, de gouvernance, d’audit, de traitement et d’amélioration couvrent les activités supports (décisionnel, RH, finances, logistique, etc.) comme les activités métiers (culture, urbanisme, sécurité, etc. pour le secteur public, ou la construction, fabrication, services, etc. pour le secteur privé). En parallèle des exigences exposées dans ces référentiels généraux de la grande famille des ISO 31000, on oublie trop souvent leur pendant pour le domaine général de la gestion documentaire. J'entends ainsi la documentation, les archives et autres contenus produits et reçus dans le cadre des activités de chaque organisation. J'entends également la gestion des risques applicable aux informations dans le cadre d’un système de Records management et d’archivage. Les données collectées, les transferts de données ou encore des données personnelles (données client ou citoyens) sont bien entendu concernées ! On peut également associer les sources de données comme l'open data. Le cœur du sujet est donc bien d’utiliser les données dans une stratégie de réduction des risques ! Ce besoin est aujourd’hui couvert par le guide d’application (qualifié de technical report dans la production normative ISO) libellé ISO/TR 18128 et intitulé Risk identification and assessment for records systems (ou identification et évaluation pour les système de gestion des documents d’activités). Le rapport technique fournit une méthode d’analyse des risques liés aux données et documents entrant dans le périmètre du records management et liés aux dispositifs organisationnels et techniques dans lesquels ils sont gérés et conservés. Naturellement, l’analyse des risques qui est spécifique au périmètre du records management doit être intégrée au programme général de gestion des risques de l’organisation. On ne déploie pas du reste un système de records management sans l’inscrire dans le dispositif général d’organisation et de gestion. Quels sont les rôles et outils pivots ? Le Risk Manager (quand il existe) est par conséquent étroitement associé tout au long du processus de la mise en place de la gestion des risques pour le records management. Au delà de ce rôle pivot dans les organisations qui est souvent attaché au secteur privé, les profils de DPO pour la protection des données à caractère personnel (RGPD / CNIL) ou RSSI (pour la sécurité SI) sont également pleinement concernés par le sujet. En compléments, il est utile de retenir les solutions comme les coffres forts numériques (CFN), les solutions de gestion de contenus (ECM), l’archivage numérique (SAE) ou encore les outils comme les plans de classement, durées de rétentions pour respecter les obligations légales, etc. Que couvre l’ISO 18128 (2014) ? L’ISO 18128 résonne avec la série de normes dites management de système ISO 3030X (soient 30300, 30301 et 30302 centrées sur la gouvernance d’un système de records management et sur la capacité de ce système d’être certifié). Du coup, c’est un référentiel important pour qui a ambition de déployer le records management et l’archivage ou encore une politique de gouvernance de l’information dans son organisation. Le Guide est essentiel pour une application systématique dans le contexte du records management. Il couvre trois processus dédiés à la maîtrise des risques relatifs à la gestion de l’information et donc à la criticité des données et des documents : l’identification du risque (chapitre 5) ; l’évaluation de ce risque (chapitre 6) ; la tenue du registre des événements (chapitre 7). Le premier point est le prérequis pour mettre en place et maintenir le processus de records management dans l’organisation. L’identification des risques va permettre de définir puis d’acter la politique de records management qui est, comme on le sait maintenant, le soutien de la gouvernance de l’information (GI, processus en cours de normalisation au niveau ISO actuellement). L’analyse des risques est très pragmatique et immédiatement opérationnelle (nous l’utilisons la plupart du temps pour mener nos mission de conseil et d’AMOA). Elle permet de répondre aux questions suivantes : doit-on créer ou non tel ou tel document ou telle ou telle donnée formalisée (contenu de formulaires par exemple) pour répondre au risque de l’activité métier (contrat client, saisine citoyen, demande de subvention d’une association, contrat fournisseur ou marché, etc.). Ces décisions doivent être éclairées par l’analyse des exigences avec les métiers et les professionnels du records management ou des archives, avec bien entendu en associant étroitement les professionnels du risque (RM, RSSI, DPO, etc.). A partir de cette identification et sur la base de la détermination des données qui seront créés, créés et intégrés dans le système de records management et d’archivage pour chaque processus métier, vous avez besoin d’apporter la réponse à différentes questions. on peut les formuler selon : - comment ? - quand ? - quelles métadonnées ? - quelle signature ? - quel scellement ? - quel cryptage ? - quel format ? - quelle responsabilité ? - quels contrôles humain ou informatique ? - quel processus d’intégration dans le système ? - quels accès ? - quelles durées de rétention ? - quel sort final ? - quelle réversibilité ou migration ? Quels sont les 20 points d’analyse de risque du Guide ? Ce premier chapitre, du fait qu’il s’agit d’un Guide d’application, décline pragmatiquement les actions en sous chapitres qui sont eux mêmes présentés en 2 parties : 1. Les sujets à prendre en compte : Pour exemple le sous chapitre 5.2.5 nommé “menaces externes”. On y trouve une pré-liste de points à documenter, comme : - Intrusion externe non autorisée dans le système de gestion RM - Exploitation de vulnérabilités non surveillées entraînant une dégradation des informations - Intrusion dans les espaces de stockage (matériel ou SI) - Cyber-terrorisme... 2. Une check-list à compléter et personnaliser selon votre contexte et destinées à aider le professionnel à poser les bonnes questions, comme pour exemple toujours le sous-chapitre 5.2.5 : - Des mesures de sécurité sont-elles mises en place pour protéger le système documentaire des accès non autorisés et des actions malveillantes? - Les sauvegardes critiques sont-elles conservées dans un espace isolé hors du réseau standard, de sorte qu'une attaque malveillante ne puisse pas détruire le contenu via un seul point d’intrusion ? Du coup quels sont les 20 points d’évaluation qui correspondent à chaque point de risque ? Dans ce chapitre, on retrouve les méthodes d’évaluation des risques habituels de la famille des ISO 31000 mais qui sont ici appliqués au records management. L’intérêt est la mise à disposition des professionnels des matrices et tableaux opératoires dans lesquels ont retrouve les critères comme la probabilité (occurrence), les catégories d’impact (4 niveaux proposés). Un registre des événements signalés doit-il être tenu ? Le chapitre 7 expose des exemples d’enregistrement de signalements qui sont à noter dans un registre à jour (identifiant, nommage, dates, exposé, évaluation des impacts et du coût, exposé du traitement et de la mitigation, date de la dernière évaluation. C’est évidemment une action critique d’autant qu’elle constitue le pivot pour le bon fonctionnement de la “roue de Deming” (PDCA) indispensable à tout dispositif de management de systèmes. Quelles sont les recommandations ? Au plan méthodologique, nous accompagnons nos clients sur la base de cette approche à 3 niveaux (analyse, évaluation, registre). A notre expérience, les 20 points et critères ont systématiquement besoin d’être adaptés et simplifiés en fonction du métier, du secteur public ou privé, du périmètre et de la maturité en matière de management des risques voire de management “par” les risques. A votre avis : y a-t-il donc bien un RM (records management) dans le RM (risks management) ? Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Comment accompagner le changement, avec en exemple une nouvelle GED pour mieux servir les utilisateurs. La dématérialisation des flux d'information est un grand défi pour la transition numérique. Organisations publiques et privées, PME et grands groupes, services et industries, finances et collectivités, tous les métiers sont touchés. La question n’est plus de savoir si on va reprendre des fonds documentaires papier ou pas, mais plutôt comment on va intégrer aux flux d’informations natifs issus des applications métier ou d’autres bases de données et d’espaces bureautiques, la reprise d’éléments papier qui peuvent encore exister : courriers entrants qu’on va vouloir numériser à travers une GEC ou Gestion électronique de courriers, messages et pièces attachées dans une messagerie professionnelle et toutes autres productions bureautiques sur lesquelles on peut être amené à travailler dans le cadre d’un processus métier. Ainsi vont de pair la révision pour une meilleure automatisation des processus métier et leur association aux flux d’informations concernés et que l’on souhaite optimiser, pour avoir un parcours complet dans la réalisation d’un processus métier le plus fluide et sécurisé possible. On en attend évidemment des gains d’efficacité et d’optimisation notamment dans les délais, mais aussi de fiabilité et de traçabilité permettant ainsi d’opérer voire de contrôler au fur et à mesure le processus documentaire en même temps que l’on traite une instruction métier. Prenons un exemple, aujourd’hui en dématérialisant les feuille de paie, ce n’est pas seulement la publication vers l’agent ou le salarié concerné que l’on dématérialise, mais aussi sa production, son contrôle, sa publication, puis sa conservation dans un espace sécurisé, exemple le recours au Coffre-Fort Electronique pour sa transmission et à un système d’archivage électronique pour sa conservation réglementaire. De quels processus parle-t-on actuellement dans les organisations ? Tous sont concernés, mais certains sont plus prioritaires que d’autres ; ainsi tout ce qui permet d’optimiser la relation avec des clients, des partenaires ou des citoyens si on est une entité publique (collectivité, ministère ou établissement public), mais aussi les processus encadrés par des réglementations fortes et orientées digitales (marchés publics, factures, contrôles des comptes, etc.) ou à venir notamment pour les RH. Si 75% des organisations sont lancés dans les projets de dématérialisation, plus de 50% des métiers (au sens large) sont l’origine des projets d’ECM et autres GED et de dématérialisation, ce qui à ce titre permet de réviser à la fois le processus métier concerné tout en l’équipant de la plateforme qui lui correspond. Une direction financière, une direction de marchés publics ou une DRH qui cherche à s’équiper d’une plateforme de gestion de contenus et faire la chasse aux dossiers papier, s’attend aussi à réviser ses actions, ses délais de travail, ses cycles d’approbation et de signature,.. bref elle est prête à se lancer non seulement dans l’implantation de nouveau système pour gérer les circuits d’informations et de documents, mais aussi à réviser ses processus de travail et ses niveaux de responsabilité. Pourtant à notre expérience, c’est là que réside le risque ; car le chantier est double, il consiste à la fois à réviser certains de ses modes de travail et choisir les plateformes dédiées, l’entité métier concernée se doit de piloter un double changement en parallèle (celle de son métier et celle de la gestion de ces flux d’information). S’il existe un risque réel de s’y perdre, c’est pourtant là que réside la véritable transformation. Les Directions des systèmes d’information qui sont les interlocutrices naturelles pour accompagner le choix et l’implantation de plateformes d’information (on est dans le registre de projet dit informatique), sont légitimes pour accompagner des choix technologiques tels que des outillages de GEC, GED, workflow, parapheur et signature électronique, mais pour ce qui relève de l’optimisation des processus, les directions métier doivent garder la main et peuvent aussi s’appuyer sur des assistances extérieures de type AMOA agnostiques de toute solution ou offre de service. Mesures d’impact et accompagnement du changement : clés de la méthodologie Outre la traditionnelle expression de besoins fonctionnels pour un métier qui peut se réaliser sous forme d’ateliers, de workshops, ou d’échanges avec les professionnels concernés et d’analyse des gisements et de circuits d’informations dont ils disposent (méthodologie classique d’analyse de besoins pour élaborer un cahier des charges par exemple), d’autres actions méthodologiques sont à mettre en œuvre : Description de chaque processus métier concerné, étape par étape, le plus souvent en s’appuyant sur les représentants qui directement concernés sont les plus à même de décrire à la fois les pratiques et leurs attentes, Identification des typologies d’information et de leurs caractéristiques dont les métriques, Mise à plat des rôles et des niveaux de responsabilité (acteurs), Mise à plat des circuits (documents entrants > circulants > sortants), Interaction avec d’autres activités concernées et mesure des impacts en cas de changement sur leurs propres façons de traiter l’information et les données, et les conséquences sur leur propre gestion documentaire, Mise en évidence des risques et prise en compte des délais de prescription, etc. Depuis quelques mois et en réponse aux contraintes apparues dans le cadre de la crise sanitaire, ces actions se complètent d’expérimentation en matière de signature électronique de manière à couvrir les processus de circulation et de visa jusqu’au terme c’est-à-dire la validation finale. Appuyons nous sur un exemple : lorsque l’on crée un dossier RH tout numérique pour gérer la carrière d’un salarié ou d’un fonctionnaire, on vérifie tout d’abord les actions concernées : prise de fonction, évaluation annuelle professionnelle, bulletin de salaire, gestion des congés, gestion des maladies, déplacements, …mais on se doit aussi de mesurer les interactions avec d’autres actions, comme le recrutement qui a permis de choisir le candidat (CV, diplômes, expériences précédentes, motivations….) et qui a donné lieu à des informations et documents que l’on souhaite retrouver dans le dossier de carrière sans avoir à les redemander au candidat devenu embauché ni les re-numériser ou les ré-analyser, … idem avec les notes de frais qui, instruites par le service concerné de la DRH, seront mises à disposition des Finances pour remboursement sans avoir à en faire des multiples copies ou resaisir des données dans différents fichiers ou bases de données, etc. Le schéma ci-dessous présente la cible recherchée par une fonction RH en matière de gestion des informations pour la carrière d’un salarié ou d’un fonctionnaire ; on cherche à intégrer toutes les étapes du processus global et pas seulement quelques étapes ou quelques domaines concernés, et on cherche à mettre en place l’ensemble des informations ou documents concernés dans une même plateforme connectée en permanence avec le ou les applications métier concernées. Tout cela structuré aussi selon les droits d’accès et les autorisations d’interaction ou pas. Tout le monde n’aura pas accès à tout, de manière temporaire ou permanente et à tout moment des droits d’usage peuvent être révisés pour des personnes ou des groupes de personne. En déclinant chaque étape d’un processus métier, on s’interroge alors sur le besoin de solution à intégrer comme la signature électronique, le parapheur électronique, le records management (solution permettant de gérer le cycle de vie de chaque type de document ou d’information en fonction du sujet et du salarié concerné), avec en aval des liens avec un CFN pour la mise à disposition de bulletins de paie numériques et d’un système d’archivage électronique pour préserver les informations ou documents réglementaires post GED/ ECM. Prenons un autre exemple, la direction des marchés publics d’une entité publique ; les activités exercées dans ce processus, sont le plus souvent là pour répondre à des besoins d’équipements, de recherche de services ou de prestations. Une plateforme d’ECM pour une telle direction, doit pouvoir couvrir toutes les étapes d’un processus de marché et prendre en compte toutes les interactions. Ainsi en déclinant le processus « marchés publics » ici en 5 sous processus, on a pour chacun d’entre eux l’analyse documentaire, les caractéristiques, le niveau de risques et la visibilité sur les délais de prescriptions. Ici est montré l’analyse faite pour le sous processus dit « publication ». En partant de cette démarche méthodologique, on maximise les bénéfices de la nouvelle organisation qui ne sera pas seulement la mise en place d’une plateforme documentaire partagée et sécurisée mais la révision des pratiques des professionnels directement concernés voire d’autres équipes ou d’autres fonctions dans une entreprise ; on apporte donc une réponse plus complète, moins en silo, plus en transversal. La plateforme mise en place, l’implication des métiers ne s’arrête pas, elle continue pour vérifier que tous se sont bien appropriés les nouveaux usages ; ainsi toujours selon notre exemple, l’équipe de la direction des Marchés publiques organise sa politique documentaire et de gestion de l’information en déroulant toutes les étapes de ses activités, et va rechercher une solution de plateforme lui permettant de toutes les implémenter. On mesure en parallèle des bénéfices durables : traçabilité et sécurité sur un sujet métier sensible et soumis à une réglementation forte, fin du papier et de ses contraintes (redondance, stockage, diffusion manuelle, risque d’erreur,…), gain de temps (fin des redondances de traitement,...) et augmentation de l’efficacité des métiers, économies, etc. On est donc loin d’un « simple » projet d’équipement ou de renouvellement de solution informatique ; le mouvement de transformation numérique dans lequel sont embarquées de nombreuses organisations, a pour conséquence de réviser fonction par fonction, processus par processus les pratiques et faire des choix d’organisation tout autant que technologique au service des utilisateurs. Quelques recommandations toutefois sont utiles. En effet quand on écoute les utilisateurs aujourd’hui, ils réclament des points d’accès simplifiés aux données voire uniques (53,67%), la réduction des applications existantes (18,42%) et surtout des fonctions de mobilité leur permettant d’être toujours connectés aux gisements d’information quel que soit le moment ou le lieu d’exercice de ces mêmes fonctions (télétravail, tiers lieu, nomadisme chez des clients ou des partenaires, digital workplace,…) ; et si en plus on peut supprimer le papier et surtout ne plus en recréer, alors cela devient réellement attractif. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Comment aller vers la dématérialisation écoresponsable ? Une méthodologie alliant technologie et durabilité, ouvrant de nouvelles perspectives. L’impact environnemental du numérique est avéré et non réfutable. Les experts l’estiment à 10% de l’énergie et à 4% de l’émission des Gaz à Effet de Serre (GES). Ces pourcentages sont en très forte augmentation tant les usages numériques, la production, la gestion des data et la production des ordinateurs et autres terminaux sont en croissance. L’urgence n’est pas d’arrêter, loin s’en faut, mais de viser la sobriété numérique et les usages raisonnés et optimisés. Et les organisations publiques et privées, comme la société civile sont en pleine phase de déploiement de la dématérialisation. Le sujet n’est plus l’alternative d’un retour au papier, mais bien dans une dématérialisation raisonnée écoresponsable qui contribue à la réduction de l’empreinte carbone. C’est pour répondre à cet objectif opérationnel que Serda Conseil, département de Serda-Archimag, créée son Pôle Dématérialisation écoresponsable. L’action et l’engagement du Pôle Dématérialisation écoresponsable de Serda-Conseil se forgent dans la conviction que chaque projet, schéma directeur, évolutions fonctionnelles se doit de prendre en compte l’écoresponsabilité. Dans ce cadre, Le Pôle Dématérialisation écoresponsable a développé la méthodologie DER qui repose sur le triptyque : • une matrice macroscopique des projets qui a pour but de hiérarchiser les actions à fortes et faibles impacts, • une matrice détaillée par action ou projet pour mesurer et ensuite piloter la réduction des impacts tout en prenant soin d’embarquer l’ensemble des acteurs, • un référentiel Empreinte Carbone complet, usage par usage dématérialisé (flux entrants, circulants et sortants) spécifiquement dédiés aux projets de dématérialisation des processus. Ces outils permettent aux organisations de maîtriser et réduire leurs émissions de GES pour contribuer à minorer leur impact environnemental numérique tout en mobilisant et motivant chaque collaborateur tout au long de la chaîne de dématérialisation. L’accompagnement porte pour chaque acteur et sur chaque point des flux pour garantir un résultat démontrable et opérationnel. Ces actions s’inscrivent naturellement dans les contextes tels que les bilans carbone, les politique RSE ou tout engagement à contribuer à l’environnement et au climat. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.