Les trois chaînons manquants de la conformité de la gestion des enregistrements
Quelques facteurs de gouvernance de l’information numérique souvent négligés s’avèrent pourtant essentiels au maintien de la conformité de la gestion des enregistrements.
Le concept de gestion des enregistrements, au 20e siècle, était simple : préserver certaines catégories d’enregistrements papier pour des durées déterminées par les réglementations applicables. Pour l’essentiel, cela se résumait donc à préserver l’actif informationnel final, imprimé, pour une durée déterminée.
Cela permettait aux régulateurs, ni nécessaire, d’accéder à ces enregistrements et de s’appuyer dessus pour évaluer les performances des entreprises par rapport aux règles applicables régulant le comportement corporate. Ces règles pouvaient recouvrir un grand nombre de processus métiers, dont le calcul correct des revenus et des dépenses, la production et la distribution sûres de bien manufacturiers, ou encore l’administration appropriée des procédures médicales. Par essence, gérer de manière conforme les enregistrements, c’est préserver les traces susceptibles de démontrer les efforts de l’entreprise en matière de respect des lois et des règlements qui la concernent.
Au 21e siècle, l’environnement réglementaire évolue rapidement et la plupart des entreprises omettent des éléments vitaux de plus en plus exigés pour la conformité de la gestion des enregistrements. Avec l’introduction du traitement des données, du commerce électronique et des communications numériques, les enregistrements d’une entreprise et les processus de gestion de l’information ont changé de manières significatives. Négliger certains chaînons manquants peut renchérir considérablement le coût de la conformité, et mettre en péril la capacité de l’entreprise à répondre favorablement à des inspections de plus en plus rigoureuses.
Tout d’abord, les agences de régulation ne s’intéressent plus seulement qu’à la version imprimée d’un enregistrement. Après tout, certaines estimations suggèrent que 80 % de l’information corporate n’est jamais produite sous la forme de documents papier tangibles. Les agences de régulation requièrent la préservation d’originaux numériques, ainsi que de versions antérieures et de brouillons susceptibles d’indiquer que des changements ou des altérations sont survenus. En d’autres termes, les agences veulent savoir d’où vient l’information et voir les enregistrements qui le prouvent.
En outre, les agences de régulation ne peuvent plus uniquement s’appuyer sur le caractère fini des documents papier. Les régulateurs savent bien que même ce qui est présenté comme les versions finales d’enregistrements numériques peuvent faire l’objet de manipulation, tout particulièrement si ces enregistrements contiennent des données contraires aux impératifs réglementaires de l’entreprise. De plus en plus, les agences réglementaires se penchent sur les contrôles de sécurité qui permettent de maintenir l’authenticité et l’intégrité des enregistrements numériques après que les versions « finales » ont été déterminées et distribuées.
Enfin, l’utilisation croissante de services Cloud tiers forcent les agences de régulation à s’assurer que les processus légaux de gestion des enregistrements sont conduits sous le contrôle de l’entreprise sujette à leur juridiction, même lorsque les données sont sous le contrôle d’un fournisseur de stockage.
Et ce sont là les trois chaînons manquants de la conformité de la gestion des enregistrements : montrer la provenance de l’information, démontrer son authenticité et son intégrité, et préserver le contrôle d’enregistrements stockés sur des réseaux largement distribués. Pour combler ces manques, les entreprises doivent maintenir des documents et des données qui démontrent l’histoire d’actifs informationnels et traiter ces données historiques comme des enregistrements pour aider à prouver leur conformité. Bref, il convient de concevoir une trace d’audit pour les actifs informationnels comparable à celle liée à la sécurité des produits ou à celle utilisée pour prouver l’exactitude d’un rapport financier.
Pour réussir cela, de manière économique, les entreprises peuvent envisager trois transformations dans leur manière de construire de nouveaux systèmes, applications, et actifs informationnels.
Tout d’abord, tout nouveau système, application ou processus devrait être conçu, construit et lancé en intégrant les impératifs de conformité de gestion des enregistrements. Cela signifie l’ajout de nouveaux interlocuteurs autour de la table lors de la conception de l’architecture de systèmes, pour la gouvernance de l’information, sa sécurité et le juridique. Procéder ainsi permet en outre aux chargés de la conformité réglementaire d’identifier les types d’enregistrements relatifs aux actifs informationnels qui seront nécessaires pour rapporter aux agences de régulation. A charge pour eux de chercher et de déterminer exactement ce que sont les actifs informationnels de l’entreprise.
Par ailleurs, les informations historiques relatives à un enregistrement devraient être accessibles à partir de l’enregistrement lui-même. Les juristes parlent de documents qui s’auto-authentifient. Cela permet à quiconque accédant à l’enregistrement de disposer d’une vision globale sur la provenance de l’actif informationnel, sans avoir à enquêter laborieusement. Il s’agit d’un point souvent omis par de nombreux développeurs d’applications et architectes IT.
Enfin, les enregistrements qui soulignent la conception des processus et les données s’auto-authentifiant devraient être préservés en parallèle des enregistrements auxquels ils font référence. Et d’être inclus dans les traces d’audit pour aider à afficher l’intégrité des enregistrements examinés par les régulateurs. Après tout, c’est bien de cela qu’il s’agit : préserver des traces.
Par Jeffrey Ritter, expert consultant en gestion de l’information à valeur légale.Adapté de l’anglais par la rédaction.