La montée en puissance du numérique oblige à une réorganisation totale de la gestion du courrier, aujourd'hui indispensable au fonctionnement des organisations. La modernisation des services de gestion électronique du courrier (GEC) facilite les liens à la fois entre une organisation et ses correspondants (par exemple entre une collectivité locale et les citoyens) et entre les directions et les services (surtout lorsqu’elle est composée de plusieurs sites). Tous les feux sont au vert pour la dématérialisation du courrier en tant que copie fiable suite au décret 2016-1673 du 5 décembre 2016 relatif à la fiabilité des copies en application de l’article 1379 du code civil (équivalent copie fiable et original papier). Il est donc tout à fait possible de numériser le courrier entrant et sortant et de le stocker de manière sécurisée afin de pouvoir en assurer le traitement et le suivi. Le décret précise même les conditions à respecter pour permettre de transformer un document papier en une copie numérique fiable et ainsi de supprimer son original papier (sécurité d’accès au dispositif de numérisation, garantie d’intégrité du document, conservation dans un système d’archivage à vocation probatoire et traçabilité du cycle de vie des originaux papier). Une GEC couvre deux grandes familles de besoins : Un service courrier Le service courrier comprend la réception, le tri, l'identification du courrier et sa dématérialisation. Celle-ci nécessite deux éléments importants : Un scanner , dont le choix répond aux questions suivantes : quelle volumétrie de documents par jour à numériser ? Recto/Verso ? Quel format (A4, A3, plan…) ? Documents couleurs ? Photographies ? Une application de numérisation permettant : d’améliorer la qualité de rendu du document électronique. de transformer l'image du document en image et texte, grâce à l'OCR (reconnaissance optique de caractères). de qualifier les types de courrier de façon automatique en utilisant les fonctionnalités des applications de type LAD (lecture automatique de document). d’extraire d'un courrier des zones de contenu telles que : adresse, date, objet du courrier... en utilisant des applications de type RAD (reconnaissance automatique de document). Une application métier Elle a pour objet de faciliter le traitement du courrier numérique. Plus précisément, il s’agit de : permettre à des personnes, selon leurs habilitations, de qualifier les courriers, de traiter et de faire suivre le courrier à la prochaine étape, d'accéder au courrier pour information. pouvoir réacheminer un courrier à destination du service courrier suite à sa mauvaise qualification ou à destination d'une autre entité (direction ou service, ou même autre site). permettre le suivi et la traçabilité d’un courrier entrant. Y a-t-il eu une réponse à ce courrier ? Qu’a-t-on répondu ? Quand ? L’organisation peut décider de ne traiter que le courrier entrant. Si elle choisit de s’occuper aussi du courrier sortant, il lui sera nécessaire de prévoir les composants complémentaires suivants : Les modèles de document : il s’agit de préparer un ensemble de modèles type de courrier sortants chartés aux couleurs de la collectivité ou de l'entreprise . La base de contacts : c’est grâce à elle que l’on appose le destinataire du courrier sortant et son adresse. Cette base de contacts est renseignée lors de la qualification au service courrier et exploitée lors de l'envoi du courrier sortant. Le circuit de validation du courrier sortant . Ce circuit concerne la prise en charge en deux temps de la validation du courrier sortant : circuit de visa : ce circuit concerne les personnes qui produisent le courrier sortant, valident le courrier sortant via un visa ; il est possible d'avoir plusieurs visas (ou aucun). circuit de signature : ce circuit concerne les personnes qui disposent des droits de signature sur le courrier sortant ; il est possible d'avoir plusieurs signataires, avoir au moins un signataire est obligatoire. Ces circuits peuvent être réalisés via un parapheur électronique. Cette fonction permet de faire circuler virtuellement les documents pour validation et/ou signature en remplacement du parapheur traditionnel. Ainsi tous vos documents à viser et/ou signer sont centralisés ce qui accélère les processus de validation et de signature. Les points clés pour réussir son projet de mise en place d’une GEC Bien prendre en compte le processus métier de la réception et la diffusion des flux (courriers, mails, fax, téléservices) et identifier les typologies documentaires qui ont vocation à aller dans un outil de GEC. La gestion des emails doit être pensée dans un dispositif globale de relation citoyen, assuré et doit être intégré si nécessaire dans les circuits de validation… Bien définir les rôles des différents acteurs de la GEC : Qui numérise ? Qui fait la distribution du courrier ? Qui traite les courriers ? Qui édite les réponses ? Qui vise et signe ? Et les impliquer dès le début du projet. Prévoir de l’accompagnement au changement , car le passage du courrier papier au courrier électronique n’est pas évident. Prévoir un outil de gestion documentaire pour stocker les courriers entrants et sortants et les intégrer aux documents produits au sein de votre organisation. Prévoir un outil d’archivage électronique surtout dans le cas où vous avez réalisé de la numérisation fidèle (cf. NF Z-42026) qui vous permet de conserver les copies fidèles à l’original de vos courriers. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com . L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

La gestion documentaire est un des éléments primordiaux pour assurer une efficacité opérationnelle et une prise de décision fiable dans une organisation. Avec l'avènement de l'intelligence artificielle (IA) générative, ces processus sont en train d'être transformés de manière significative, offrant des avantages considérables aux organisations cherchant à optimiser leurs opérations et à exploiter pleinement leurs documents quel qu’en soit la valeur (légale, patrimoniale ou informationnelle). Des technologies novatrices ? Certaines technologies plus ou moins anciennes sont à la base de ces nouvelles fonctionnalités dont profite les outils de gestion de documentaire : Le LLM ou large langage model fait référence à des modèles de langage capables de comprendre et générer du texte dans une grande variété de langues naturelles. L’objectif des large language models (LLM) étant d’apprendre la complexité du langage humain, les LLM sont pré-entraînés sur une grande quantité de données comme du texte, des images, des vidéos, des discours, des données structurées… Néanmoins, les LLM sont des outils d’ IA générative trop généralistes pour effectuer des recherches ou générer des contenus précis. Les systèmes ECM (Enterprise Content Management) peuvent alors utiliser des modèles de RAG (Retrieval Augmented Generation ou Génération Augmentée de récupération) pour créer du contenu en réponse à des requêtes ou à des besoins spécifiques des utilisateurs. Les modèles RAG enrichissent les capacités de génération de texte des LLM en y associant un mécanisme de recherche externe. Le modèle ne repose pas uniquement sur les données utilisées durant sa phase d'entraînement, mais récupère également des informations externes provenant par exemple de bases de données. La méthode du fine-tuning est un autre moyen pour améliorer l'utilisation d’une IA dans un ECM ou une GED (Gestion Electronique de Document), elle consiste à ajuster les paramètres du modèle LLM afin que celui-ci soit spécialisé sur une tâche précise, ou pour un domaine particulier. Elle permet à une organisation d’optimiser les performances d’un modèle existant ou de modeler son comportement en ré-entraînant le modèle LLM générique (type chatGPT) sur des données spécifiques. Ces modèles de RAG et de fine-tuning ont émergé pour spécialiser les LLM trop généralistes et sont indispensables pour exploiter pleinement l'IA générative dans un outil de gestion documentaire. Mais quand faut-il les utiliser ? La RAG enrichit les LLM en fournissant des documents ou des informations supplémentaires sans nécessiter de ré-entraîner entièrement le modèle. En revanche, le fine-tuning est davantage utilisé pour affiner un LLM dans des tâches spécifiques qu'un modèle LLM générique ne posséderait pas. L’IA générative incorpore de nouvelles fonctionnalités à la GED et à l’ECM dans le but de les adapter le plus possible à un contexte ou à un domaine particulier propre à son organisation. Un enrichissement fonctionnel des outils ECM et de GED grâce à l'IA Générative Pour mieux comprendre l'impact de l'IA générative dans le domaine de la gestion documentaire, examinons quelques cas concrets : Une organisation utilisant un ECM intégrant des capacités d'IA générative pour classer automatiquement les documents entrants en fonction de leur contenu et de leur contexte. Concrètement, dès qu’un document est transféré, on peut y associer un grand nombre de métadonnées. Une organisation exploitant une solution ECM alimentée par l'IA générative peut créer une grande variété de contenu . Jalios a lancé son module JNLP capable de rédiger des résumés de documents, de conversations provenant d’un tchat ou de vidéos, traduire automatiquement divers documents pour fluidifier les échanges, générer des quiz pour valider des parcours de formation. Avec un modèle RAG, un système ECM ou de GED récupère des documents pertinents provenant d’une source externe pour générer du contenu contextuellement précis . Il améliore la qualité du contenu en s'appuyant sur des données mises à jour fréquemment. Ainsi grâce à l’IA générative votre outil d’ECM peut générer automatiquement des résumés, des analyses ou des rapports à partir des documents stockés en fonction des demandes des utilisateurs. Une organisation peut se doter d’un module connecté à son ECM mais également à d’autres bases de connaissance pour retrouver rapidement l’information provenant de plusieurs sources. Ce module de recherche prend dorénavant la forme d’un chabot entraîné grâce au LLM . Il est plus puissant qu’un moteur de recherche traditionnel de GED ou d’ECM et propose d’aller chercher l’information dans plusieurs sources à la fois mais aussi d’élaborer une réponse sourcée qui vous permet d’avoir accès au document originel. Les fonctionnalités de fine-tuning sont utilisées dans des chatbots pour ajuster les modèles de LLM. Cela peut inclure l'ajout de nouveaux termes au dictionnaire du chatbot, l'entraînement de modèles de compréhension de langage spécifiques à votre domaine, ou l'adaptation des algorithmes de recherche pour tenir compte d’une terminologie spécifique. L'intégration de l'IA générative dans les solutions de gestion documentaire GED et ECM représente une avancée significative pour garantir la conformité au Règlement Général sur la Protection des Données (RGPD). Le module ILLUIN RGPD a été créé dans ce sens afin de détecter avec fiabilité des non-conformités comme les données de santé, opinion politique ou religieuse, données personnelles, données sensibles). Conclusion L'IA générative représente une avancée majeure dans le domaine de la gestion documentaire et de l'ECM, offrant des fonctionnalités avancées pour automatiser les processus, améliorer la recherche d'information et créer du contenu de manière efficace. En intégrant ces technologies comme la RAG ou le fine tuning permettant d’adapter leur GED ou ECM, les organisations peuvent exploiter plus efficacement leur capital informationnel. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com . L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin  pour ne rien manquer de notre actualité.

Beaucoup moins connu que le "Patriot Act", le Cloud Act est une loi fédérale américaine promulguée en mars 2018 qui étend la portée géographique des demandes du gouvernement américain à pouvoir accéder aux données sur les serveurs, quelle que soit leur localisation. Par le Cloud Act (« Clarifying Lawful Overseas Use of Data Act »), il devient donc possible pour le gouvernement US d’accéder aux serveurs en Europe et donc en France à partir du moment où la société est américaine ou si la société fait du business avec les Etats-Unis. Le Cloud Act permet également au gouvernement Américain de signer des accords bilatéraux avec d’autres Etats qui permettent de faciliter les demandes d’accès aux données (à savoir sans procédure judiciaire). Cette nouvelle loi, adoptée “discrètement” sous l’ère Trump, semble donc retirer aux fournisseurs de services un avantage protectionniste majeur qui est de plus en plus demandé au sein des bonnes pratiques de gestion de l’information numérique, et intégrés pour de nombreux acteurs européens, notamment au regard de leur gestion des données RGPD. Le périmètre du Cloud Act est très large : il porte autant des enquêtes criminelles mais également permet d’accéder aux datas qui pourraient « menacer l’ordre public ». Une notion floue et large et sans réelle définition juridique. Quels sont les véritables impacts du cloud Act ? Cette loi s’oppose-t-elle à la règlementation européenne “RGPD” ? L'article 48 du RGPD précise qu'un accord international est obligatoire pour qu'une juridiction ou une autorité issue d’une administration "transfère ou divulgue des données à caractère personnel". Alors le Cloud Act permet-il de s’en abroger ? En réalité les forces de l’ordre des États-Unis ne peuvent rechercher le contenu de fournisseurs de services que dans deux circonstances : avec le consentement du client en l’absence d’accord bilatéral, avec un mandat délivré par un tribunal américain conformément aux procédures pénales en vigueur aux États-Unis. Et pour qu'un mandat soit émis, un tribunal américain doit être convaincu qu'il existe des motifs probables de croire qu'un crime a été commis et que les preuves demandées sont directement liées à ce crime et contrôlées par le fournisseur. Y a-t-il conflit d’intérêt juridique avec la réglementation de l’Union Européenne ? Les fournisseurs de services qui souhaitent divulguer des données personnelles en dehors de l’UE sont donc tenus de demander l’autorisation à leurs clients (article 44 à 49 du règlement RGPD). Autre cas possible : une demande d’accès aux données personnelles sur des employés d’une société dans un pays de l’UE commercialisant avec les Etats-Unis sans un accord-cadre entre les pays ? Que se passe-t-il en cas de refus lors d’une demande d’accès par les autorités américaines ? A ce jour et en l’absence de jurisprudence, il semble préférable de recommander en termes de choix des fournisseurs de service “européens” aussi bien au niveau de cloud, de signature électronique, d’hébergement,...., et d’être vigilants sur l’impact possible du Cloud Act. Vos services juridiques sont donc à associer pour vous aider à en mesurer les risques. Quelques pistes également à prendre en compte : - Le chiffrement de bout en bout serait une mesure technique efficace pour contrer le risque d’ingérence car le texte américain souligne son droit d’accès mais ne précise pas l’obligation de déchiffrement des données qui ne peuvent être lu que par le(s) destinataire(s) concerné(s) ; ainsi, si les fournisseurs se plient à une demande, ils ne seraient pas en mesure de fournir des données lisibles. - Il est évident que cette nouvelle loi renforce les pouvoirs des autorités de surveillance américaines . Même si la Commission Européenne va probablement se pencher sur une nouvelle réglementation européenne ou renforcer sa réglementation RGPD pour contrer cette nouvelle doctrine US, la dépendance aux GAFA semble être un éternel problème qui amènera des conflits d’intérêt entre la souveraineté européenne et son économie. La Commission européenne a proposé une ébauche de règlement de « E-Evidence » en 2018 qui pourrait être une première piste vers un accord bilatéral. A ce jour, des pourparlers en vue de futurs accords sur ce texte sont en discussion entre Bruxelles et Washington, accords déjà existants depuis 2019 entre les Etats-Unis et Le Royaume Uni.

Face aux défis de modernisation et l'évolution des technologies, les organisations se trouvent confrontées à la nécessité de décommissionner leurs logiciels obsolètes pour optimiser l'accès à l'information. Découvrez la méthode Serda Conseil pour décommissionner efficacement vos applications métier en 8 actions clés ! Vous avez certainement eu ou vous aurez ce problème à régler ! En effet, 76 % des DSI des organisations publiques comme privées déclarent que l’évolution des matériels, des logiciels ou des organisations obligent à décommissionner. Et en rebond, pour 85 % des utilisateurs, l’usage d’un accès unique à l’information est nécessaire . Cela exclut les applications cumulatives voire redondantes, et encore plus les applications obsolètes. Les motifs ne manquent pas : obsolescence des matériels avec des évolutions programmées comme l’arrêt des maintenances, obsolescence des systèmes d’exploitation avec la mise à niveau du matériel, évolutions programmées avec l’arrêt du support éditeur ou la disparition de l’éditeur et des développeurs pour l’application comme pour la base de données, obsolescence organisationnelle en lien avec des fusions, rachats, mutualisation de moyens, évolution des métiers, dématérialisation des processus, l’évolution des réglementations et enfin (ou d’abord) réduction des coûts. Bref les motifs sont nombreux et sont tous pertinents ! (A noter qu’il peut s’agir également de “vieilles GED” ou de messageries électroniques d’importance critique ). L’enjeu est donc de décommissionner l’application dans sa globalité et complétude , ce qui permet l’arrêt des matériels qui seront recyclés, l’arrêt des sauvegardes et de l’administration fonctionnel et technique et l’arrêt pour les utilisateurs d’une application “en plus”. C’est aussi par là que la données est valorisée et s’intègre en conséquence dans la fiducie de la données de l’organisation (ou capital informationnel). C’est à partir de là que le processus peut démarrer ! En fonction de l’importance des applications obsolètes passées, présentes ou futures, les enjeux et besoins sont à partager avec les parties prenantes de l’organisation : les Directions métiers car utilisateurs finaux de l’application ; la DSI qui a à supporter les applications dans le cadre de la gestion de son architecture applicative et de son infrastructure ; le DPO qui a le registre à maintenir et dont l’éparpillement des données complexifient ses tâches ; le RSE qui doit piloter la réduction de l’empreinte carbone du numérique et dans lequel une application obsolète non décommissionnée, même si elle consomme moins d’énergie, n’en utilise pas moins les matériels existants qui ne sont pas recyclés ; et enfin, le Juridique qui a besoin de se prémunir des litiges et contentieux en apportant les éléments de preuve suffisantes provenant souvent de données traitées et produites par les applications métiers. Le processus de décommissionnement suit une méthodologie que Serda Conseil applique dans ses prestations d’accompagnement d’AMOA. Aujourd’hui les acteurs de l’IA ont rendu des modèles accessibles en open source les LLM avec ou sans apprentissage. Ces modèles sont en capacité de faciliter le traitement des données en préparation des flux à stocker ou archiver. À noter deux points : cette méthode doit s’adapter au contexte opérationnel, réglementaire, technique, et environnemental et qu’elle doit s’intégrer dans la politique de Gouvernance de l’Information. Les étapes s'enchaînent comme suit avec en action initiale (Action 0) la communication et les explications du pourquoi décommissionner et quels vont être les rôles de chacun : ACTION 1 • Cartographier les applications candidates et décrire les données (selon MCD). ACTION 2 • Animer un atelier IT avec la DSI (appli, infra, contractuel,...), d’ateliers de cadrage technique et juridique avec les équipes métiers (avec les utilisateurs récemment recrutés, et avec les “anciens”), le DPO, le juridique, et surtout d’archiviste… ACTION 3 • Étudier des hypothèses du décommissionnement (scénario de tri et de suppression d’une partie des données, reprise des données à préserver avec traitement de format et données, archivage selon des formats (data, document, formulaires…), durées de conservation technique et réglementaire, des sets de métadonnées (listes, obligatoire ou pas, niveau de contrôle, etc.), des traitements à opérer et choix à mettre en œuvre, les modèles d’IA utilisables et enfin, budgets de décommissionnement et ROI associé. ACTION 4 • Mettre en œuvre le traitement des données en interne ou avec prestation externe pour les tri, suppression, extraction, formatage avant archivage ou transfert vers d’autres applications ou de GED. Cette action 4 peut être complétée par un ou des POC intégrant l’usage de modèles d’IA. ACTION 5 • Mettre à jour la politique d'archivage (si existante, sinon, rédiger la politique d’archivage), paramétrer les profils d'archivage et des droits d’accès, préparation des versements des données pour archivage (selon modèle international OAIS - SIP et protocoles METS, PREMIS, SEDA), calcul des émissions de CO2 économisées ACTION 6 • Opérer les transferts des données (traitées par l’IA ou pas) préparées (Ingest) sous format paquets d'archivage avec suivi des contrôles et administration des erreurs ACTION 7 • Former les utilisateurs et les administrateurs des données décommissionnées (conception des contenus pédagogiques type tutoriels, MOOC, etc.) ACTION 8 • Établir le bilan avec attestations de décommissionnement incluant le calcul du eCO2 à prendre en compte dans le bilan carbone général. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com . L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin  pour ne rien manquer de notre actualité.

L'archivage des e-mails constitue une pierre angulaire de la gestion des données au sein d'une organisation. Pour garantir la pérennité et l'accessibilité de ces archives, il est important de choisir les bons formats de stockage, de mettre en place des pratiques efficaces de gestion des annexes et des métadonnées, et de suivre une méthodologie rigoureuse. Voici un guide pratique détaillé pour vous accompagner dans ce processus. 1. Formats de stockage recommandés Lorsqu'il s'agit de sauvegarder des e-mails individuellement, le format EML est fortement préconisé en raison de sa compatibilité étendue avec la plupart des clients de messagerie et des traitements de texte. Les fichiers EML capturent non seulement le contenu de l'e-mail lui-même, mais aussi les pièces jointes, assurant ainsi une conservation complète des données. Pour exporter des boîtes mail entières, le format EML reste privilégié. Certaines messageries offrent la possibilité de sauvegarder plusieurs e-mails simultanément au format EML, simplifiant ainsi le processus. Alternativement, le format MBOX peut être utilisé pour exporter plusieurs e-mails en une seule fois, bien qu'une conversion ultérieure en EML soit nécessaire. Il est important de noter que les fichiers MBOX peuvent devenir vulnérables et rendre les e-mails illisibles en cas d'erreur. En revanche, le format PST d'Outlook, bien qu'il soit largement utilisé, est moins recommandé en raison de sa compatibilité limitée et de sa vulnérabilité aux erreurs. Il est donc conseillé de convertir rapidement les e-mails au format EML pour garantir leur accessibilité à long terme. 2. Gestion des annexes Tous les formats mentionnés (EML, MSG, MBOX et PST) permettent de conserver les e-mails avec leurs annexes. Cependant, il est recommandé de stocker séparément les annexes importantes à valeur juridique ou nécessitant une conservation permanente. Cela permet de garantir un suivi précis du format et du contenu des pièces jointes, renforçant ainsi l'intégrité des archives. 3. Conservation des métadonnées Les métadonnées jouent un rôle essentiel dans la gestion et la recherche efficace des e-mails archivés. Il faut donc conserver les métadonnées pertinentes telles que l'adresse e-mail de l'expéditeur et du destinataire, l'objet, la date et l'heure de l'envoi/réception. Ces informations, souvent présentes dans l'en-tête de l'e-mail, fournissent un contexte essentiel pour comprendre le contenu et l'historique des communications. 4. Outils pour l'archivage des e-mails Trois outils se démarquent pour faciliter l'archivage des e-mails : ePADD : Un logiciel open source spécifiquement conçu pour les institutions offrant une suite complète d'outils pour la gestion des archives. Archifiltre (Module Mails) : Axé sur l'analyse approfondie des messageries Outlook, fournissant des informations détaillées sur les messages et les métadonnées. RESIP (avec mailextract) : Concentré sur l'extraction avancée des messages, des pièces jointes et des métadonnées à partir de divers conteneurs de messagerie. En suivant ces recommandations et en appliquant une méthodologie structurée, vous pouvez garantir l'intégrité et l'accessibilité à long terme de vos archives électroniques. 5. Méthodologie à suivre Pour réussir l'archivage des e-mails, il est essentiel de suivre une méthodologie rigoureuse. Voici les étapes recommandées : Définir la stratégie d'archivage Étudier la documentation existante Réaliser un macro diagnostic Mesurer l'empreinte carbone Rédiger des préconisations Suivre le scénario d'archivage et accompagner Élaborer des scénarios de conservation Rédiger une fiche méthodologique Réaliser un versement-test Élaborer un plan de communication Maîtriser l'art de l'archivage des e-mails c’est préserver l'histoire numérique de votre organisation. En suivant les recommandations sur les formats de stockage, la gestion des annexes et des métadonnées, ainsi que la méthodologie rigoureuse proposée, vous pouvez garantir l'intégrité et l'accessibilité à long terme de vos archives électroniques.

Se repérer parmi tous les référentiels concernant l’archivage et le records management peut s’avérer un véritable casse-tête. Normes, standards ou certifications, français ou internationaux, les référentiels ne sont pas toujours bien compris par tous. L’occasion de faire le point sur les plus importants en matière de gestion du cycle de vie des documents. Lorsqu’il est question de gestion du cycle de vie de documents - archivage et records management - des enjeux importants entrent en scène : description, stockage, conditionnement et conservation des documents, archivage à vocation probante, fonctionnement d’un système d’archivage électronique (SAE)… La normalisation est primordiale. Du côté de la mise en œuvre, le respect des normes est bénéfique à de nombreux points de vue : simplicité pour retrouver des documents grâce à la normalisation des descriptions documentaires, mise en confiance des utilisateurs ou clients par les archiveurs et services d’archives, ou encore garantie de l’intégrité des documents archivés. Du côté de la rédaction, différents organismes se chargent de la normalisation de l’archivage. En France, c’est l’Association française de normalisation (Afnor) qui travaille à la mise en place de normes concernant l’archivage. Au niveau international, on retrouve l’Organisation internationale de normalisation (Iso), et le Conseil international des archives (CIA)(1). 1 - Archivage électronique NF Z 42-013. Année : 1999, révisée en 2009 La norme NF Z 42-013 est une norme française (Afnor) qui précise de nombreuses mesures techniques et organisationnelles autour du fonctionnement d’un système d’archivage électronique (SAE). Cette norme déclarative met l’accent sur la traçabilité de tous les processus autour du SAE (enregistrement, stockage, restitution de documents électroniques au sein du SAE…). L’objectif est de garantir l’intégrité des documents, autrement dit un archivage électronique qui peut être à vocation probante. Iso14641-1. Année : 2012 La norme Afnor NF Z 42-013 est devenue en 2012 la base de la norme internationale connue sous le nom Iso 14641-1. Bien que légèrement adaptée par rapport au texte original, la norme Iso détaille également de nombreuses spécifications pour la conception et l’exploitation d’un SAE. Comme la norme NF Z 42-013, la norme déclarative Iso 14641-1 détaille tout le cheminement du document, soit son entrée, son stockage dans le SAE (format, durée…) et sa sortie pour consultation par exemple. NF 461 – Système d’archivage électronique. Année : 2013 Si les normes NF Z 42-013 et Iso 14641-1 sont des normes déclaratives, la norme NF 461 certifie que les organismes respectent la norme NF Z 42-013 et son équivalent Iso concernant le fonctionnement d’un SAE. La certification NF 461 – Système d’archivage électronique est délivrée par Afnor Certification (2) et prouve la conformité d’un SAE. OAIS (Iso 14721). Année : 2002, révisée en 2012 La norme OAIS (système ouvert d’archivage de l’information), enregistrée depuis 2003 puis révisée en 2012 sous le nom de norme Iso 14721 décrit la mise en place d’un SAE pour que ce dernier soit pérenne peu importe les évolutions numériques. Cette norme déclarative explique et décrit la structure de l’archivage et du fonctionnement d’un SAE en se basant sur le respect du référentiel général d’interopérabilité (RGI) (3). Elle propose un schéma conceptuel du SAE. Iso 19005-1. Année : 2005, révisée en 2011 et 2012 La norme Iso 19005-1 est une norme internationale qui définit le format PDF/A-1 (basé sur le format PDF1.4 de Adobe System) comme format de fichier de documents électroniques placés dans un SAE devant être conservés sur du long terme. Ce format est fidèle au document original (image, police et taille d’écriture par exemple), ce qui permet de consulter un document sans que le logiciel sur lequel il a été créé ne soit installé sur le terminal utilisé. Cette norme a été révisée en 2011 (Iso 19005-2 PDF/A-2) et en 2012 (Iso 19005-3 PDF/A-3). Citons également la norme Iso 32000-1, année 2008 qui définit le format PDF 1.7. 2 - Records Management Iso 30300, Iso 30301 et Iso 30302. Année : 2011 à 2014 (révision en cours) La série de normes Iso 30300 définit les principes des systèmes de gestion des documents d’activité (SGDA). Elle décrit également la mise en œuvre et le fonctionnement des SGDA. Les normes Iso 30300 et Iso 30301 datent de l’année 2011. En 2014, le sous-comité de normalisation TC46/SC11 consacrée à la gestion des documents d’activité a publié la dernière (pour le moment) de la série des normes déclaratives du records management (RM) : la norme Iso 30302. Cas par cas, la norme Iso 30300 « définit les termes et définitions qui s’appliquent aux normes relatives aux SGDA », précise le site de l’Iso (4). La norme Iso 30301 définit les objectifs d’un SGDA (principes, rôles de la direction…). Enfin, la norme Iso 30302 liste des documentations à élaborer pour le bon fonctionnement d’un SGDA. Iso 15489-1. Année 2001, révisée en 2016. Iso 15489-2. Année : 2001 L’Iso 15489 reste la norme phare du records management. Elle vient d’être révisée et publiée. Ces normes internationales constituent des guides pour l’organisation et la gestion des documents d’archive. Elles visent à ce que les documents « soient créés, archivés et organisés d’une manière pertinente ». Également à retenir : Iso 23081-1 et Iso 23081-2 (métadonnées) , Iso TR 26122 (analyse des processus), Iso 16175-1, Iso 16175-2 et Iso 16175-3 (enregistrements électroniques), Iso 18128 Evaluation des risques pour les processus et systèmes de gestion des documents d’activité. 3 - Archivage papier Isad(G). Année : 1994, mise à jour en 2000 (CIA) Le référentiel Isad(G) est un standard général et international de description archivistique. Elle a pour objectif d’uniformiser la description archivistique afin de faciliter l’échange d’informations sur les contenus et les fonds d’archives (création, évaluation, collection, conservation, classement…). Cette norme déclarative est utilisée par les établissements qui conservent des archives historiques. Isaar(CPF). Année : 1995, mise à jour en 2004 (CIA) La norme Isaar(CPF) est un standard international sur les notices d’autorité archivistiques concernant les collectivités, les familles et les personnes. Il s’agit également d’un référentiel de description archivistique. Là encore, cette norme déclarative est utilisée par les établissements qui conservent des archives historiques. ISDF. Année : 2008 (CIA) La norme ISDF (international standard for describing functions) est une norme internationale encadrant la description des fonctions. Publiée par le Conseil international des archives, elle vise à normaliser la description des fonctions exercées par les organismes qui sont à l’origine (production), mais également à la gestion des archives. La norme ISDF est une norme déclarative qui permet donc d’expliquer la provenance des archives historiques. 4 - Conditionnement des documents d’archives papier Iso 16245. Année : 2009 La norme internationale Iso 16245 « fixe les prescriptions concernant les boîtes et les chemises en matériaux cellulosiques (papier et carton) destinées à être utilisées pour la conservation à long terme de documents d’archives sur support papier ou parchemin ». Deux types de boîtes sont conformes : la boîte Iso 16245-A et la boîte Iso 16245-B (5). NF Z 40-014. Année : 2011 La norme NF Z40-014 de mai 2011 « décrit les caractéristiques des papiers et cartons utilisés pour une conservation à long terme des papiers et des parchemins ». NF Z 40-012. Année : 2011 La norme NF Z 40-012 met en avant des prescriptions concernant « les matériaux plastiques utilisés pour le conditionnement à long terme des documents papier et parchemin mais aussi leur transport, leur mise en valeur et leur communication ». 5 - Externalisation des archives NF Z 40-350. Année : 2001, mise à jour en 2009 La norme NF Z 40-350 est une norme qui porte sur les prestations d’archivage et de gestion externalisée de documents d’archives. Traçabilité des flux, maîtrise des conditions d’archivage, compétence des équipes : ces points sont tous encadrés dans la norme NF Z 40-350. Sur demande des entreprises, l’Afnor peut délivrer la certification NF 342 qui prouve le respect de la norme NF Z 40-350. Ainsi, on observe différents degrés de respect de cette norme : pas de respect de la norme, conformité à la norme et certification Afnor (6). Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com . L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité. (1) www.afnor.org , www.iso.org , www.ica.org (2) www.boutique-certification.afnor.org/certification/nf-systeme-d-archivag... (3) references.modernisation.gouv.fr/interoperabilite (4) www.iso.org/iso/fr/catalogue_detail?csnumber=53732 (5) www.archivesdefrance.culture.gouv.fr/static/5334 (6) Voir Archimag 283, avril 2015 : "Choisir un tiers-archiveur physique ou électronique"

L’archivage des dossiers médicaux reste un sujet sensible dans nombre des établissements de soins et institutions hospitalières, notamment lorsqu’il s’agit de se pencher sur les durées de conservation ou appelées “DUA” pour durée d’utilité administrative, et sur le sort final après expiration de la période de conservation et quel que soit son support (papier ou numérique). Quelles règles pour archiver le dossier d’un patient qui a subi une transfusion ? En ce qui concerne les dossiers de patient ayant subi une transfusion sanguine, les règles ne sont pas celles habituelles ; en effet on doit trouver dans les dossiers des patients concernés, la mention des actes transfusionnels pratiqués et, le cas échéant, la copie de la fiche d’incident transfusionnel qui doivent figurer dans le dossier médical en vertu de l’article R. 1112-2 du code de la santé publique doivent y être conservées pendant une durée de 30 ans à compter du dernier passage du patient dans l’établissement. Ainsi 10 ans de plus que pour un dossier médical correspondant aux prises en charge des patients dans les établissements de soins. Combien de temps garde-t-on le dossier médical d’un patient décédé ? Mais cette différence n’est pas la seule et concerne notamment la durée de conservation du dossier médical pour un patient décédé. 10 ans nous dit la règle : “SI le patient décède moins de 10 ans après son dernier passage dans l'établissement, son dossier est conservé pendant une durée de 10 ans à compter de la date du décès” (cf article R1112-7 du Code de la Santé Publique). Ainsi, lorsqu'un patient transfusé est décédé, c'est le délai de la transfusion qui prend le dessus ; cette information est encadrée par l'article 4 de la directive européenne du 30 septembre 2005 qui recommande que le dossier transfusionnel soit conservé pendant une durée de 30 ans après le dernier acte transfusionnel. Le texte européen ne mentionne pas si le patient est vivant ou décédé. De ce fait il s'applique quel que soit "l'état du patient". Il peut notamment y avoir des enquêtes descendantes par exemple sur une poche s’il s’avère qu’elle a été contaminée par un quelconque germe non encore connu à une époque donnée. De manière pratique, le dossier transfusionnel peut être séparé du dossier clinique s'il y a des problématiques de place et être classé à part. De ce fait, le dossier clinique peut être éliminé à 10 ans sur la base d'une formalisation de la date de décès du patient concerné.

Découvrez la valeur légale de la signature électronique et les conditions essentielles pour en faire une preuve irréfutable. Simplifiez vos processus avec une solution sécurisée et valide juridiquement. L’usage de la signature électronique est simple et ses avantages ne sont plus à vanter (praticité, sécurité, traçabilité, gain de temps, etc.). Pourtant, bon nombre de professionnels et d’organisations s’interrogent encore sur les conditions pour l’utiliser comme preuve. Voici les réponses aux questions techniques qu’ils se posent. Serda Conseil et Archimag ont organisé une Journée dédiée à la Confiance numérique le 10 mai 2022. Lors de cet événement exceptionnel, plusieurs questions ont été posées sur la valeur légale de la signature électronique et sur les conditions à respecter pour qu’elle puisse être utilisée comme preuve. Nous avons choisi de partager nos réponses aux questions que se posent les professionnels. Une signature électronique "simple" peut-elle être reconnue comme preuve ou simplement comme début de preuve ? Rappelons que la signature électronique est un procédé fiable d’identification qui garantit le lien entre la signature et le document auquel elle s’attache. Cela correspond à la notion d’identification - article 1366 du Code Civil(1). Il s’agit donc d’être en mesure d’identifier le signataire et de s’assurer de son consentement (“si je signe, c’est que je consens à signer”) : c’est avoir la preuve que c’est bien la personne désignée qui est consentante pour signer le document. L’intégrité est aussi un point essentiel : il faut s’assurer que c’est bien la personne désignée qui a signé le document dont le contenu a été fixé. En résumé il faut pouvoir assurer l’identité du signataire, de son caractère volontaire et du contenu de ce qu’il signe au moment où il signe. Si tout cela est démontrable, même une signature “simple” peut alors être reçue par un juge comme preuve. S’il y a doute sur un des points, cela est alors considéré comme pas assez fiable et donc cela équivaut à un début de preuve uniquement. (1) L'article 1366 du Code civil dispose que « l'écrit électronique a la même force probante que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité ». Après expiration de la durée de validité d’un certificat de signature limitée dans le temps (3 ans le plus souvent) quel est l’impact sur la validité de la signature elle-même portée sur un document ? Nous rappelons que la notion de preuve de la validité de signature est à démontrer au moment où le document concerné a été signé. Si au moment de la signature, tous les éléments précisés ci-dessus sont bons, alors la validité reste valable. Il faut pour cela pouvoir conserver la preuve de la validité du certificat et de la signature sous-jacente pendant toute la durée de vie du document concerné, bien au-delà des 3 ans de durée de vie du certificat, notamment s’il s’agit d’un contrat qui a été signé. Ainsi face à un document signé électroniquement, il faut garder le document, la signature électronique et la preuve de sa validité, ce que l’on appelle un “fichier de preuve”. Il contient les éléments de preuve comme : le certificat, les pistes d’audit, le sms qui permet d’activer la signature, l’horodatage, la carte d’identité du signataire …. c’est à dire tout ce qui prouve qu’au moment de la signature électronique, tout était réuni pour démontrer de la validité de la signature elle même. C’est pourquoi il est donc nécessaire de préparer en amont la phase de conservation des documents signés et des signatures électroniques… et ne pas attendre l’expiration de la durée du certificat pour se pencher sur la question. Apporter la preuve serait alors problématique. Qu’est ce qu’un rapport de validation ? Le rapport de validation est un élément essentiel de preuve car il est le résultat des étapes de vérification de la validité des signatures électroniques assurées par le prestataire de services de confiance qualifiés eIDAS (Electronic IDentification Authentication and trust Services : Règlement européen entré en vigueur le 1er juillet 2016). Le rapport est intégré dans le scellement de l’archive composée du document signé et archivé et du fichier de métadonnées. Existe-t-il des référentiels pour évaluer juridiquement des systèmes de signature électronique ? Non, il n’existe pas de référentiel de signature électronique prêt-à-l’emploi. Chaque organisation construira son référentiel en fonction de ses métiers, de la portée de ses engagements, et de ses besoins en maîtrise de risques. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com . L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Que dit la réglementation ? Pour des raisons de protection de la vie privée, l’identification de l’origine des appels téléphoniques n’est autorisée que dans des cas limitativement définis par la loi (article L. 34-1 du Code des Postes et des Communications Electroniques) et moyennant le consentement de l’abonné. Cette dernière condition est cependant levée par ce même article L. 34-1 alinéa V pour le cas particulier des appels à un service d’urgence puisque « tout appel destiné à un service d’urgence vaut consentement de l’utilisateur jusqu’à l’aboutissement de l’opération de secours qu’il déclenche ». Cette opération étant déclenchée à partir de ce premier entretien, les informations recueillies entre le praticien régulateur et les intervenants doivent être conservées comme une archive si elles sont utiles à la prise en charge médicale du patient. Combien de temps doit-on conserver en archives, les enregistrements de SAMU ? L’article L. 1111-7 du Code de la Santé Publique indique : « Toute personne a accès à l'ensemble des informations concernant sa santé détenues, à quelque titre que ce soit, par des professionnels et établissements de santé, qui sont formalisées … ». Les informations formalisées doivent s’entendre de celles « auxquelles est donné un support (écrit, photographie, enregistrement, etc.) avec l'intention de les conserver. C’est pourquoi la formalisation entraîne de fait l’intégration de ces données au sein du dossier médical. Elles sont donc conservées dans des délais identiques à ceux du dossier, conformément au décret n°2006-6 du 4 janvier 2006, à savoir 20 ans et entrent de facto dans le périmètre de gestion piloté par les archivistes hospitaliers. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com . L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

Les faits sont têtus ! 83% ont été confrontés aux nécessités de la RSE. Les marchés secteur public comme secteur privé demandent une valorisation de la démarche RSE de chaque entreprise fournisseur dans la plupart des dossiers de consultation. La dernière enquête Serda-Archimag met à jour les données sur 3 ans : le oui atteint 83% et devrait encore continuer à progresser en 2025. Résultats issus des 3 enquêtes sur les pratiques RSE des acteurs du domaines, enquêtes menées par Serda conseil La réglementation s’impose Rappelons également que le Code de la commande publique (CCP) - article L3-1 prévoit : “La commande publique participe à l’atteinte des objectifs de développement durable, dans leurs dimensions économique, sociale et environnementale(...) La responsabilité sociétale des entreprises (RSE) est devenue un des enjeux majeurs pour les éditeurs et prestataires de solutions. En intégrant la RSE dans leur stratégie, ces entreprises améliorent leur image et leur compétitivité, comme elles répondent aux attentes croissantes de leurs clients, collaborateurs et partenaires. Le critère RSE, encore facultatif aujourd’hui devient obligatoire à compter de août 2026 avec au moins un critère d’attribution, pas de minimum ni maximum au niveau pondération et toujours en lien avec l’objet du marché et ses conditions d’exécution. Et le “rapport“ RSE, tel qu’on le connaît encore, sous sa forme “corporate” et souvent très généraliste est aujourd’hui insuffisant pour répondre aux exigences et critères des appels d’offres. Les dossiers de consultation en demandent [toujours] plus : outre les engagements et objectifs de réduction d’émissions démontrés tels que les achats matériels, recyclage, développement de code, les PUE des data center, ou les émissions de eCO2, les acheteurs attendent des calculs argumentés et factuels pour chaque projet concerné. Des responsables RSE de plus en plus aguerris Les forces commerciales sont sur le sujet RSE “au front” et très souvent, elles se trouvent en face de sachants. Aujourd’hui les responsables RSE qui assistent les acheteurs sont chevronnés et percutants. Plus d’alternatives avec des réponses vagues voire erronées. Les retours peuvent être cinglants ! La montée en compétences des équipes commerciales comme marketing est indispensable. Pourquoi a-t-on besoin d’établir un bilan carbone ? Oui, parce que, d’une part, l’empreinte carbone émise par le prestataire ou l’éditeur de solution vient s’additionner au bilan carbone de l’acheteur en alimentant le scope 3 de son bilan carbone réglementaire. Et d’autre part, l’acheteur a besoin de faire lui aussi baisser les émissions de eCO2 de son organisation à très court terme comme dans le temps (plan d’action sur plusieurs années). Pour cela, il faut bien que le prestataire ou éditeur de solution établisse son bilan carbone pour pouvoir à la fois être comparé aux émissions des compétiteurs et à la fois alimenter le scope 3 de l’acheteur. Mais rares sont encore les entreprises à avoir calculé leur bilan carbone. Il y a là une alerte majeure car les consultations avec critères RSE sont déjà publiées et la course a commencé. C’est donc le premier pas à faire, sachant que des aides pour le secteur privé existent pour le calculer. Besoin aujourd’hui d’aller au-delà du bilan carbone général : le calcul au projet ? On constate maintenant des critères spécifiques au périmètre du projet demandé : hébergement d’une GED, prestation d’archivage électronique ou physique, chaîne de numérisation en mode copie fidèle, etc. Dans le cadre de ces prestations décrites et à la volumétrie évaluée, la nouvelle attente est 1/ quelles sont les émissions de eCO2 produites dans le cadre du périmètre de la prestation, et 2/ quel est le plan d’action spécifique qui va permettre la réduction de ces émissions sur le plus souvent les 4 années réglementaires d’un marché Calculer les émissions projet, comment faire ? Chaque projet est particulier : volumétries, formats, supports, périodicité, distances de déplacement, prestations internes ou externes, véhicules thermiques ou électriques, matériels spécifiques, etc. Autant de variables qui nécessitent des modèles de calculs adaptés à la fois aux variables de chaque entreprise et aux variables du marché ou projet en question. L’outil des 21 indicateurs publié par Serda Conseil et CC La Rochelle est une base pour calculer. Cette base est la source de la modélisation d’un calculateur projet Serda adapté aux variables qui seront celles de l’entreprise : matériel, centres de calcul, bâtiments, équipes RH, etc. Tableau des 21 indicateurs clés de la dématérialisation responsable (à télécharger gratuitement sur le site de serda conseil / nos référentiels) La démarche indispensable Répondre aux exigences des acheteurs, se différencier par rapport aux concurrents, valoriser les activités au regard des salariés comme des partenaires externes, tel est l’objectif de chaque prestataire ou éditeur. Les actions sont plurielles tout en débutant toujours par une formation RSE, et se poursuivant par le bilan carbone et la modélisation des émissions pour chaque projet. Le développement de calculateurs sur mesure est une réponse appropriée. On démarre par la force commerciale en enchainant avec les équipes techniques et de production. Pour les éditeurs et prestataires de solutions logicielles, la RSE n'est plus seulement une option, c'est une nécessité stratégique. Elle intervient à la fois dans la réponse aux appels d'offres, la stratégie commerciale et la gestion des ressources humaines.

La publication de la norme européenne TS 18170 est un des jalons stratégiques pour l’archivage électronique qualifié dans le cadre d’eIDAS 2. La norme CEN/TS 18170, intitulée Exigences fonctionnelles pour les services d’archivage électronique, élaborée dans le cadre du règlement eIDAS 2 (notamment pour sa composante « archivage électronique qualifié »), est désormais applicable. Dans le cadre des travaux du comité CEN/TC 468 cette spécification technique s’adresse aux prestataires de services de confiance , qu’ils soient qualifiés ou non, mettant en œuvre des solutions d ’archivage électronique , avec l’ambition : garantir la sécurité, la fiabilité et la pérennité des données électroniques archivées. Elle s’adresse de manière plus globale à tout système d’archivage électronique privé comme public sur le territoire de l’UE pour des motifs de conformité et d’interopérabilité. Pour mémoire, les exigences clés de la norme TS 18170 sont : Fonctions critiques du cycle de vie de l’archivage : réception, conservation, restitution et suppression, avec des garanties robustes contre la perte, l’altération ou la destruction non autorisée des documents électroniques (natifs ou numérisés), tout en permettant les évolutions de format. Maintien de la fiabilité dans le temps : la norme impose des mécanismes assurant la lisibilité, l’intégrité, l’origine et la durabilité des archives au-delà de la simple obsolescence technologique, et pour toute la durée légale ou contractuelle de conservation. Traçabilité et preuve d’intégrité : les services doivent être en mesure de fournir, à tout moment, un rapport probant garantissant qu’un document extrait bénéficie d’une présomption d’intégrité depuis son entrée dans le système jusqu’à sa restitution. Protection contre les accès illicites : des contrôles rigoureux sont exigés afin d’empêcher toute consultation non autorisée ou utilisation abusive de contenus confidentiels ou sensibles. Interopérabilité entre services de confiance : la norme encadre également les interactions entre l’archivage électronique qualifié et les autres services de confiance, notamment pour les processus de transfert sécurisé. Responsabilité environnementale : une approche écoresponsable est encouragée, avec une attention portée à la durabilité environnementale des infrastructures et des processus. Cette norme marque une étape importante pour tout acteur respectueux des exigences de conformité eIDAS 2 et qui a l’ambition de proposer des services d’archivage électronique à l’échelle européenne. Pour plus d'informations, n'hésitez pas à nous contacter : infos@serda.com. L'équipe Serda Conseil se fera un plaisir de répondre à vos questions. Suivez-nous sur Linkedin pour ne rien manquer de notre actualité.

La décision portée par la CNIL dans le cas de CEGEDIM Santé, met en évidence la très forte sensibilité du sujet de la sécurité des données médicales et des risques encourus en cas de politique de gestion non conforme. La gestion des données de santé est un enjeu crucial dans les environnements de santé où la protection des informations personnelles et médicales des patients se doit d’être une priorité.  Que dit la CNIL ? La récente sanction de CEGEDIM Santé  en date du 5 septembre 2024 prononcée par la CNIL sous la forme d’une amende 800.000 € en est la preuve : l'entreprise a été condamnée pour insuffisance dans l'anonymisation des données médicales, mettant en lumière les risques auxquels les établissements de santé peuvent s'exposer. En effet  le recours à la pseudonymisation n’est pas suffisant et n’apporte pas la garantie suffisante de la protection des données personnelles, la réidentification des personnes concernées étant techniquement possible. S’agissant d’un traitement de données à caractère personnel, la société aurait dû disposer au préalable d’une autorisation de la CNIL pour les utiliser (cf article 66.III de la loi Informatique et Libertés). La sécurité des accès aux données de santé, un véritable casse tête pour les établissements de soins L'anonymisation des données est essentielle pour prévenir tout accès non autorisé et garantir la confidentialité des patients . Pourtant, de nombreuses structures peinent encore à implémenter des solutions solides de protection, exposant ainsi leurs systèmes à des sanctions sévères et des pertes de confiance de la part du public. Ne pas oublier que la majorité des données sensibles autour d’un patient, comme l’année de naissance, le sexe, la taille, le poids, les antécédents médicaux, les diagnostics et prescriptions médicales…, sont dorénavant liées à un identifiant unique pour chaque patient d’un médecin ou d’un centre de soins, et donc donne la possibilité ainsi de reconstituer le parcours de soins. Dans ce cas, comme pour Cegedim Santé, la pseudonymisation ne suffit pas à protéger l’individu concerné. La Loi Informatique et Libertés ( article 66.III ) prévoit que le traitement des données personnelles dans le domaine de la santé ne peut être mis en œuvre qu’après autorisation de la CNIL ou à condition d'être en conformité à un référentiel mentionné. Cette affaire rappelle à quel point le sujet est au cœur des programmes de digitalisation notamment des dossiers de patients. En effet les réglementations sont exigeantes et l’autorité de contrôle veille à leur application. La CNIL multiplie les décisions concernant les données de santé N’oublions pas qu’en février de cette année, la CNIL a  mis en demeure plusieurs établissements de santé de prendre les mesures permettant d’assurer la sécurité du dossier patient informatisé, rappelant que les données des patients ne doivent être accessibles qu’aux personnes justifiant du besoin d’en connaître. Il s’agissait avant tout de renforcer les règles d’accès et les profils des personnes habilitées.  Renforcer la sécurité des données sensibles et encadrer les accès aux dites données , notamment celles intégrées aux dossiers de patient, sont au cœur des stratégies de gouvernance des données de tout établissement de santé. Nous le rappelons dans chaque projet de dématérialisation de dossiers médicaux que nous accompagnons pour le compte d’établissements de santé