Qui est responsable après l'arrêt du système ?
Par Emanuel Böminghaus, expert en systèmes hérités et directeur général d’AvenDATA
Par Emanuel Böminghaus,
expert en systèmes hérités et
directeur général d’AvenDATA
directeur général d’AvenDATA
L’arrêt d’un système existant est souvent considéré comme une étape technique importante : les projets sont marqués comme terminés, les interfaces sont déconnectées et les serveurs sont éteints. Mais ce qui reste, ce sont les données. Et avec elles, une question cruciale : qui est responsable de ces informations une fois que le système d’origine n’existe plus ?
Dans la pratique, des incertitudes surgissent fréquemment après la mise hors service. Les services informatiques ne se considèrent plus comme responsables, les unités d’activité perdent l’accès, les responsables de la protection des données demandent la suppression, tandis que les équipes chargées de la conformité exigent la conservation continue. Ce conflit ne peut être résolu que si les responsabilités sont clairement définies dès le départ et documentées sans ambiguïté.
La responsabilité ne s'arrête pas avec l'arrêt du système
Même après la mise hors service technique d’un système hérité, les données associées restent pertinentes sur le plan juridique, opérationnel et organisationnel. Les documents métier, les transactions, les contrats et les données des employés sont toujours soumis à des exigences de conservation, à des réglementations en matière de protection des données et à d’éventuels audits. Bref : la responsabilité de ces données change, mais ne disparaît pas.
Une idée fausse courante consiste à penser que l’arrêt du système transfère automatiquement la responsabilité au service informatique ou que le rôle de ce dernier s’arrête là. En réalité, plusieurs parties prenantes sont impliquées, chacune ayant des perspectives et des responsabilités différentes.
Le rôle du service informatique
Le service informatique est généralement responsable des aspects techniques liés à l’arrêt sécurisé de l’infrastructure, à la migration ou à l’archivage des données et à la gestion des accès. La fourniture d’une solution d’archivage relève souvent de son domaine de compétence. Cependant, le service informatique n’est pas chargé d’évaluer le contenu ou sa pertinence juridique. Son rôle est technique, et non réglementaire ou spécifique à l’activité.
Responsabilité des services métier
Les services métier sont responsables de la création, de l’utilisation et de l’interprétation des données, même après l’arrêt d’un système hérité. Ils savent quelles données sont pertinentes, lesquelles doivent être conservées et lesquelles peuvent être supprimées. Ils doivent donc participer activement au processus d’archivage, en particulier lorsqu’il s’agit de définir la portée des données, les droits d’accès et les périodes de conservation.
Après l’archivage, la responsabilité du contenu incombe toujours au service concerné, même si l’accès est en lecture seule. Si cette responsabilité n’est pas clairement attribuée, cela peut entraîner des lacunes, en particulier lors d’audits ou de contrôles internes.
Obligations en matière de protection et de suppression des données
Le responsable de la protection des données est chargé de veiller au respect des limites de stockage et des droits des personnes. Même après l’archivage, il faut garantir que les données à caractère personnel provenant de systèmes hérités ne sont pas stockées indéfiniment et peuvent être supprimées ou anonymisées à l’expiration des délais de conservation.
Cela nécessite des politiques de suppression coordonnées et des responsabilités clairement définies, en particulier lorsqu’il s’agit de décider quelles données doivent être archivées et lesquelles doivent être supprimées. La responsabilité de la protection des données incombe généralement au service métier, en consultation avec le responsable de la protection des données, et non au service informatique.
Conformité, audits et responsabilité juridique
Les services chargés de la conformité et les services juridiques ont tout intérêt à s’assurer que les données archivées provenant de systèmes hérités restent complètes, inchangées et accessibles à long terme. Ils sont responsables devant les autorités de réglementation, les auditeurs et les tribunaux, et doivent être en mesure de démontrer à tout moment l’intégrité et la disponibilité des informations historiques. Un accès fiable aux données historiques est essentiel, en particulier en ce qui concerne les documents financiers, les audits réglementaires ou les éventuels litiges juridiques.
Pour répondre à ces exigences, les équipes chargées de la conformité doivent travailler en étroite collaboration avec les services informatiques et métier pour garantir le respect de toutes les exigences légales, réglementaires et industrielles applicables. En fin de compte, les directeurs généraux ou les membres du conseil d’administration peuvent être tenus personnellement responsables des violations des exigences de conformité, même plusieurs années après la fermeture d’un système.
Conclusion : Des responsabilités claires permettent d'éviter des erreurs coûteuses
La responsabilité des données ne prend pas fin à la mise hors service du système existant. Elle s’étend aux services informatiques, aux services métier, à la protection des données et à la conformité, et doit être clairement définie. Sans répartition claire des rôles, les organisations s’exposent à des violations réglementaires, à des pertes de données et à une confusion interne.
L’archivage n’est pas seulement une tâche technique, c’est un projet transversal. Ce n’est qu’en attribuant clairement les responsabilités, en coordonnant les processus et en assurant la transparence de la documentation que les organisations peuvent garantir un traitement approprié, sécurisé, légal et fiable des données héritées.
Vous prévoyez d’archiver un système hérité ?