Les documents papier constituent-ils une menace pour votre entreprise ?

Par Philippe Leroy, directeur des ventes Europe du Sud d’ eCopy

Un aspect fréquemment sous-estimé de cette efficacité est la conformité et la garantie de mise en conformité pour la totalité des documents de l’entreprise. Parce que leurs messageries et fichiers électroniques sont stockés et gérés de manière efficace pour répondre aux exigences légales et réglementaires de leur secteur, les entreprises supposent qu’elles maîtrisent la question. Or, ce n’est tout simplement pas le cas.

Les entreprises sont également responsables de leurs documents papier, souvent stockés séparément et gérés par des processus distincts. Ce qui ne va pas sans poser de problèmes, non seulement concernant le stockage sécurisé mais aussi la capacité de la société à combiner les systèmes manuel et électronique à des fins d’exploitation ou de conformité.

Le poids croissant des exigences légales (décret du 30/12/2005 relatif à la liberté d’accès aux documents administratifs et à la réutilisation des informations publiques, pris pour l’application de la loi de 1978, protection des données, loi sur le respect de la vie privée, législation en matière de sécurité des informations et de santé-sécurité, etc.) requiert non seulement la mise en conformité des entreprises, mais aussi la mise en place d’une traçabilité visant à démontrer leur respect de la loi et leur capacité à fournir ces informations en temps voulu.

La manière la plus simple et la plus efficace d’obtenir ce résultat est d’intégrer l’ensemble des documents papier dans un workflow électronique. Résultat : la création d’un seul flux d’informations et de documents, que l’on peut suivre, rechercher et présenter dès que nécessaire.

Et ce n’est pas tout : les entreprises peuvent ainsi réduire leurs coûts, améliorer la productivité des employés et augmenter leur efficacité globale.

Curieusement, d’après les statistiques dégagées par le rapport InfoTrends (Roadmap 2006 : Image Scanning Trends), 30 % des principaux documents d’entreprise sont encore constitués d’imprimés. Que ces documents papier aient été créés par l’entreprise ou qu’ils proviennent de l’extérieur, cette trop grande proportion est dangereuse, car elle fragilise l’entreprise en l’exposant à des risques considérables et inutiles.

Disposer de deux flux d’information distincts (papier et électronique) est tout simplement irresponsable. Le coût de stockage physique des documents papier, tant en termes d’argent que d’espace, est secondaire. C’est la question de la sécurité qui est préoccupante. Une entreprise qui fonctionne selon deux processus métier distincts se trouve confrontée à toutes les difficultés et vulnérabilités associées.

Malgré cela, certaines entreprises demeurent réticentes à l’idée de prendre les mesures nécessaires pour intégrer les deux flux de documents. Ce processus n’est pas nécessairement synonyme de coûts et de complexité ; quelques étapes simples peuvent permettre à une entreprise (quelle que soit sa taille) de procéder à cette intégration rapidement et facilement.

Les investissements de départ ne doivent pas décourager les entreprises, car le processus est possible à partir du périphérique multifonction (MFP) ou du scanner existants, disposant du logiciel incorporé nécessaire. Autre possibilité : connecter une station de travail distincte à écran tactile au périphérique. Ces deux options sont aussi viables l’une que l’autre et largement disponibles.

Les documents papier doivent être intégrés au workflow électronique à leur point d’entrée dans l’entreprise. En différant ce processus, les entreprises ne font que s’exposer à des faiblesses : perte/vol des documents ou retard prolongé, voire définitif, de leur intégration dans le flux.

Cette intégration entraîne le stockage du document au sein de la base de données ou de la solution de gestion électronique de documents (GED), appliquant les mesures de sécurité et permettant la récupération du document dans les conditions souhaitées et au moment opportun. Le document d’origine peut alors être détruit ou conservé hors site dans un équipement de stockage bon marché afin de respecter les exigences réglementaires ou de garantir la continuité de l’activité en cas de sinistre.

C’est à ce point d’entrée qu’il est possible de mettre en place des contrôles d’accès et des mesures de sécurité visant à limiter les droits des utilisateurs (autorisation/interdiction de visualiser, de modifier, d’imprimer, d’enregistrer ou de faire suivre un document). Cette étape est primordiale en une période où la sécurité des informations et des données n’a jamais fait l’objet d’un examen aussi attentif. En réalité, d’après les recherches menées par CyberArk en août 2008, 88 % des administrateurs informatiques voleraient des informations confidentielles de leur entreprise s’ils étaient licenciés. De telles statistiques confirment à quel point il est essentiel d’employer toutes les mesures de protection à notre disposition. 

Mais alors, que devrait vous apporter une solution de gestion électronique de documents (GED) pour garantir la conformité totale de votre entreprise aux réglementations en vigueur ?

•    Il devrait être impossible d’intégrer un document au système sans fournir les informations utilisateur pertinentes et sans que cette activité ne soit consignée dans un fichier pour créer une traçabilité claire.

•    Tous les documents devraient se voir appliquer un niveau de confidentialité approprié dans le cadre du processus d’entrée afin que leur contenu soit uniquement visible par le personnel autorisé. Cela dépend alors du type de document numérisé (dossiers médicaux, factures ou informations financières, par exemple).

•    Il devrait être impossible de numériser un document et de l’envoyer par fax ou par messagerie électronique sans que cet envoi ne soit consigné dans un fichier d’audit. Le système de numérisation du courrier électronique devrait être entièrement intégré au système de messagerie de l’entreprise afin que les documents soient envoyés comme s’ils étaient expédiés depuis le bureau des utilisateurs. De cette manière, la transaction est capturée et conservée avec tous les autres messages électroniques de l’entreprise et sa traçabilité est assurée pour la suite.

•    Toutes les tâches de numérisation devraient être consignées de sorte qu’il soit possible de conserver un journal de toutes les communications sortantes à des fins d’audit. Les informations de type destinataire, objet numérisé, auteur de la numérisation, date et heure de la numérisation et mode d’envoi (messagerie électronique, télécopieur, transfert de fichiers via le réseau, etc.) sont essentielles.

•    Le système devrait prendre en charge l’authentification des utilisateurs au niveau du périphérique de numérisation afin que l’utilisateur puisse classer les informations confidentielles ou personnelles dans le dossier sécurisé approprié. La solution logicielle devrait offrir une intégration directe au système de GED utilisé de manière à stocker immédiatement les documents et à leur appliquer les mesures de sécurité standard.

•    La solution de numérisation devrait également intégrer une fonction de cryptage. Ainsi, selon son niveau de classification, le document pourrait ensuite être automatiquement crypté avant son envoi par courrier électronique ou son transfert via le réseau. Dans l’idéal, la solution devrait fournir un cryptage à 128 bits.

•   
Lorsqu’un document est numérisé, des fichiers temporaires sont enregistrés sur le disque dur du système. Par conséquent, dans l’idéal, ces fichiers devraient être totalement supprimés et inaccessibles aux personnes utilisant des outils de récupération de données.

Il est primordial que le logiciel de contrôle fournisse les mesures de sécurité nécessaires et qu’il crée une traçabilité permettant de surveiller et de contrôler l’ensemble des activités utilisateur. Sans ce niveau de sécurité et de contrôle, les entreprises s’apercevront rapidement de la hausse alarmante des coûts et du temps pour démontrer leur respect des normes et des réglementations en vigueur.
   
Cette conformité aux réglementations en vigueur est devenue l’un des sujets de prédilection des conseils d’administration depuis une dizaine d’années. Les entreprises qui ne respectent pas les points essentiels des réglementations légales et de leur secteur sont passibles d’amendes sévères, de sanctions, voire de poursuites judiciaires pour les cadres-dirigeants. Il n’est plus possible dorénavant de se déclarer ignorant et de mettre en œuvre des processus de gestion électronique de documents efficaces uniquement après s’être fait sanctionné.

Tandis que la conformité des données numériques est de plus en plus reconnue, en partie grâce à certains scandales, il existe toujours un risque majeur concernant les informations papier qui n’est pas maîtrisé. Il est temps pour les entreprises et leurs conseils d’administration de prendre leurs responsabilités et d’agir avant qu’il ne soit trop tard.