Voici l’épisode n°3 et dernier épisode de la série « GED, GEC, Projets de dématérialisation en général : les sujets clés auxquels vous n’échapperez pas ». Après les sujets d’ambition projet, de numérisation et d’enregistrement, de gestion de workflow, d’aide à l’élaboration documentaire, et enfin d’ergonomie (cf article précédent) voici les 3 derniers sujets clés : la signature électronique, la concurrence du mail et des serveurs de fichiers, l’administration fonctionnelle et le support de proximité.

GED, GEC, Dématérialisation : signature électronique, mails et serveurs de fichiers, administration fonctionnelle

La signature électronique

En voila un beau sujet ! tentaculaire et potentiellement très complexe. Vous y serez sûrement confronté à un moment ou l’autre dans votre projet puisque lorsque vous avez dématérialisé les canaux entrants et le traitement de vos documents / dossiers / courriers, se posera inévitablement la question de dématérialiser les documents sortants qui engagent la responsabilité de votre société, votre association, ou administration, voire la responsabilité personnelle du signataire.

Le code civil stipule que la signature électronique a la même force probante que la signature manuscrite, sous conditions. Ci-dessous l’article 1366 :

« L’écrit électronique a la même force probante que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité« 

Ce sont évidemment ces conditions qui amènent une complexité extraordinaire. En effet les technologies évoluent tellement qu’il est quasiment toujours possible de contester une identification électronique ou de contester l’intégrité d’un document électronique, c’est à dire de répudier avoir signé un document. C’est vrai également pour le document papier mais là j’imagine que les technologies et expertises sont plus anciennes et plus connues ou reconnues par les tribunaux (expertises graphologiques, analyse spectrométrique du papier, de l’encre, …) ce qui limite un peu plus le risque.

Pour supprimer cette possibilité de contestation, l’union européenne a bâti un cadre réglementaire (réglementation eIDAS – Pour electronic IDentification And trust Services) et a défini les conditions pour faire de la signature électronique qualifiée.

Petit retour en arrière avant d’aborder la signature électronique qualifiée : on entend souvent parler de signature à valeur probante. Il faut savoir que quasiment toute signature électronique qui repose sur une authentification et dont le document signé est conservé dans un système d’information d’entreprise géré par une DSI qui sait a peu près faire son boulot, a une valeur probante. La seule signature électronique qui n’aurait aucune valeur probante (et encore) c’est celle que vous scannez sur un papier avec votre smartphone et que vous apposez sur un document avec un logiciel bureautique ou un logiciel de dessin sur votre PC, votre Mac ou votre tablette ; là aucune preuve solide que ce soit vous qui l’ayez fait, aucune preuve solide que le fichier n’ait pas été traficoté par quelqu’un après avoir été signé.

Pour autant, la réglementation eIDAS a défini les conditions qui permettent à une signature électronique de renverser la charge de la preuve (c’est à dire qu’elle est réputée par défaut authentifier son auteur et garantir absolument l’intégrité du document). C’est la signature qualifiée (dénomination eIDAS). Les conditions à respecter pour la signature qualifiée sont draconiennes. Elles font intervenir des certificats (valables pour des durées limitées – 1, 2 ou 3 ans), remis par des tiers de confiance eux même certifiés (par l’ETSI, l’ANSSI ou LSTI – lui même accrédité par le COFRAC). Certificats qu’il faut installer sur son poste de travail. Certificats qui nécessitent un matériel (hardware) – généralement avec reconnaissance biométrique, matériel qui j’imagine doit être également certifié par ces mêmes organismes. Les logiciels de signature doivent eux-mêmes être certifiés par ces organismes (j’imagine qu’ils ont fait des audits de code). Et les logiciels de vérification de signature doivent eux-aussi être certifiés par ces mêmes organismes.

C’est bien beau, mais c’est d’une complexité technologique inouïe, et cela a un énorme impact sur l’ergonomie, l’usage et les coûts de ces solutions. Imaginez que vous deviez équiper dans votre entreprise 500 signataires avec ce type de matériels et de certificats de signature ! et que pour des raisons d’obsolescence technologique ou réglementaire vous refassiez cela tous les ans. Vous aurez vite fait de faire le calcul de ce que vous coûte le papier et le stylo BIC.

Cependant rendons à César ce qui est à César… cela fonctionne, c’est déjà pas mal. Je ne suis cependant pas sûr qu’un contrat sur une durée de 6 ans signé en 2019 avec une signature qualifiée sera toujours considérée comme signature qualifiée en 2025.  A titre d’exemple, je peux signer aujourd’hui un document de manière qualifiée avec une clé USB qui ne me demande qu’un code PIN à 4 chiffres. Qu’est ce qui m’empêcherait de donner ma clé et mon code PIN à un collègue ? rien. Que vaut donc cette authentification : pas grand chose. Et pourtant elle suffit pour faire une signature qualifiée eIDAS.

Ce que vous devez faire sur votre projet : lister les types de document et qualifier les risques afférents à chaque document. C’est en fonction de la qualification de ces risques (probabilité x impact) que vous devrez décider de faire de la signature « simple », de la signature avancée au sens eIDAS, ou de la signature qualifiée. Parfois une réglementation peut vous imposer tel ou tel type de signature. Il ne faut pas hésiter à se poser la question de contourner cette réglementation et notamment si elle semble complètement délirante face au niveau de risque. En effet, ces réglementations vont parfois évoluer sous la pression de l’usage et des standards de fait. Aujourd’hui 90% des documents signés électroniquement sont des signatures « simples » qui ne sont ni avancées ni qualifiées au sens de l’eIDAS. Pour votre projet, il est toujours pertinent d’envisager des signatures simples et de « simplement » s’assurer que les données historiques de vos SI transactionnels ou les enregistrements et worfklows de votre GED, GEC sont archivés correctement sur une durée suffisante. Cela peut aussi nécessiter de conserver des logs de certains serveurs sur une durée plus importante.

Réservez la signature qualifiée au strict nécessaire, vos utilisateurs vous en remercieront et cela peut sauver votre projet, car une signature qualifiée sur un périmètre très restreint permet de ne pas contraindre tout votre projet pour une typologie de validation / signature qui ne représente en volume que 1% de vos transactions (par exemple).

Les mails et serveurs de fichiers

Le mail est un canal d’entrée et un outil de travail qu’il est illusoire de vouloir supprimer / remplacer intégralement par votre projet de GED ou de GEC.

En revanche le mail a beaucoup de défauts sur lesquels il faut s’appuyer pour segmenter vos processus. Si votre projet de dématérialisation comprend des worflows de traitement documentaire, la standardisation et la traçabilité de ces worflows est un atout majeur face aux mails. De même les collaborateurs sont agacés de recevoir des mails en permanence, voire des notifications de réception de mail. Dans un projet de GED, GEC tout cela est beaucoup plus segmenté et qualifié en amont (par exemple : notification uniquement pour des documents urgents, …).

Vous devrez donc segmenter le canal mail pour faire la part de ce qui va entrer dans votre système de traitement de ce qui va continuer à être traité par mail. Mais vous ne supprimerez pas les mails…

Dans beaucoup d’entreprises ou d’administrations, les collaborateurs ont pris l’habitude d’utiliser des serveurs de fichiers (« des disques réseaux » comme on l’entend souvent). Et cette habitude de travail sur les dossiers / documents à traiter est profondément ancrée (quand ils ne travaillent pas directement sur le disque de leur poste de travail au mépris de tous les risques de sécurité). Vous allez devoir leur faire comprendre que maintenant ils peuvent travailler directement dans votre outil de GED, GEC, que ce stockage est bien plus sécurisé que celui des serveurs de fichiers (normalement ce devrait être le cas sinon c’est qu’il y a un souci dans vos spécifications) et leur montrer que les fonctions de recherche sont bien plus puissantes que la navigation dans une arborescence de fichiers. Attention à l’ergonomie de vos fonctions de recherche… combien de fois ais-je vu des utilisateurs non formés aller systématiquement dans des écrans de recherche à 50 critères alors que 99% de leurs recherches pouvaient être solutionnées par un champ de recherche simple « à la Google » qu’ils n’avaient même pas vus sur leur écran d’accueil.

 

L’administration fonctionnelle de votre solution

Vous avez déjà eu du mal à mener votre projet de dématérialisation jusqu’au bout, alors c’est déjà pas mal. Maintenant il est temps de passer à autre chose.

Si vous n’avez pas mis en place l’administration fonctionnelle de votre solution, votre belle solution risque plus ou moins rapidement de tomber à l’eau. Indépendamment de la vitesse, cet échec est inéluctable.

Il est indispensable de disposer d’administrateurs fonctionnels pour faire vivre votre solution et notamment si votre solution de dématérialisation repose sur des workflows.

  • Parce que vos workflows évoluent avec votre organisation (arrivées, départs, mutations, changements de noms d’entités, fusions d’entités, scission d’entités). Même si vos workflows sont nominatifs.
  • Parce que souvent il est très pratique d’utiliser des éléments de structure dans des workflows d’information ou de traitement (exemple : j’adresse tel document au service « Reclamations »), encore faut-il que dans votre solution l’entité « Réclamations » soit à jour avec les bons employés.
  • Parce que vos métadonnés, vos plans de classement, vos mots-clés, vos critères de priorisation, vos règles de notification / alertes peuvent évoluer….
  • Parce que les administrateurs fonctionnels sont également les meilleurs interlocuteurs de niveau 2 pour le support utilisateur

Bref, surtout ne négligez pas la mise en place de cette organisation et de ces compétences