Coffre-Fort Numérique et norme NF Z 42-020 : Est-ce utile ?

1 – Introduction

La norme AFNOR NF Z 42-020 est sortie en juillet 2012 sous le titre :

Spécifications fonctionnelles d’un composant Coffre-Fort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps (là, vous pouvez respirer 😉 )

Comme le titre l’indique, cette norme est une spécification : elle décrit les fonctions permettant d’interagir avec un  CCFN (ou Composant Coffre-Fort Numérique).

2 – Contenu de la norme

La norme est un petit document de 23 pages décrivant les concepts et les exigences fonctionnelles que doit suivre un CCFN.

Les principaux concepts :

• Un CCFN contient des conteneurs. Un conteneur contient des objets numériques. Un objet numérique pouvant contenir un ou plusieurs fichiers. A un objet numérique sont associées des métadonnées techniques obligatoires (identifiant d’objet, l’identifiant de l’utilisateur ayant déposé l’objet, la date de dépôt, la taille de l’objet, l’algorithme pour le calcul de l’empreinte et l’empreinte elle-même)
• Trois types d’utilisateurs définis : l’Administrateur Général (gérer les administrateurs fonctionnels), l’Administrateur Fonctionnel (gestion des utilisateurs, gestion des conteneurs) et le Simple Utilisateur (lecture/écriture)
• Un CCFN doit proposer la notion de journal pour tracer toutes les appels de fonction sur le CCFN

Les fonctions :

• Déposer un objet numérique (l’empreinte peut être fournie par l’application ou calculée par le CCFN)
• Lire un objet numérique
• Détruire un objet numérique (et ses métadonnées)
• Lire les Métadonnées Techniques d’un objet numérique
• Contrôler un objet numérique pour vérifier l’intégrité d’un objet numérique
• Lire Journal pour récupérer toutes les opérations répondant au critère (objet numérique, entre deux dates)
• Lister pour obtenir les objets numériques répondant au critère (par rapport aux métadonnées techniques par exemple)
• Compter le nombre d’objets numériques répondant au critère (par rapport aux métadonnées techniques par exemple)

3 – Cas d’usage

Maintenant que la norme est présentée, la question de son utilité peut se poser.

Quand un éditeur se proclame compatible 42-020, qu’est ce que cela veut dire ? Personnellement, je suis assez réservé car il est difficile d’être compatible d’exigences fonctionnelles pour un logiciel. Il faudrait descendre à un plus bas niveau.

Autrement, sur le principe,cette norme permet de définir les bases de tout CCFN qui faciliteraient l’intégration d’un SAE dans le système d’information :

• Un SAE pourrait écrire et lire dans différents CCFN à partir de la même interface
• En cas de reprise, il serait facile de récupérer les données au travers de cette interface
• Une application tierce pourra lire et écrire des données et l’interface n’aura pas besoin d’être modifiée si le CCFN est changé

4 – Et la suite ?

Baptisé NF 203 CCFN, une certification NF logicielle est en cours pour permettre de valider la conformité d’un produit à cette norme.

A mon avis, il manque certains points importants au niveau de l’administration (gestion des conteneurs, gestion des droits d’accès) et des besoins fonctionnels comme la gestion de la durée de conservation des objets.  L’approche, pour les concepteurs de la norme, était, je pense, de décrire un composant technique interne au SAE. Les autres fonctions seraient alors plutôt au niveau du SAE.

Par analogie avec un autre standard : dans le monde des ECM (Enterprise Content Management), il existe un standard similaire appelé CMIS (Content Management Interoperability Services).

Mais contrairement à la norme 42-020, CMIS va beaucoup plus loin dans les détails en définissant avec précision les interfaces . Il aurait été intéressant que la 42-020 s’inspire de ce standard.

Pour ceux intéressés, n’hésitez à parcourir mon billet sur CMIS.

Coffre-Fort Numérique pour le grand public : avez-vous lu les « CGU » ?

Depuis quelques années, des banques, assurances et mutuelles proposent un service de Coffre-Fort Numérique (CFN) à leurs clients.

Avant d’entrer dans le vif du sujet, quelques précisions :

• La norme NF Z 42-020 (je reviendrai sur cette norme dans un autre article) parle de Composant Coffre-Fort Numérique (CCFN). Il y a donc une petite différence avec le CFN grand public puisque cette norme décrit les exigences fonctionnelles qu’un « composant » doit respecter, sachant que le « composant » est à considérer comme étant une sous-partie d’une application.
• La CNIL a émis une recommandation sur le sujet (voir un précédent billet).

 

Comme tout consommateur averti, j’aime bien lire les Conditions Générales d’Utilisation (CGU) pour bien comprendre le service offert. Et concernant les CFN, j’étais très curieux de voir quel niveau de service était proposé par ces organismes.

Il s’agit de bien vérifier les points suivants :

• Comment est décrit le service offert et quel est l’engagement ?
• Quelles sont les limites en terme de taille et de format des fichiers ?
• Quelles sont les conditions d’arrêt du service (si je ne suis plus client…) ? attention, souvent la récupération du contenu doit se faire dans un temps limité (sous 1 mois)
• Quelles sont les fonctions offertes en plus du versement/récupération ? Il peut y avoir un dépôt par messagerie, la possibilité d’inviter d’autres personnes à pouvoir lire des documents

Petit florilège de contenus des CGU…

…Sur la définition du service :

[…] met à disposition de ses Abonnés un coffre sécurisé à vocation probatoire conformément à la norme AFNOR NF Z 42-013 et ce pendant la durée définie contractuellement avec les Expéditeurs.

Dans le cadre du Service, met en oeuvre les moyens nécessaires à assurer la sécurité, l’intégrité, et la confidentialité des Documents.

…Sur les limites :

il deviendra Titulaire d’un Coffre-fort Electronique […] d’une capacité illimitée

La taille de chaque fichier téléchargé ne doit pas dépasser deux cent cinquante méga octets (250 M o). La taille du coffre-fort numérique est limitée à un giga octet (1 Go)

La capacité de stockage du Coffre est de 3 Go

…Sur la notion de copie/original :

L’attention du Titulaire est portée sur le fait que les Documents qu’il dépose dans le coffre-fort numérique constituent des copies numériques et qu’il lui est en conséquence recommandé de conserver par-devers lui les documents originaux à titre de preuve.

Il est rappelé que le Service ne donne pas, à ces documents ainsi numérisés et stockés, de valeur probante particulière. Ces documents numérisés et stockés sont de simples copies des documents originaux. En conséquence, le Client est invité à ne pas détruire les documents originaux et à leur apporter tous les soins nécessaires à leur conservation.

…Sur la clôture :

Le Titulaire devra, préalablement à cette clôture, prendre soin de sauvegarder les Documents sur un support qui lui est propre et de les supprimer du Coffre-fort Electronique

Dans ce cas, le Client doit avoir, avant fermeture, récupéré l’ensemble de ses documents stockés dans son coffre-fort par téléchargement à l’aide de la commande « Extraire »

…Autres clauses :

L’Hébergeur s’engage à ce que les documents stockés ne soient ni copiés, ni reproduits, ni dupliqués.

La Banque se rapprochera des ayants droit ou du notaire chargé de la succession s’agissant du devenir des Documents

Et pour terminer, un détour par l’offre du public :

Au travers du portail service-public.fr, un service de « porte-documents’ est offert à tout citoyen pour gérer ses documents administratifs :

En créant un compte mon.service-public.fr, vous disposez gratuitement d’un mode d’archivage sûr et innovant : le porte-documents électronique. Vous pouvez y conserver en toute confiance tous vos documents numérisés (pièces d’identité, factures, attestations etc.) ainsi que les pièces justificatives échangées avec l’administration. Votre document doit être au format PDF et sa taille ne peut excéder 1Mo

Après la lecture de cet article, plus qu’une chose à faire : lires les « CGU » 😉  !