IPRES : Audit et certification

Manue — Tue, 10 Oct 2006 13:58:35 +0200

Cette session portait sur les initiatives visant à auditer les entrepôts/archives de préservation de documents numériques pour savoir s'il sont dignes de confiance (trusted ou plutôt trustworthy). Les trois interventions étaient présentées par :

Robin Dale, de RLG (résumé de l'intervention)
Susanne Dobratz, qui représentait le réseau NESTOR, un réseau d'expertise sur la préservation du numérique en Allemagne (résumé)
Seamus Ross, du Digital Curation Centre (résumé).

Les trois interventions étant fortement convergentes, il est facile de les synthétiser autour de 3 points.

1. Les buts de la démarche d'audit

A quoi bon auditer des archives, me direz-vous ? Le but le plus évident est d'obtenir une forme de certification, un "label" permettant d'établir que l'archive est digne de confiance. Mais Robin Dale nous a bien fait valoir qu'avant d'atteindre ce but, il y a d'autres intérêts à cet audit pour le fonctionnement même de l'archive, comme par exemple, disposer de critères pour différencier une véritable archive de préservation d'un "bête" Institutionnal Repository. Finalement, le but de la démarche d'audit est avant tout d'évaluer les vulnérabilités et les risques qui pèsent sur l'archive, en toute transparence, pour établir une confiance.
Pour résumer, le but n'est pas d'avoir écarté tous les risques, mais de les connaître et de les annoncer.

2. Les méthodes d'évaluation et les preuves

Le principal outil de l'audit, c'est la fameuse "checklist", une liste de critères préétablis qui vont permettre d'évaluer l'archive. Il en existe une faite par RLG, celle de NESTOR devrait paraître bientôt en version anglaise. Ces critères se veulent être des indicateurs objectifs (on a entendu plusieurs fois le terme de "metrics").
Du côté de l'archive, Seamus Ross a mis l'accent sur le besoin de disposer d'un certain nombre de preuves sur lesquelles peut reposer l'évaluation. Il y en a trois sortes :

la documentation : charte, spécifications, profils de postes, rapport annuel, n'importe quoi
les interviews du personnel, faites par l'auditeur
et enfin les démonstrations et observations directes.

L'évaluation repose ainsi sur la mesure de l'écart qui existe entre ce que dit la documentation, ce que pense le personnel et ce qui se passe en réalité.

3. Normalisation, modèles économiques

Le problème, c'est que faire un audit, ça coûte cher : non seulement à celui qui le fait, mais aussi à l'institution auditée. Il va donc falloir trouver un modèle économique, sachant que le système de preuves montre bien qu'une auto-évaluation ne peut être suffisante.
Il n'y a pas vraiment eu de réponse à cette question de qui va faire les audits. La checklist, une fois unifiée au plan international, pourrait être proposée à l'ISO mais cela ne résoud pas ce problème.
Il existe aussi une crainte que l'existence d'un système de certification conduise dans certains cas à exiger cette certification pour certaines actions (ex. de la loi sur le copyright qui ferait une exception de conservation uniquement pour les archives certifiées). La réponse pourrait être d'avoir plusieurs niveaux de certification, permettant d'établir des réseaux de confiance entre institutions des différents niveaux.

Figoblog - IPRES : Audit et certification - Commentaires

IPRES : Audit et certification

1. Les buts de la démarche d'audit

2. Les méthodes d'évaluation et les preuves

3. Normalisation, modèles économiques