Feuilles de paie, quelles garanties exiger ?

openbee

Avis d’expert de Christophe Laurence, Directeur des Opérations de la société Open Bee.

Dans le cadre de la dématérialisation du processus de distribution des bulletins de salaire et de la « conservation électronique » à vocation probatoire des documents sensibles de l’entreprise, il convient de prêter attention à 5 points clés afin de sélectionner le bon prestataire.

1. La robustesse

En ingénierie, cette notion fait référence à la « stabilité de la performance » d’un système. À ce sujet, il est tout d’abord important de souscrire à une prestation de services dont le fournisseur garantit un certain taux de disponibilité et d’étudier précisément le SLA afin de bénéficier des meilleures garanties de services.

2. La pérennité

En la matière, il faut s’assurer que le format d’archivage des documents soit lisible dans le temps, que le fichier ne soit pas corrompu et que le support de conservation puisse être utilisé dans 50 ans par exemple (durée obligatoire de conservation des Bulletins de Paie Electronique). Le PDF est actuellement un format universel, normalisé au plan mondial.

Le prestataire sélectionné devra être en conformité avec la norme AFNOR Z42-020 qui prévoit la notion de calcul d’intégrité du document pour s’assurer que celui-ci est intègre tout au long de sa conservation.

Quant au support de stockage, les évolutions technologiques, qui nous ont progressivement amené de la disquette 5 VA aux baies de stockage cloud, nous permettent de penser que c’est avant tout un problème d’organisation et de méthodologie.

3. La réversibilité

Il est important de conserver la capacité de changer de prestataire. La norme AFNOR NF Z42-020 prévoit également que le format des données extraites doit être immédiatement intégrable dans un service tiers (notion d’interopérabilité).

4. La sécurité

Il s’agit de se prémunir de tout accident (risques techniques, physiques, chimiques et environnementaux…), et notamment des actes involontaires. À ce sujet, il est impératif de recourir à un hébergeur certifié ISO/ EIC 27001 au niveau infrastructure. Cette norme a pour vocation de fournir des réponses à cet enjeu en donnant les exigences nécessaires à la mise en place d’un système de management de la sécurité de l’information (SMSI).

Un seul chiffre à retenir : 80% des sinistres informatiques (accidents et erreurs d’utilisations) viennent de l’interne (source CLUSIF). C’est pourquoi au-delà de la sûreté des données par le cryptage de celles-ci, il est crucial d’exiger l’implémentation de mesures complémentaires afin de lutter contre la fuite et le détournement d’informations sensibles :

-> Double authentification forte par mail et SMS (pour prévenir du détournement des paramètres d’authentification).

-> Blocage des téléchargements, des impressions, intégration d’un filigrane dynamique avec le nom du collaborateur.

Au-delà de la rétention court-terme des données (5 jours généralement), il convient d’exiger la mise en œuvre d’une politique de sauvegarde sur stockage secondaire (bandes).

5. Le partage d'information

Un point capital aujourd’hui est de pouvoir partager l’information avec des tiers tout en assurant conservation, traçabilité et confidentialité fiables et efficaces. Le coffre-fort numérique aujourd’hui ne doit pas être un « repository » statique mais bien un outil collaboratif car les documents classés ne sont pas tous dans un objectif d’archivage.

 

Pour conclure, il est important de souligner le fait de sélectionner un prestataire capable d’analyser les lois et les normes et de pouvoir adapter ces dernières aux marchés des PME.

Pour en savoir plus, n’hésitez pas à nous contacter.

À lire aussi notre livre blanc « Guide des bonnes pratiques pour la dématérialisation à l’usage des PME ».

12 février 2019