Les archives électroniques qui sont archivées et conservées dans un Système d’Archivage Electronique (SAE) pour des raisons réglementaires doivent parfois être mises à disposition de tiers externes.  Ces derniers ne peuvent consulter les archives dans le SAE puisqu’ils n’ont aucun droit et sont très souvent externes à l’entité organisationnelle qui héberge le SAE.

Le plus souvent, le service d’archives réalise une extraction des documents du SAE via une recherche puis les envoie au tiers en utilisant la messagerie électronique du service d’archives.  Le ou les documents envoyés sortent alors du périmètre maîtrisé de l’organisme. Le destinataire reçoit les documents via son compte de messagerie puis les exploite. Mais qu’advient-il vraiment des documents ? Sont-ils conservés dans la messagerie du destinataire ? Combien de temps ? Sont-ils protégés ? Sont-ils partagés ?  Sont-ils supprimés lorsqu’ils n’ont plus de raison d’être ? Autant de questions qui trouvent de nombreuses possibilités de réponses démontrant que le processus le plus simple est loin de préserver la confidentialité des documents ni de maitriser leur distribution.

Dans la réalité, les services d’archives sont assez démunis pour mettre à disposition des documents confidentiels à des tiers puis maîtriser leur diffusion. En effet, les normes qui régissent l’état de l’art des SAE comme la norme NF Z42-013 n’ont pas toujours encadré cette problématique de maîtrise de la diffusion des archives en dehors du périmètre d’une organisation. Des solutions complémentaires, souvent désignées comme des solutions de « Data Room », permettent la mise en place d’espaces sécurisés temporaires pour entreposer les documents dans des salles de données virtuelles avec des contrôles d’accès forts.

Exemple de cas d’usages dans la santé

Il existe de nombreux cas d’usage où un service d’archive doit mettre à disposition des documents à des personnes externes à l’organisation. Il s’agit très souvent de documents dont la diffusion est restreinte du fait des contenus pouvant comporter des informations confidentielles.

Dans le monde de la santé par exemple, les documents qui contiennent des données de santé à caractère personnel sont exclusivement réservés aux professionnels de santé qui doivent les utiliser dans le cadre de leurs missions. Ces documents n’ont en principe pas lieu de sortir du SAE utilisé par le DPI pour sécuriser et archiver les documents électroniques.

Pourtant dans des cas particuliers, il doit être possible de communiquer certains documents à des tiers. Par exemple, le dossier médical d’un patient peut être saisi par l’autorité judiciaire. Dans ce cas, le service d’archives doit réaliser une copie du dossier patient et fournir les documents demandés après accord du professionnel de santé qui doit en informer la direction de son établissement. Cette dernière en informe alors la DAJ. Dans un tel cas, l’acceptation du professionnel de santé ne le soumet pas à l’infraction de violation du secret professionnel.

Faciliter et maîtriser la mise à disposition des documents

Pour un service d’archives, la mise à disposition des documents archivés pourrait sembler être une opération simple. Une recherche des documents dans le SAE, puis un export et enfin un acheminement par un moyen ou un autre et le tour est joué. Mais dans la réalité la simplicité minimaliste est souvent la porte ouverte à une non maîtrise des contenus qui quittent le périmètre de sécurité du SAE.

Mais alors, comment permettre à un tiers d’accéder d’une manière exceptionnelle et maîtrisée à des documents dans le cadre par exemple d’une expertise médicale judiciaire ou de la saisie d’un dossier médical par l’autorité judiciaire ?  

Pour faciliter la vie des services d’archives qui utilisent le SAE, Spark Archives ajoute une nouvelle extension « Data Room » à sa suite permettant de sélectionner des documents archivés dans le SAE, de sélectionner les personnes qui devront avoir accès aux documents confidentiels et de leur envoyer une notification pour leur permettre d’atteindre un espace virtuel sécurisé et chiffré comportant les documents sensibles déposés par Spark Archives à leur attention.

Accéder à la Data Room Spark Archives

Cet espace sécurisé est accessible à l’extérieur du SAE par les utilisateurs externes dûment habilités par le SAE Spark Archives.  L’accès aux documents chiffrés est possible de n’importe où via un Smartphone ou un poste de travail. Lors du premier accès à la « Data Room » de Spark Ajantâ, l’utilisateur doit s’authentifier en utilisant une technologie d’authentification forte. Une fois authentifié et après avoir accepté les conditions générales d’utilisation, l’utilisateur est en mesure de déchiffrer les documents stockés temporairement dans son espace personnel. Chaque accès est tracé et géolocalisé afin de permettre un suivi des opérations de lecture par le service d’archives. Enfin, les documents déposés dans la « Data Room » Spark Ajantâ y sont automatiquement supprimés une fois que la période de rétention prévue est atteinte. Bien entendu, l’étanchéité de la Data Room est totale. Impossible de voir des documents d’un autre compartiment si le service d’archive ne l’a pas autorisé, impossible de sortir les documents de la « Data Room » sans habilitation, impossible de distribuer ou de copier le document !!!

Découvrez cette nouvelle extension Spark Archives dans nos prochaines versions !!!  

Christian Dubourg
Directeur Marketing Produit Spark Archives
Publié le 16 mai 2019