PSDC procedures by ILNAS

New document released by ILNAS about the PSDC procedures

ILNAS, via the “Digital trust department”, is notably charged with the supervision of PSDCs that are established in the Grand Duchy of Luxembourg and offer services related to digitisation or conservation of documents. This document describes the scheme, requirements and process applied by the ILNAS – Digital Trust department for the supervision of PSDCs. The supervision scheme is based upon the law on electronic archiving of dd/mm/2013.

The purpose of this procedure consists to describe the process of supervising PSDCs. The procedure addresses in priority the clients and the staff of ILNAS – Digital trust department. You can also find all the documents and the technical rules on the ILNAS website. To learn more about the PSDC status, read our presentation about “Should you Become PSDC or Not ?” and our presentation “Introduction to the new Electronic Archiving Bill” (in French).

As a specialist in document management, Labgroup offers free consultancy on the new Electronic Archiving bill to companies in Luxembourg. Register now for free !

PSDC procedures by ILNAS

New document released by ILNAS about the PSDC procedures

ILNAS, via the “Digital trust department”, is notably charged with the supervision of PSDCs that are established in the Grand Duchy of Luxembourg and offer services related to digitisation or conservation of documents. This document describes the scheme, requirements and process applied by the ILNAS – Digital Trust department for the supervision of PSDCs. The supervision scheme is based upon the law on electronic archiving of dd/mm/2013.

The purpose of this procedure consists to describe the process of supervising PSDCs. The procedure addresses in priority the clients and the staff of ILNAS – Digital trust department. You can also find all the documents and the technical rules on the ILNAS website.

To learn more about the PSDC status, read our presentation about “Should you Become PSDC or Not ?” and our presentation “Introduction to the new Electronic Archiving Bill”(in French).As a specialist in document management, Labgroup offers free consultancy on the new Electronic Archiving bill to companies in Luxembourg. Register now for free !

L’avenir du statut de PSF vu par l’association

Dans la foulée des discussions sur l’introduction au Luxembourg, à partir de 2015, de l’échange automatique d’informations entre administrations fiscales dans l’UE sur les revenus d’intérêt, les professionnels s’interrogent sur l’impact de cette décision sur la place financière.

Pour le cluster des PSF de support, il importe de constater que :

L’abandon du secret bancaire n’est pas absolu et ne touche actuellement, alors qu’une discussion est en cours à Bruxelles sur l’extension du champ d’application de la directive, que certains revenus. Aussi, cette mesure annoncée se limite à un échange d’informations entre administrations fiscales. L’obligation pour les professionnels du secteur financier de garantir la sécurité et confidentialité des informations vis-à-vis de toute autre tiers continue donc à exister.

Les obligations de gestion de risques opérationnels qui sont au coeur du statut ne sont pas du tout touchées par la directive. En effet, la CSSF vient de publier en 2012 une nouvelle circulaire 12/544 dite « risk based approach ». Cette circulaire est parfaitement alignée à l’objectif politique international de renforcer la gouvernance et réduire les risques liés aux activités financières.

Ce changement de paradigme qui s’imposait face à des tendances internationales irréversibles (FATCA, OCDE, etc.) est également source d’opportunités pour le secteur ICT au Luxembourg. Il est attendu qu’un nombre significatif d’acteurs existants de la place financière devront s’adapter à ce changement de situation et, pour des raisons évidentes de coût , pourront être amenés à sous-traiter leur informatique éventuellement pour passer d’un modèle Capex à un modèle Opex ou pour faire face à une complexité croissante des infrastructures. L’image de la place se trouve renforcée et de nouveaux investisseurs internationaux, désireux de profiter du cadre légal attractif et de l’expertise en matière de gestion de données sensibles, vont certainement se tourner davantage vers le Luxembourg.

Le statut du PSF continuera donc, à notre avis, de garder toute son importance. « Alors que tout le monde parle du Big Data et des opportunités économiques y associées, je suis convaincu que le Luxembourg possède tous les atouts pour se positionner au niveau international en tant que « Information Trust Center », tant pour le secteur financier que pour d’autres secteurs économiques », conclut Thierry Seignert, Président de l’association des PSF de support.

En effet, le « know how » dont le secteur ICT dispose à présent dans ce domaine et qui est intrinsèquement lié au statut de PSF de support reste unique au monde. Il importe à présent de suivre de près les évolutions réglementaires et de promouvoir ce cluster de compétence à l’étranger. L’association des PSF de support, en tant que membre du Haut Comité de la Place Financière, compte y jouer un rôle moteur.

Article publié le 13 juin 2013 par l’Association des PSF de Support.

Loi sur l’archivage électronique : Et si le Luxembourg montrait la voie ?

 

Pour la 13 édition de la Lettre de la Dématique, publié par FEDISA France, Bernard Moreau (PDG Labgroup) et Jean Racine (Fedisa Luxembourg) ont abordé la nouvelle loi luxembourgeoise sur l’archivage électronique. Une loi qui vient d’un petit pays mais qui fait grand bruit en Europe.

En cours d’adoption au Grand Duché, la future loi luxembourgeoise sur la dématérialisation des documents papier et la conservation des documents électroniques, tranche avec d’autres approches européennes – et françaises – sur au moins deux points : le renversement de la charge de la preuve, en faveur de la copie électronique d’une part ; et la liberté des choix technologiques accordée aux prestataires agréés, les PSDC.

A l’occasion de la discussion d’abord, du vote prochain ensuite, de la nouvelle loi luxembourgeoise sur l’archivage électronique, la Lettre de Fedisa a souhaité en savoir plus sur la logique suivie par le législateur, les décisions prises, et les conséquences pour les utilisateurs, les entreprises, et les prestataires spécialisées. Des points abordés avec Jean Racine et Bernard Moreau, respectivement Directeur du Développement et PDG de LabGroup (*), par ailleurs membres de Fedisa Luxembourg.

Ce qui existait auparavant, pourquoi changer, sous quel délai ?

Une loi existe depuis le 22 décembre 1986 concernant la dématérialisation des documents et leur conservation. Elle a été assez peu appliquée en raison de décrets d’application insatisfaisants, qui imposaient par exemple l’accès et la conservation du code source des applications utilisées pour la dématérialisation aussi longtemps que durerait l’archive électronique. Ou l’utilisation de supports non-réinscriptibles, en conformité avec les moyens techniques de l’époque.

Les juges avaient par ailleurs toute liberté de continuer de donner la priorité probante au papier. Cette situation ressentie comme bloquante a débouché, à partir de 2006, sur la mise en chantier d’une nouvelle loi – 6543 -, arrivée en discussion le 13 février dernier. Un vote est attendu avant cet été, et son application espérée pour la fin 2013.

La logique de la nouvelle loi

Le nouveau texte crée un contexte juridique favorable à l’essor de la dématérialisation et de la conservation, tout en laissant une assez grande latitude aux acteurs sur le plan technologique. Des acteurs (PSDC) certifiés pourront mettre en oeuvre les moyens jugés appropriés pour conserver les documents – évolution des supports notamment. Ils pourront aussi, une fois l’opération de dématérialisation des documents papier effectuée, détruire le document d’origine. Les copies qu’ils créeront seront présumées être conformes aux originaux, bénéficiant ainsi d’un renversement de la charge de la preuve par rapport à la situation existante. Désormais, le juge devra appliquer cette présomption de conformité et il reviendra à la partie adverse de démontrer, pour autant que possible si l’unique original a disparu, que la copie n’est pas conforme.

Le rôle des PSDC et la labellisation

Les prestataires spécialisés de dématérialisation et de conservation (PSDC) se répartiront en trois groupes : les PSDC-D (pour dématérialisation), les PSDC-C (conservation) et les PSDC-DC (les deux). Pour obtenir la certification, ils devront subir des audits réguliers – à l’origine, puis sur un rythme annuel -, de la part de professionnels eux-mêmes accrédités par l’ILNAS (http://www.portail-qualite.public.lu/). L’ILNAS disposera d’un référentiel (RGD), décrivant les choix techniques possibles. Les PSDC auront la liberté de leurs choix techniques, mais aussi une obligation de transparence sur ces choix vis-à-vis de leurs clients. Et celle d’assurer, en cas de cessation d’activité, le transfert des documents électroniques en leur possession vers un autre PSDC.

Les conséquences attendues pour les entreprises et le marché de la dématérialisation et de la conservation électronique

Les acteurs spécialisés comme LabGroup sont très impatients de voir la loi se mettre en place, tout en restant prudents dans leurs choix technologiques dans l’attente de la parution du référentiel de l’ILNAS. Il faut dire qu’au-delà du marché intérieur luxembourgeois, déjà très prometteur dans le secteur financier notamment, les perspectives sont également alléchantes de l’autre côté de la frontière, avec des groupes internationaux qui pourraient bien venir centraliser leurs archives électroniques dans le Grand Duché. C’est d’ailleurs un objectif assumé par le gouvernement que de favoriser le succès de ses champions de la dématérialisation et de la conservation – même si la certification n’est pas réservée aux seules sociétés luxembourgeoises. Il n’en est d’ailleurs pas à son coup d’essai. En créant, il y a quelques années, le label PSF (pour professionnels du secteur financier http://www.luxembourgforfinance.lu/fr/psf), qui concerne notamment « les opérateurs de systèmes informatiques et de réseaux de communication du secteur financier », il est parvenu à valoriser, dans des secteurs connexes au coeur de métier des banques, l’excellente image de ses établissements financiers.

(*) LabGroup (http://www.labgroup.com/) s’est donné pour mission d’offrir les meilleurs services de gestion de leurs données et de leurs documents à ses clients – les deux activités, historiquement séparées, ayant été regroupées. Cet objectif intègre notamment le respect des obligations légales et réglementaires associées à ces activités. La société existe depuis plus de 35 ans, emploie une centaine de collaborateurs, et revendique plus de 500 clients. Elle affirme clairement son souhait de faire partie des toutes premières entreprises labellisées PSDC-DC (http://www.labgroup.com/labgroup-first-psdc/).

Lire l’article sur le site de la FEDISA.

Découvrez les aspects du projet de loi sur l’archivage électronique au Luxembourg: Introduction to the law proposal on electronic archiving.

Le succès de la conférence Electronic Archiving 2.0 trouve son écho dans la presse en ligne

Suite à la conférence sur l’Archivage Électronique 2.0, Alain De Fooz, journaliste chez Soluxions, a écrit un intéressant article qui a fait la une du magazine en ligne.

A sujet d’actualité, succès assuré! 160 participants et une grande interactivité entre le public et les deux orateurs: Catherine Di Lorenzo, avocate à la Cour, du cabinet Allen & Overy à Luxembourg, et Jean Racine, Business Development Director, Labgroup. Plutôt qu’assister à une présentation, le public avait été, préalablement, invité à poser des questions; la matinée de travail du 16 avril fut organisée autour de cette approche.

Pour Labgroup, qui fête cette année 35 ans d’activité dans l’archivage, cette séance a été l’occasion de démystifier dématérialisation et archivage sur longue durée et, surtout, de faire la part des choses entre technologies, processus et réglementations.

La première question avait trait à l’externalisation. «Maintenant que des tiers-archiveurs seront bientôt certifiés, dois-je nécessairement faire appel à eux?» Non, bien sûr. Libre à l’entreprise de dématérialiser et d’archiver sans passer par un fournisseur externe -certifié ou non d’ailleurs. «Dois-je devenir PSDC?” Pas davantage. «En revanche, vos archives ne bénéficieront pas de la présomption, et il vous reviendra -notamment en cas de litige- de démontrer que les conditions techniques et organisationnelles permettant d’établir la fidélité et la durabilité de vos archives ont été respectées», insiste Catherine Di Lorenzo.

Donc, libre aux entreprises de choisir l’une ou l’autre solution selon leurs besoins et la nature de leurs archives, voire décider de ne confier à un PSDC que les archives sensibles, résume Jean Racine. «Le statut de PSDC peut être intéressant si votre activité d’archivage est importante. Il s’agit donc d’évaluer vos gains potentiels en terme de productivité, mais aussi d’agilité en fonction de votre volume d’activité et de tenir compte de vos contraintes légales. Dans la majorité des cas, les entreprises préféreront sous-traiter -totalement ou partiellement.»

Et Catherine Di Lorenzo de rebondir sur le deuxième adverbe: «partiellement». A l’écouter, il est courant d’estimer entre 3 et 5% le volume des documents «sensibles» à couvrir par cette forme d’assurance qu’est le PSDC. D’un autre côté, enchaîne Jean Racine, il faut voir plus loin que l’aspect purement légal. «Le premier atout de la dématérialisation est financier; le second est productif. Aujourd’hui, le paperless office n’est plus un leurre!»

N’empêche: devenir PSDC est un projet lourd. Il faudra répondre à des exigences techniques et organisationnelles sérieuses quant à la fiabilité et la durabilité des archives. Et Jean Racine de résumer l’action: «Partez du principe que vous serez sans doute amené à démonter la conformité d’un document dans vingt-cinq ans!» Tout est dit!

D’autres questions, encore, sur le processus d’accréditation. Il est long, s’étirera entre 12 et 18 mois. Et passera par six phases: préparation, certification, notification, validation, supervision et publication. Le document de référence est disponible à l’ILNAS. La base? Le référentiel des normes ISO/IEC 27001 et 27002, l’accréditation correspondant à une extension de ces normes. «En faisant reposer les certifications sur ces référentiels, le Gouvernement montre clairement sa volonté d’établir une certification normalisée à valeur internationale», analyse Catherine Di Lorenzo.

Dans la course aux accréditations, les entreprises déjà certifiées ISO 27001 -une dizaine au Luxembourg- seront sensiblement avantagées. Ce qui veut dire aussi que le coût de la certification PSDC sera au moins égal à celui d’une certification ISO 27001. L’investissement total, lui, sera plus lourd: mise en place de nouveaux processus, formations…

Des questions encore sur la pérennité des documents archivés. Difficile, en effet, de se projeter à un horizon de dix, quinze ou vingt ans. D’emblée, on songe à l’obsolescence technologique, aux medias en particulier. Jean Racine: «Restez vigilant, en veille permanente. S’intéresser, par exemple, à la durabilité des algorithmes, aux risques de collision… L’avenir peut inquiéter. Je pense qu’il faut l’appréhender sereinement. De se reposer sur des bases solides, comme l’OAIS (Open Archival Information System). Et de laisser courir les rumeurs -je pense à celle, par exemple, sur les signatures électroniques: les remplacer à leur expiration au terme de trois ans est un leurre!»

Et Bernard Moreau (CEO de Labgroup) de conclure cette matinée en enjoignant les participants à saisir l’opportunité qui se présente. «Que vous choisissiez de devenir PSDC ou non, d’exploiter totalement ou partiellement les services d’un prestataire certifié, considérez les atouts. Non seulement vous tirerez des avantages sur le plan légal, mais surtout vous améliorerez votre productivité, au bénéfice de vos clients… Cela fait vingt ans que l’industrie nous parle de paperless office, aujourd’hui le Gouvernement luxembourgeois balise le chemin pour y arriver. Prenez-le! Nous serons là pour vous accompagner!»

Et de matérialiser le propos en offrant à chacun des participants du séminaire une demi-journée de consultance à leur meilleure convenance.

Lire l’article sur le site de Soluxions Magazine

Que vous choisissiez de devenir PSDC ou non, d’exploiter totalement ou partiellement les services d’un prestataire certifié, considérez les atouts. Non seulement vous tirerez des avantages sur le plan légal, mais surtout vous améliorerez votre productivité, au bénéfice de vos clients…

Bernard Moreau, CEO Labgroup

Gérer les risques opérationnels et de sécurité de l’information

Article intéressant sur le partenariat entre Labgroup et le CRP Henri Tudor, publié dans la première édition 2013 de la Revue Technique Luxembourgeoise.

Gérer les risques opérationnels et de sécurité de l’information
avec une approche intégrée

A la recherche d’une solution intégrée lui permettant de répondre à la fois aux exigences de gestion des risques de sécurité de l’information et de gestion des risques opérationnels, Labgroup s’est tourné vers le CRP Henri Tudor. «En tant que Professionnel du Secteur Financier, nous devons répondre à des exigences de la Commission de Surveillance du Secteur Financier (CSSF) et sommes soumis à des contrôles relatifs à notre gestion des risques opérationnels liés au traitement de l’information. Par ailleurs, dans la perspective de la création d’un statut de Prestataire de Services de dématérialisation et/ou de Conservation (PSDC), prévu dans la nouvelle loi sur l’archivage électronique, il faudra aussi répondre à des directives strictes en termes de gestion des risques liée à la sécurité de l’information», explique Manu Roche, Chief Operations Officer de Labgroup Luxembourg. Ces deux approches de gestion du risque, traitant de risques de nature différente, s’appuient respectivement sur la circulaire 12/544 de la CSSF et sur le référentiel de l’ILNAS, organisme d’accréditation pour le statut de PSDC, qui se base notamment sur les normes ISO/IEC 27001, ISO/IEC 27002 et ISO/IEC 27005.

Intégrer deux approches

«Nous recherchions, sur la place, des acteurs capables de nous aider à intégrer ces deux approches en une seule, et ainsi nous faciliter la tâche par rapport aux obligations aux-quelles nous sommes soumis tout en nous permettant de réaliser des économies», poursuit Manu Roche. N’ayant pu trouver des acteurs à même de les accompagner dans la définition de cette approche unique, Labgroup a finalement trouvé dans le CRP Henri Tudor un interlocuteur de choix et s’est donc inscrit dans une démarche d’innovation.

«Cela fait de nombreuses années que nous étudions les différents référentiels réglementaires ou normatifs», explique Nicolas Mayer, Senior R&D Engineer au CRP Henri Tudor. La multiplication des types de risques, et des normes à mettre en oeuvre pour les gérer, a créé une réelle complexité au niveau de la gestion de l’entreprise. Dans la mesure où la gestion des risques opérationnels et la gestion des risques de sécurité de l’information constituent deux domaines intimement liés, il y a donc une réelle valeur ajoutée à les traiter en parallèle, au sein d’une même approche. Cette mutualisation a pour conséquence d’améliorer la gouvernance de ’entreprise et de lui permettre de répondre de manière plus pertinente et efficace à ses problématiques de conformité.

Gain de temps et d’argent

Depuis septembre, le CRP Henri Tudor et Labgroup travaillent main dans la main pour développer une approche unique qui permettra aux entreprises de répondre aux exigences de la CSSF ainsi qu’à la règle technique de l’ILNAS.

«La méthode est opérationnelle et nous l’avons outillée avec un logiciel qui permet de guider l’utilisateur dans la démarche, d’en documenter les étapes et les résultats et de fournir une base de connaissance relative aux risques encourus et à la manière de les réduire. Le logiciel garantit également la production d’une analyse comparable et reproductible dans le temps et donne le cadre des rapport à fournir», explique Nicolas Mayer.

Aujourd’hui, la méthode et l’outil sont testés au niveau de Labgroup. «L’objectif est d’être prêt pour obtenir l’accréditation PSCD au printemps prochain», explique Manu Roche. Pour l’entreprise, disposer d’un même outil pour la gestion des risques opérationnels et de sécurité, c’est la garantie d’un gain de temps et d’argent, mais aussi un moyen de s’assurer une ligne de conduite commune répondant aux différentes exigences réglementaires.

Vers une approche plus large

Pour le CRP Henri Tudor, cette fructueuse collaboration constitue un solide appui pour aller vers une approche plus large encore. «Nous avons pu montrer, par cette collaboration, que l’on pouvait innover de manière très pragmatique sur l’intégration de différents référentiels relatifs à la gestion des risques. L’objectif est de poursuivre dans cette voie, afin de parvenir à une intégration globale de la gestion des différents risques auxquels les organisations sont confrontées, et ce au sein d’une solution», explique Nicolas Mayer.

Propos recueillis par Sébastien Lambotte

Lire l’article sur le site de la Revue Technique.

Plus d’informations sur le site www.tudor.lu

Luxembourg: Getting rid of paper!

For Flydoscope Magazine (2013 Spring Edition), Raymond Faber, from the Luxembourg Economy and Trade Ministry, speaks about the new Luxembourg legislation on virtual record-keeping and how it aims at attracting more multinationals to the Grand Duchy.

Article written by Aaron Grunwald.

Luxembourg has taken another step towards attracting the regional and global headquarters of multinational corporations with the introduction of the country’s new electronic archiving law. The bill is the first move in Europe, and possibly in the world, to put electronic versions of many legal documents on the same playing field as their paper counterparts.

The measure – currently winding its way through the legislative process – updates the Grand Duchy’s 1986 archiving law, explains Raymond Faber, e-commerce and IT security manager at the economy and trade ministry. Under the existing system, if there ever is a conflict between a physical and virtual version of a document before a court, “the paper will always prevail” because “it’s always the paper which has the more legal value”, he says.

The new regime represents a huge shift. If “you are compliant with the legislation and with the conditions in the regulations, this means that in front of a tribunal the burden of proof changes” according to Faber. “It’s not you that will have to prove that the electronic document has been created and store correctly, but ot’s the other party who has to prove that is has not been done correctly. It’s a change in the burden of proof”.

Read full article in the Flydoscope Magazine.

You want to learn more about the Luxembourg archiving bill ? Read our Introduction to the law proposal on electronic archiving (in French).

Bernard Moreau: Retour sur investissement oui, mais aller en confiance d’abord !

Dans une entrevue pour paperJam Magazine, Bernard Moreau, Labgroup CEO, explique l’importance de la confiance entre les clients et les prestataires de cloud computing.

De plus en plus de prestataires se positionnent pour des offres de services cloud. Quels sont les indicateurs clés (software, hardware, télécoms, data management…) que vous préconisez pour mesurer le retour sur investissement de votre solution ?

Labgroup est un prestataire de services de Cloud Computing à titre “secondaire”, mais c’est paradoxalement un argument majeur pour nos (futurs) clients… En effet, si Labgroup possède et gère son centre de données depuis 1999, c’est d’abord et avant tout pour héberger sa propre infrastructure et offrir ses propres applications en mode ASP (l’ancêtre du SaaS !). Autrement dit, Labgroup, en tant que premier utilisateur de son Cloud, est dans le même… nuage que ses clients. Quand on les interroge sur les raisons de leur choix, ceux-ci mettent cette situation en exergue.

Pourquoi ?

Tout simplement, parce qu’elle établit un pacte de solidarité entre eux et nous : si nos services sont bons, nos utilisateurs et les leurs seront satisfaits. Inversement, un défaut de qualité de service ou de sécurité des données les affecterait tous. La deuxième raison invoquée : le conseil. On ne vend bien que ce que l’on connait bien et on connait mieux ce que l’on utilise pour soi. En détaillant les raisons de la sélection de tel ou tel fournisseur de technologie, de tel moyen de sécurité, de tel niveau de service, de tel indicateur de performance, nous renforçons les convictions du client. Last but not least, la confidentialité s’affiche comme un autre critère important, qui est largement satisfait grâce au statut de PSF de support.

Solidarité, conseil et confidentialité peuvent-ils mesurer le ROI du client ?

Certes non. Mais écarter ces aspects qualitatifs serait ignorer que le client n’investit pas seulement dans un service, mais aussi dans une relation avec son prestataire. Et que si cette relation n’est pas suffisamment confiante, son investissement sera remis en cause. Sur le terrain des petites et moyennes entreprises où Labgroup évolue, il faut d’abord faire ensemble un aller en confiance, avant d’envisager un retour sur investissement !

Lire l’article complet sur paperJam – Février 2013.

Sur le terrain des petites et moyennes entreprises où Labgroup évolue, il faut d’abord faire ensemble un aller en confiance, avant d’envisager un retour sur investissement !

Bernard Moreau, Labgroup CEO.

Labgroup: Evolving from “Scan to Store” to “Scan to Use”

Interviewed by paperJam Magazine, Jean Racine, Business Development Director at Labgroup, explains how the scanning needs have evolved from “Scan to Store” to “Scan to Use”.

Traditionally clients were scanning their archives in order to gain space and be more cost efficient, but today they understand the technology provides so much more. By extracting the information through an OCR process, the dematerialization allows data protection, sharing, safe collaboration and fastest management.

For instance the invoices can be digitized and the information (prices, VAT, …) can be integrated directly into the ERP. Fast, safe and reliable information management has never been more easy. Information become a strategic resource for the company instead of a storage cost.

Customers don’t scan in order to store the information anymore; they scan to better use it.

Read the full interview (in French) on paperJam Magazine – January 2013 Edition.