Law + Document Security: Entreprise New Documentation Obligations

SERENE - L'avenir de la cybersécurité : vers un écosystème numérique sain et solide Lien vers l'événement
22 avril 2015

More and more, web players must document their data preservation practices. While in traditional evidence law, one must use documents produced by third parties to prove something (a signature, documents produced by the opposite side, etc.), digital evidence introduced in front of the courts must be accompanied by explanations of the conditions under which these documents were created, hosted, archived, transmitted.Whether it is an html page, a screen capture, a word file, or a Wikipedia entry, each new piece of evidence, to be admitted, must explain how the document was managed. A new major principle therefore emerges:documentation. Breaking somehow established legal traditions, each stage of a document’s lifecycle must beconsidered beforehand. This process often rests on technical norms and standards designed by the industry(ISA, ARMA, COBIT). But these technical norms precisely require companies to adopt procedures and policies demonstrating their due diligence in how their protect their data.

De plus en plus, les acteurs du web doivent documenter leur processus de conservation des données. Alors que dans le droit de la preuve traditionnel, on prouve par le biais de documents qui proviennent d’autrui (signature de l’autre, document produit par la partie opposée, etc.), dans la preuve numérique présentée devant les tribunaux, les personnes en cause doivent expliciter les modalités selon lesquelles leurs documents ont été créés, hébergés, conservés, transmis. Que ce soit une page html, une capture d’écran, un fichier word, une page wikipedia, etc., il importe avant la mise en preuve d’expliciter comment le document a été géré. Un principe majeur apparaît donc : la documentation. Rompant quelque peu avec la tradition juridique, toutes les étapes du cycle de vie du document doivent être considérées au préalable, et ce, en se basant souvent sur des normes techniques provenant de l’industrie (ISO, ARMA, COBIT). Ces normes techniques qui justement exigent des entreprises de rédiger des politiques et procédures afin de montrer leur degré de diligence dans la sécurité de leurs données.

Mis à jour le 9 septembre 2015 à 8 h 51 min.