Les informations documentées – sans papier ?
INTRODUCTION
Depuis plusieurs années déjà, les organisations souhaitent avoir des pratiques sans papier et/ou en ligne pour faciliter la collaboration. Qu’en est-il vraiment. Comment expliquer que depuis l’utilisation des ordinateurs, il se vend autant de papier pour les imprimantes. Est-ce que finalement nous assistons à une tendance réelle du sans-papier dans la gestion de la qualité, par exemple. Les nouveaux moyens technologiques et les propositions Cloud nous forcent à bien planifier la stratégie pour ce type de projet sachant que les informations font partie des actifs de l’organisation. Voici donc quelques pistes de réflexion.
CE QUE LA NORME ISO9001 :2015 DIT
Tous sont d’accord que la nouvelle version de la norme semble beaucoup mieux adaptée aux nouvelles réalités d’affaires. Le plus grand changement qui a été fait est d’enlever les références aux documents papiers avec la notion d’informations documentées (article 7.5). La norme traite des aspects de gestion de la qualité, mais ces pratiques, principes et concepts s’appliquent dans la plupart du temps à l’ensemble des organisations.
Afin d’avoir un regard global pour les processus des organisations, pas seulement pour la qualité, je vous propose de refaire une lecture des exigences en enlevant volontairement certains mots et références à la qualité et d’y ajouter des interprétations. Voici donc le texte proposé.
(Réf. Article 7.5.1)
Le système doit inclure les informations documentées exigées et celles que l’organisme juge nécessaires à son efficacité.
L’étendue des informations documentées peut différer en fonction de la taille de l’organisme, de ses domaines d’activité et de ses processus, produits et services, la complexité des processus et de leurs interactions et sans oublier la compétence et l’expérience des personnes.
Dans la pratique, une organisation a besoin d’informations documentées dans plusieurs situations. En fait, la norme fait référence à ce besoin afin de démontrer par des faits/preuves que les exigences sont rencontrées. Voici donc la liste des articles de la norme qui demandent des informations documentées : 4.3, 4.4.2 (a,b), 5.2.2, 6.2.1, 7.1.5.1, 7.2(d), 7.5.1 (a,b),8.1 (e), 8.2.3.2, 8.2.4, 8.3.2 (j), 8.3.3, 8.3.4 (f), 8.3.5, 8.3.6, 8.4.1, 8.5.1 (a), 8.5.2, 8.5.3, 8.5.6, 8.7.2,9.1.1, 9.2.2(f), 9.3.3 et 10.2.2.
Par exemple, pour des normes plus spécialisées comme pour AS9100D, on retrouve aussi 7.3 (e), 8.5.1 (c1), 8.5.1.3, 8.5.5, 8.6, 8.7 et 10.2.1.
(Réf. 7.5.2)
Lors de la création et de la mise à jour des informations documentées, l’organisme doit s’assurer que les éléments suivants sont appropriés:
- a) l’identification et la description des informations documentées (par exemple leur titre, date, auteur, numéro de référence);
Ici, on fait référence à l’identification électronique du fichier enregistré sur votre disque dur, par exemple. Plusieurs organisations vont organiser une structure de répertoire hiérarchique d’enregistrement des fichiers sur les serveurs afin que chaque personne puisse retrouver les informations. Aussi, d’autre adopte aussi une politique pour nommer les fichiers avec une certaine logique dite (nom de fichier intelligent). Ce qui important ici est de s’assurer que la structure des noms ne soit pas incompatible avec la technologie utilisée (longueur du nom de fichier, type de caractères utilisés, etc.).
- b) leur format (par exemple langue, version logicielle, graphique) et support (par exemple
électronique, papier);
Ici, on parle surtout comment l’on assure le contrôle des médias utilisés (disque dur, Cloud, clé USB, CD-ROM, etc.)
- c) la revue effectuée (et leur approbation pour en déterminer la pertinence et l’adéquation)
L’approbation implique la détermination des personnes autorisées pour les approbations (workflow dans SharePoint, par exemple) et les méthodes d’approbations pour les différents types de documents ou informations documentées. Il s’agit de répondre ici à la question QUI et COMMENT. Voir aussi les signatures électroniques plus bas. (Réf. 7.5.3.1)
Les informations documentées exigées doivent être maîtrisées pour assurer:
- a) qu’elles sont disponibles et conviennent à l’utilisation, quand et où elles sont nécessaires;
Sous ce point nous parlons de la gestion des mots de passe uniques des utilisateurs sur serveur et les applications. Les mots passe doivent être uniques à chaque personne et gérer de façon strictement confidentielle par l’administrateur de système. Pour des fins de sécurité accrue, certains systèmes demandent de changer des mots de passe aux 3 mois et certaines applications imposent des formats spécifiques (nombre de caractères minimum, chiffres, caractères spéciaux, etc.). Trois principes peuvent ici s’appliquer soit la Confidentialité des informations, l’intégrité et la disponibilité. Il existe maintenant de plus en plus des conventions signées sur la confidentialité et la responsabilité en cas de divulgation volontaire et involontaire.
- b) qu’elles sont convenablement protégées (par exemple de toute perte de confidentialité, utilisation inappropriée ou perte d’intégrité).
C’est l’aspect sécurité informatique qui s’applique (antivirus, pare-feu, test d’intégrité, etc.). Un protocole clair sur la protection des données doit être défini (perte de données, changement non autorisé, altération non intentionnelle, corruption des données, dommage physique.
L’accès peut impliquer une décision relative à l’autorisation de consulter les informations documentées uniquement, ou l’autorisation et l’autorité de consulter et modifier les informations documentées.
(Réf. 7.5.3.2)
Pour maîtriser les informations documentées, l’organisme doit mettre en œuvre les activités suivantes, quand elles sont applicables:
a) distribution, accès, récupération et utilisation;
b) stockage et protection, y compris préservation de la lisibilité;
c) maîtrise des modifications (par exemple, contrôle des versions);
d) conservation et élimination.
La compréhension que nous devons faire ici est d’avoir un processus en place pour la gestion d’archivage électronique avec la même logique que si l’on fait un archivage papier. Une emphase supplémentaire est appliquée sur la corruption intentionnelle des données, car les informations documentées conservées comme preuves de conformité doivent être protégées de toute altération involontaire.
Aussi, les informations documentées d’origine externe que l’organisme juge nécessaire à la planification et son fonctionnement doivent être identifiées comme il convient et maîtrisées
LE MONDE DES CLOUD
Nous assistons actuellement à une offre intéressante d’entreposage et de gestion d’informations documentés sur Cloud avec Google Doc, SharePoint, Live Link, etc. Il est possible par choix d’avoir ces mêmes plateformes informatiques en interne sur vos serveurs et avoir un lien externe au besoin.
Le choix se fait sur certains critères par exemple : la sensibilité et la sécurité interne des informations vs externe, garder le contrôle des mises à jour des logiciels afin d’éviter de gérer des problèmes de compatibilité des informations, ne pas mettre les informations dans un Cloud externe pour des raisons de confidentialité, d’obligation contractuelle de sécurité, de protection des renseignements personnels, etc.
Si vous êtes une PME, il peut être avantageux pour des raisons de coûts de faire ce type de choix. Il est alors pertinent de vérifier les aspects de sécurité.
Si vous décidez d’avoir un fournisseur externe Cloud privé, assurez-vous que celui-ci a en place tous les protocoles de sécurité nécessaires et les protections comme les intrus. Des protocoles de sauvegarde 3-2-1, restriction d’accès, plan de contingence, etc. La norme ISO 27001 propose de bonnes pratiques à mettre en place non seulement pour la sécurité des TI, mais aussi pour la sécurité des lieux et la sécurité du personnel. Ne pas fier à ce que les représentants vous disent. Faites les vérifications diligentes AVANT de vous engager pour ce type de services. Vous pourriez avoir quelques surprises.
ET VOS BASES DE DONNÉES
Combien d’organisation qui décide de moderniser leur ERP pour des raisons de croissance et d’efficacité perdent des informations importantes lors d’un transfert d’une application vers une nouvelle plateforme.
La plupart des applications sont complexes et trop génériques ce qui demandent des personnalisations sans fin. Après un certain temps pour des raisons opérationnelles, les employés recommencent à revenir à leurs anciennes habitudes pour répondre aux besoins de livraison des clients et des gestionnaires à court terme.
La gestion des ERP, PLM, logiciels spécialisés, Web, etc. complexifie la notion d’informations documentées.
Plusieurs organisations doivent se conformer à des lois et règlements par exemple, la protection des renseignements personnels dans les PME ou dans les organismes publics.
LA SÉCURITÉ INFORMATIQUE
La sécurité de l’information est la protection contre un large éventail de menaces pour assurer la continuité des activités, de minimiser les risques commerciaux et de maximiser le rendement des investissements et des occasions d’affaires.
L’information peut être imprimée ou écrite sur papier, stocké électroniquement, transmise par courrier et par voie électronique, ou parlée en conversation. Dans l’environnement concurrentiel d’aujourd’hui, de telles informations sont constamment menacées par de nombreuses sources. Celles-ci peuvent être internes, externes, accidentelles ou malveillantes. Avec l’utilisation accrue de nouvelles technologies pour stocker, transmettre et récupérer des informations, nous nous sommes tous ouverts à un nombre croissant de types de menaces.
Il est primordial aujourd’hui de mettre en place des moyens adaptés au contexte et aux risques pour augmenter la crédibilité et prévenir des coûts liés aux pertes.
VRAIES COPIES CERTIFIÉES ET DOCUMENTS GÉNÉRÉS ÉLECTRONIQUEMENT
Réf. AC 571-024 de Transport Canada
Transports Canada reconnaît que la reproduction de la documentation originale sous forme de certificat des copies conformes peut être nécessaire lors du fractionnement des envois en vrac de produits. L’organisation peut choisir de produire, signer et archiver ses documents par voie électronique.
Ces documents peuvent être acceptés comme originaux lors de la réception du produit de fabricants agréés qui emploient des stratégies de documents électroniques. Des précautions doivent être prises pour l’acceptation de la certification de produit par l’organisation provenant du fabricant agréé.
En cas de doute, il peut être nécessaire de contacter le fabricant pour vérifier l’authenticité du document de certification avant d’accepter et installer le produit.
LOI SUR LES DOCUMENTS TECHNOLOGIQUES
Les lois applicables aux Québec et au Canada sont basées sur certains principes directeurs :
- L’équivalence fonctionnelle
Approche selon laquelle des exigences telles que l’écrit, la signature ou l’original peuvent aussi être appliquées à un support technologique dans la mesure ou ces exigences remplissent les mêmes fonctions que l’équivalent papier.
- La neutralité technologique
Caractéristique d’une loi qui ne favorise pas un moyen de communication plutôt qu’un autre.
- Critère fondamental assurant qu’un document, quel que soit son support, a une valeur juridique pleine et entière dès que son intégrité peut être constatée (cas d’archivage électronique de document papier). Elle intègre le document qui n’a pas été altéré, modifié.
Aussi, pour assurer la gestion sécuritaire des documents, certaines considérations sont à prendre en compte.
Le transfert : Il s’agit de faire passer un document technologique d’un support à un autre (ex. : masse de documents papier sur un CD-ROM). Le document sur un nouveau support a la même valeur juridique que l’ancien support qui peut par la suite être détruit.
La conservation : Remiser des documents de façon que l’on puisse les retrouver ultérieurement, sur demande, et sans qu’ils n’aient été altérés.
La consultation : Rendre disponible à des personnes autorisées un document présenté dans une forme intelligible dans le temps. Par exemple, pour les documents PDF, ils doivent être sauvegardés en format PDF/A.
La transmission : Transmettre un document d’une personne à une autre en faisant appel aux technologies de l’information, sauf interdiction par un contrat, loi et règlement.
PRÉCAUTIONS À PROPOS DES SIGNATURES ÉLECTRONIQUES
Pour qu’une signature soit valide, certaines conditions doivent être en place : être capable d’identifier la personne (mot de passe), permettre à la personne de manifester son approbation, engagement ou consentement, utiliser un moyen avec un degré de fiabilité de la signature qui correspond aux enjeux, circonstances aux habitudes ou à la confiance entre les parties.
Dans le secteur aéronautique, vous pouvez consulter la norme AC 571-006 pour plus d’informations sur les signatures électroniques générées par ordinateur sur les certificats de libération autorisés.
Plusieurs ordres professionnels offrent à leurs membres, moyennant des frais mensuels, l’utilisation de clé cryptée de signature électronique qui peut être installée sur vos ordinateurs et ainsi, appliqué vos signatures électroniques sur les documents Word, PDF, etc.
Après une expérience de test de fiabilité, par exemple, si vous signez un document PDF avec une signature électronique, le document original signe PDF est gelé avec la signature électronique. Cependant, avec certains logiciels PDF, il est possible d’ajouter des annotations et autres informations, les éditer et enregistrer ce nouveau document PDF. Ces copies annotées ne sont donc pas protégées même si vous avez apposé une signature électronique cryptée.
Je recommande donc de vous assurer de garder dans vos registres tous les fichiers originaux que vous avez signés électroniquement.
CONCLUSIONS
La gestion des informations documentées aujourd’hui se précise de plus en plus. L’avènement des technologies informatique, des moyens Cloud et des histoires de sécurité ont soulevé un nombre important de problèmes et de préoccupations.
Pour les organisations qui veulent mettre en place un projet de gestion documentaire, plusieurs éléments doivent être pris en compte afin de garantir la pérennité des organisations dans ce siècle de la gestion de la connaissance et du big data. Ne pas considérer que le projet aura une fin. Je recommande d’avoir dans vos organisations un employé responsable de la gestion documentaire pour en assurer la pérennité.
L’approche du concept des informations documentées dans la norme ISO représente bien l’ampleur des défis qu’attendent les organisations pour la gestion documentaire, le sans-papier et les bases de données. L’intention est louable, les défis sont grands et possibles, les moyens pour réaliser ce type de projet peuvent être importants. La meilleure approche est d’avoir une stratégie de projet à moyen terme et de réaliser la mise en place par étapes simples pour vos équipes pour en garantir le succès.
Je peux certainement écrire très longtemps sur le sujet, mais ce qui est le plus important sera d’avoir une approche simple avec des moyens de sécurité des vos informations. Une infrastructure fiable et stable fera certainement partie des moyens à mettre en place.