Lorsqu’on parle de traçabilité dans la vie courante, c’est en général pour évoquer le suivi de la chaîne de production, de transport et de distribution des produits agroalimentaires ou des médicaments, voire les flux migratoires des personnes.

Au sein d’un service dématérialisé, ce n’est évidemment pas cette notion qui doit être entendue par le terme « traçabilité », mais plutôt le suivi des actions effectuées par les utilisateurs et du cycle de vie des informations.

 

La traçabilité au sein d’un Système d’Information sera ainsi la capacité à suivre ou à reconstruire un historique fidèle des événements qui se sont déroulés au sein de ce système.

Les traces seront structurées de manière à conserver les informations suivantes :

  • qui (utilisateur humain ou module technique) ;
  • quoi (l’événement qui s’est déroulé et les éléments de contexte indispensables à l’interprétation ultérieure de la trace ;
  • quand (la date et l’heure de l’événement).

 

La traçabilité, une activité planifiée et organisée

Pour que la traçabilité remplisse son rôle, il est fondamental de la penser et de l’organiser en amont, au moment de la conception du service, afin de s’assurer de la pertinence et de la fidélité des traces qui sont conservées. Ainsi, dans un système de traçabilité, les traces individuelles et leurs relations entre elles doivent correspondre à un ensemble de règles sans lesquelles la traçabilité n’atteint pas son but.

Les règles suivantes s’appliquent aux traces prises individuellement :

  • le contenu d’une trace doit correspondre à l’événement qu’elle représente, de manière exhaustive et certaine : le triptyque « qui / quoi / quand » doit refléter la réalité de l’événement tracé ;
  • par extension, la trace doit pouvoir être interprétée : sa syntaxe et sa sémantique (c’est-à-dire son format et son sens) doivent être définies en amont et systématiquement respectées ;
  • afin de garantir sa fiabilité, la trace doit être intègre : il doit être possible de prouver qu’elle n’a pas été modifiée entre le moment de son établissement et celui de son interprétation ;
  • chaque trace doit pouvoir être identifiée individuellement, par exemple à l’aide d’un numéro unique de trace.

Les règles suivantes s’appliquent aux traces prises dans leur ensemble :

  • les traces doivent constituer un ensemble cohérent et exhaustif : il faut s’assurer que tous les événements qui nécessitent la traçabilité soient pris en compte ;
  • il doit pouvoir être vérifié qu’aucune trace n’ait été ajoutée ou supprimée de l’ensemble : cela peut se faire a minima à l’aide d’une numérotation de chaque trace sous une forme croissante et sans interruption, mais on peut aller plus loin grâce au chaînage des traces ;
  • l’accès aux traces doit être prévu, de manière à pouvoir les consulter et les extraire autant que de besoin ;
  • l’accès aux traces doit être contrôlé, et restreint aux seuls utilisateurs habilités à en prendre connaissance.

 

La traçabilité, obligation et opportunité

Il existe de nombreux secteurs d’activités liés à la dématérialisation dans lesquels la traçabilité n’est pas une option mais bien une obligation, que ce soit du fait de la loi ou de contraintes sectorielles. Mais au-delà des obligations légales, la judiciarisation du domaine de la dématérialisation force les fournisseurs de services dématérialisés à se mettre en position de pouvoir prouver en cas de contentieux les opérations qui ont été réalisées au sein des services qu’ils offrent, que ce soit pour se protéger eux-mêmes ou pour offrir à leurs clients les moyens de faire la preuve de leur bonne foi.

Toutefois, il serait restrictif de limiter au domaine juridique les apports de la traçabilité. En effet, elle constitue un excellent outil pour de nombreuses fonctions de l’entreprise :

  • la transparence, grâce au suivi qu’elle permet, tant en interne qu’en externe ;
  • le suivi de la qualité de service (technique et métier), grâce aux mesures qu’elle permet ;
  • le scoring des utilisateurs du service et la relation aux clients ;
  • la mesure de productivité des agents en charge des traitements ;
  • la réduction du risque lié à l’activité ;
  • le développement de nouveaux services…

L’établissement d’un système fiable de traçabilité est donc, pour l’entreprise, un facteur d’amélioration et de productivité non négligeable, pourvu que soient mis en œuvre conjointement les outils d’analyse et de décision nécessaires à l’exploitation de la base de connaissance ainsi constituée.

 

Les différentes formes de traçabilité

On peut distinguer quatre formes de traçabilité, qui sont complémentaires et présentent des caractéristiques différentes.

  • Les logs techniques sont les traces générées automatiquement par les applications informatiques pour faire foi du fonctionnement technique du système. Ils sont destinés aux concepteurs, aux développeurs et aux exploitants, qui s’en servent pour suivre la qualité de service et diagnostiquer les dysfonctionnements.

Apparentées à de la traçabilité « involontaire », ces traces ne sont pas dénuées de valeur juridique, mais sont complexes à exploitées car en général pas destinées à une personne non avertie.

  • Les traces applicatives sont destinées à la traçabilité fonctionnelle et juridique de la plate-forme.

Ces traces sont le cœur du système de traçabilité et doivent être conçues en même temps que le service, avec les interfaces de visualisation offrant à chaque acteur les possibilités de consultation et d’extraction nécessaires à son métier et restreintes à ses besoins. Chaque événement utile pour l’un ou l’autre des acteurs du système doit faire l’objet d’une trace incluant l’ensemble des informations utiles à son exploitation.

  • Les preuves cryptographiques sont des traces applicatives renforcées par un scellement cryptographique tel qu’un cachet ou un horodatage, qui les rend infalsifiable, garantit leur contexte de génération et leur provenance.

Ces preuves font foi de manière certaine d’un événement spécifique, indépendamment de son contexte : par exemple, la validation par un utilisateur des Conditions Générales d’Utilisation, la réception d’un document, le changement de statut d’un dossier ouvrant des droits pour le demandeur…

  • Les accusés de réception sont en général des mails envoyés automatiquement aux utilisateurs pour faire foi de la bonne prise en compte d’une demande, d’une action ou d’un document transmis par voie électronique.

Les accusés de réception étant bien souvent le seul élément de traçabilité mis à disposition de l’utilisateur des services dématérialisés, il convient d’y faire figurer l’ensemble des informations qui lui seront utiles.

 

Un complément indispensable : la Convention de Preuve

Pour que les traces soient opposables en cas de contentieux sans ambiguïté possible, leur contenu et leur interprétation doivent être documentés, au sein de la Convention de Preuve du service, dans la Politique de Traçabilité : pour chaque trace, il convient de décrire dans quel cas elle est produite, les éléments qui y figurent et le sens qu’ils ont.

Voir : Convention de preuve lien

La référence !

securite_de_la_dematérialisation