Sieber Amandine TM 2022

Analyse et aide à la conformité des exigences
pour l’obtention de la certification

CoreTrustSeal pour OLOS : proposition d’outils
de gestion des données
Travail de master réalisé par :

Amandine Sieber
Sous la direction de :
Prof. Basma Makhlouf Shabou
Genève, le 15 août 2022
Information documentaire
Haute École de Gestion de Genève (HEG-GE)
Remerciements
Je tiens à remercier particulièrement les personnes qui ont aidé à la réalisation de ce
travail :
La professeure Basma Makhlouf Shabou, directrice du mémoire, pour ses conseils

avisés et ses encouragements,
Mme Eliane Blumer, experte, pour ses remarques pertinentes, constructives et

bienveillantes,
Madame Lydie Echernier, responsable de la communication chez OLOS, pour son aide
précieuse, ses explications détaillées et sa disponibilité,
Eléonore et Edwine, mes compagnes de Master, pour leur précieux soutien, leur amitié
chaleureuse et leurs relectures attentives,
Mes parents, pour leur amour, leur soutien sans faille tout au long de mes études, et
sans qui rien n’aurait été possible,
Séb, pour sa patience, son soutien, et son amour.
Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

SIEBER, Amandine i
Résumé
L’association OLOS propose une solution de préservation à long terme et de partage
des données de la recherche en Suisse. Soucieuse d’offrir les garanties d’un dépôt de
données de confiance, elle s’est récemment lancée dans le processus de certification
du CoreTrustSeal. Dans ce cadre, un mandat a été proposé comme Travail de Master
aux étudiants de la filière Science de l’information à la HEG. Le présent travail a pour
but d’offrir une contribution à la conformité aux exigences du certificat en proposant la
réalisation de plusieurs outils. Parmi ceux-ci se trouvent les outils d’évaluation des
données et de gestion de leurs durées de conservation. Ils prennent la forme d’une
Preservation Policy. La deuxième catégorie d’outils concerne la gestion des risques et
la reprise des activités. Ils prennent la forme d’un Risk Assessment Framework and
Disaster Recovery Policy. Une politique posant le cadre général de la gouvernance des
données a également été réalisée.
Le présent travail débute par une revue de littérature qui permet de replacer OLOS dans
le contexte de la certification des dépôts de données et de donner une vue d’ensemble
des certifications existantes.
La deuxième partie concerne la réalisation des outils au moyen d’un recensement des
bonnes pratiques et de l’analyse de contenu de documents existants.
Finalement, l’analyse du contexte de l’association a permis d’émettre des

recommandations à OLOS pour la suite du processus de certification, notamment en
matière de définition des rôles et responsabilités au sein de l’association. Quelques
risques concernant les facteurs humains ont également été mis en lumière.
Mots-clés : dépôts de données, certification, OLOS, CoreTrustSeal, données de la

recherche, préservation des données.

SIEBER, Amandine ii
Table des matières
Remerciements ................................................................................................. i
Résumé ............................................................................................................. ii
Table des matières .......................................................................................... iii
Liste des tableaux ............................................................................................ v
Liste des figures.............................................................................................. vi
1. Introduction................................................................................................ 1
1.1 Problématique .............................................................................................. 1
1.2 Objectif principal .......................................................................................... 1
1.3 Objectifs spécifiques ................................................................................... 2
1.4 Définition des concepts ............................................................................... 3
1.4.1 Données de la recherche / données de la recherche ouverte .................. 3
1.4.2 Dépôts de données de la recherche / Dépôts de données de la recherche
ouverts 4
1.4.3 FAIR........................................................................................................ 4
1.4.4 Science ouverte ...................................................................................... 4
1.4.5 Modèle OAIS........................................................................................... 5
1.4.6 Certification ............................................................................................. 6
2. Revue de littérature ................................................................................... 6
2.1 Méthodologie ................................................................................................ 6
2.2 Certifications des dépôts de données la recherche : pourquoi ?............. 7
2.2.1 Les chercheurs ....................................................................................... 7
2.2.2 Les bailleurs de fonds ............................................................................. 8
2.2.3 Les éditeurs ............................................................................................ 8
2.2.4 Les utilisateurs ........................................................................................ 8
2.2.5 Les dépôts .............................................................................................. 8
2.2.6 Retours d’expérience : bénéfices des processus de certification ............10
2.3 Panorama des certifications existantes ....................................................11
2.3.1 Le cadre européen .................................................................................11
2.3.2 nestor-Seal.............................................................................................12
2.3.3 DINI Certificate for Open Access Repositories and Publication Services13
2.3.4 ISO 16363 ..............................................................................................13
2.3.5 CoreTrustSeal ........................................................................................15
2.4 Certification de OLOS par CoreTrustSeal .................................................17
2.4.1 Spécifications de OLOS à prendre en compte en vue d’une certification 18
3. Méthodologie ........................................................................................... 18
3.1 Approche globale ........................................................................................18
3.2 Périmètre de la recherche ..........................................................................19

SIEBER, Amandine iii
3.3 Identification des outils manquants ..........................................................19
3.4 Définitions de base des documents retenus .............................................20
3.5 Réalisation des outils manquants liés à l’évaluation des données et la
gestion de leurs durées de conservation............................................................22
3.5.1 Preservation policy .................................................................................22
3.5.2 Retention policy .....................................................................................24
3.6 Réalisation des outils manquants liés à la gestion des risques et la
reprise des activités .............................................................................................26
3.6.1 Risk assessment framework ..................................................................26
3.6.2 Disaster recovery policy .........................................................................28
3.7 Réalisation d’une politique de gouvernance des données ......................28
3.8 Qualité de la recherche ...............................................................................29
4. Résultats .................................................................................................. 30
4.1 Preservation policy et retention policy ......................................................30
4.1.1 Preservation policy .................................................................................30
4.1.2 Intégration de la retention policy.............................................................36
4.1.3 Proposition finale....................................................................................39
4.2 Risk assessment Framework et Disaster Recovery Policy ......................40
4.2.1 Risk Assessment Framework .................................................................40
4.2.2 Disaster Recovery Policy .......................................................................47
4.3 Politique de gouvernance des données ....................................................49
4.3.1 Modèles, normes et bonnes pratiques....................................................49
4.3.2 Adaptation au contexte de OLOS ...........................................................50
5. Recommandations .................................................................................. 51
6. Conclusion et perspectives .................................................................... 53
6.1 Rappel des objectifs et bilan ......................................................................53
6.2 Retour sur les limitations ...........................................................................53
6.3 Éléments conclusifs....................................................................................54
Bibliographie .................................................................................................. 55
Annexe 1 : Overview of CTS Certification Requirements ....................... 62
Annexe 2 : Extrait de la grille utilisée pour l’analyse de l’échantillon des
preservation policies ..................................................................................... 63
Annexe 3 : Preservation Policy ................................................................. 65
Annexe 4 : Risk Assessment Framework and Disaster Recovery Policy
75
Annexe 5 : Data Governance Policy ......................................................... 86

SIEBER, Amandine iv
Liste des tableaux
Tableau 1 : Récapitulatif des objectifs de recherche..................................................... 2
Tableau 2 : Grille de lecture utilisée pour la revue de littérature ................................... 7
Tableau 3 : Récapitulatif des principes TRUST ............................................................ 9
Tableau 4 : Récapitulatif des bénéfices de la certification............................................10
Tableau 5 : Vue d'ensemble des exigences CTS 2020-2022.......................................16
Tableau 6 : Grille d’analyse pour l'élaboration de la retention policy ............................25
Tableau 7 : Grille d’analyse pour l'élaboration du risk assessment framework ............27
Tableau 8 : Eléments retenu pour un plan de politique de préservation.......................31
Tableau 9 : Pointage des critères concernés par la preservation policy.......................40
Tableau 10 : Risques liés aux dépôts de données numériques selon Matthew Mayernik
et al. (2020) et comparaison avec le cadre proposé par la Digital Preservation Coalition
....................................................................................................................................42

SIEBER, Amandine v
Liste des figures
Figure 1 : Modèle OAIS basé sur la norme ISO 14721 ................................................. 6
Figure 2 : Schéma récapitulatif du processus de certification ISO 16363 ....................14
Figure 3 : Table des matières pour la preservation policy ............................................34
Figure 4 : Structure finale de la preservation policy .....................................................39

SIEBER, Amandine vi
1. Introduction
L’association OLOS (2022) est le résultat de plusieurs années de recherche et de collaboration
entre neuf institutions suisses d’éducation supérieure. Elles ont collaboré dans le cadre du
programme national DLCM (Data Life-Cycle Management) (DLCM 2020) financé par
Swissuniversities (2022). Association à but non-lucratif, elle a été fondée grâce au soutien de
l’Université de Fribourg (UNIFR), la Haute Ecole Spécialisée de Suisse Occidentale (HES-SO)
et la Haute Ecole de Gestion de Genève (HEG).
L’un des buts du programme DLCM était de concevoir un portail national de préservation à
long-terme et de partage des données de la recherche scientifique (Makhlouf Shabou 2017,
Makhlouf Shabou et Echernier, 2017, Burgi et al. 2017, Burgi et al. 2018). L’association OLOS
a pour but de remplir cet objectif ainsi que de promouvoir les bonnes pratiques en matière de
gestion des données de la recherche, garantir une souveraineté nationale en matière de
données de la recherche et mener et participer à des projets promouvant la science ouverte
et la gestion des données de la recherche (OLOS 2022).
L’association OLOS offre ainsi une solution d’archivage et de partage des données
scientifiques via un dépôt de données, et accompagne les chercheurs dans la gestion de leurs
données via des guides et des séminaires de formation. La solution proposée se veut
adaptable à tous les contextes et à tout type de données, afin de répondre à un éventail de
besoins aussi large que possible au niveau national. Cela dit, elle n’a pas pour vocation de
supplanter les dépôts institutionnels et disciplinaires, mais d’offrir une solution complémentaire
(OLOS 2022).
1.1 Problématique
En 2021, OLOS s’est lancée dans un processus de certification internationale : le
CoreTrustSeal (2022) (abrégé CTS dans ce travail). En effet, une certification pour un dépôt
de données a pour but d’assurer aux diverses parties prenantes que le dépôt est « de
confiance ». Soucieuse d’offrir cette garantie, OLOS s’est donc lancée dans la réalisation du
dossier de candidature. Dans cette optique, l’équipe d’OLOS est en train d’analyser le niveau
de conformité de son dépôt de données, et de mener à bien les projets nécessaires à la
satisfaction des exigences de la certification. Le processus étant complexe et exigeant, un
mandat visant à apporter une contribution à la satisfaction aux exigences a été proposé
comme Travail de Master aux étudiants de la filière Sciences de l’Information de la Haute
Ecole de gestion de Genève. Le mandat consiste à concevoir et proposer des outils de gestion
de données qui pourront servir de base de réflexion à OLOS lors de la rédaction des outils
définitifs. Les outils seront détaillés au chapitre suivant.
1.2 Objectif principal

Comme signalé ci-avant, ce travail a pour but de concevoir plusieurs outils de gestion des
données requis par le CTS. Ils ne sont pas destinés à être les outils définitifs, mais à servir de
base de réflexion à l’équipe d’OLOS pour la conception des outils qui seront finalement validés.
Parmi ceux-ci figurent des outils liés à l’évaluation des données et la gestion de leurs durées
de conservation, ainsi que ceux liés à la gestion des risques et à la reprise des activités. Une
politique de gouvernance des données est également envisagée dans le mandat.

SIEBER, Amandine 1
1.3 Objectifs spécifiques
Pour atteindre cet objectif principal, plusieurs objectifs spécifiques ont été définis :
1. Réaliser une revue de la littérature sur les différentes certifications
existantes, et sur le CoreTrustSeal en particulier.
2. Identifier et réaliser les outils manquants liés à l’évaluation des données
et la gestion de leurs durées de conservation dans le contexte de OLOS.
3. Identifier et réaliser les outils manquants liés à la question de la gestion
des risques et reprise des activités dans le contexte de OLOS.
4. Réaliser une politique de gouvernance des données pour OLOS.
Ci-dessous figure un tableau récapitulatif des objectifs de recherche accompagnés des
méthodes et instruments de collecte utilisés et qui seront détaillés plus loin dans ce travail.
Tableau 1 : Récapitulatif des objectifs de recherche
N° Objectif Méthode(s) de Instrument(s)de Livrable(s) /

collecte collecte Résultats
1 Revue de la Recherche Grille de lecture Revue de littérature

littérature sur les documentaire
processus de
certification, en
particulier celui du
CoreTrustSeal.
2 Identifier et réaliser Analyse Grille d’analyse Création des outils

les outils manquants comparative de manquants
liés à l’évaluation des contenu - Preservation
données et la gestion policy
de leurs durées de Recherche - Retention
conservation dans le documentaire policy
contexte de OLOS. pour s’inspirer
des bonnes
pratiques.
3 Identifier et réaliser Analyse Grille de lecture Création des outils

les outils manquants comparative de manquants
liés à la question de contenu - Risk
la gestion des assessment
risques et reprise des Recherche framework
activités dans le documentaire - Disaster
contexte de OLOS. pour s’inspirer recovery
des bonnes policy
pratiques.
4 Réalisation d’une Recherche Grille de lecture Politique de

politique de documentaire gouvernance des
gouvernance des pour s’inspirer données
données des bonnes
expériences et
pratiques.

SIEBER, Amandine 2
1.4 Définition des concepts
En premier lieu, il convient de définir les concepts importants pour cette recherche. En effet,
OLOS proposant une solution de dépôt de données de la recherche, et souhaitant obtenir une
certification reconnaissant son statut de dépôt de confiance, il convient de donner quelques
éclaircissements sur les concepts suivants :
1.4.1 Données de la recherche / données de la recherche ouverte

Il existe de nombreuses définitions des données de la recherche. Elles se rejoignent sur
beaucoup de points. Nous allons en retenir quelques-unes qui nous semblent former une
définition complète des données de la recherche.
La définition la plus courante pour les données de la recherche est celle donnée par l’OCDE :
« Enregistrements factuels (chiffres, textes, images et sons), qui sont utilisés comme
sources principales pour la recherche scientifique et sont généralement reconnus par la
communauté scientifique comme nécessaires pour valider des résultats de recherche. »
(OCDE 2007).
Le contexte de ce travail étant essentiellement celui de la recherche scientifique en Suisse, il
est intéressant de mentionner la définition donnée par le programme DLCM :
« Research data is data that is collected, observed, or created for purposes of analysis
to produce original research results. Research data should be considered as
comprehensively as appropriate for the research in question and include e. g. any
supporting documentation of procedures and other related data or tools. » (DLCM 2016).
Cette définition a l’avantage de préciser que les données de documentation (procédures,
rapports de recherche etc.) sont aussi des données de recherche.
L’Université de Stanford (sans date), donne une définition qui rejoint celle du programme
DLCM :
« Research data include laboratory notebooks, as well as any other records that are
necessary for the reconstruction and evaluation of reported results of research and the
events and processes leading to those results, regardless of the form or the media on
which they may be recorded. »
Cette définition rajoute cependant la notion de support, en précisant qu’une donnée de
recherche le reste indépendamment du support sur lequel elle est enregistrée. Elle souligne
donc la multiplicité des formes que peuvent prendre les données de recherche.
En somme, les données de la recherche sont l’ensemble des données qui sont non seulement
collectées, observées ou créées dans le but de valider une recherche scientifique, mais
également l’ensemble de la documentation qui établit le contexte les entourant. Elles peuvent
être de natures très diverses et enregistrées sur des supports tout aussi diversifiés.
Dans son Travail de Master Guide décisionnel et vade-mecum pour la mise à disposition d’un
dépôt de données recherche ouvertes en Suisse, Marielle Guirlet (2020) a exprimé une
définition des données de la recherche ouverte qui englobe toutes les spécificités de ce type
de données particulier :
« Des données sont ouvertes si on peut y accéder librement et si elles peuvent être
utilisées, modifiées et partagées librement, dans n’importe quel but et par n’importe qui,
sous condition de reconnaître leurs auteur-e-s. Elles sont accessibles publiquement,
généralement sur un dépôt de données, à partir duquel on peut les chercher, les extraire,
SIEBER, Amandine 3
et les télécharger, sans restriction de copyright, de droits de brevets ou d’autres
mécanismes de contrôle. »
Cette définition induit que des données de la recherche ouverte peuvent être consultées
librement, et par conséquent réutilisées pour des recherches futures.
1.4.2 Dépôts de données de la recherche / Dépôts de données de la recherche

ouverts
Selon re3data.org cité par l’Université de Boston (sans date), un dépôt de données est :
« Subtype of a sustainable information infrastructure which provides long-term storage
and access to research data that is the basis for a scholarly publication. Research data
means information objects generated by scholarly projects for example through
experiments, measurements, surveys or interviews. »
Plus qu’un simple espace de stockage, un dépôt a pour but d’assurer la conservation à long
terme des données de la recherche, mais aussi leur partage, dans un but de publication et/ou
de réemploi pour des recherches futures. Cela signifie que les données devront être non
seulement conservées sur le long terme mais également accessibles. Le but est également
que les données sont réutilisables.
1.4.3 FAIR
Les principes FAIR ont été énoncés pour la première fois dans l’article The FAIR Guiding
Principles for scientific data management and stewardship paru en 2016 dans la revue
Scientific Data (Wilkinson et al. 2016). Les auteurs y développaient les concepts de Findability
(Facile à trouver), Accessibility (Accessibilité), Interoperability (Interopérabilité) et Reusability
(Réutilisabilité) applicables sur les données numériques. Ces principes ont pour but de
favoriser la science ouverte et la réutilisation des données de la recherche. Suivre les principes
FAIR permet de s’assurer que les données pourront être réutilisées à l’avenir.
Selon GO FAIR (sans date), une organisation consacrée à l’implémentation des principes
FAIR :
« The principles emphasise machine-actionability (i.e., the capacity of computational
systems to find, access, interoperate, and reuse data with none or minimal human
intervention) because humans increasingly rely on computational support to deal with
data as a result of the increase in volume, complexity, and creation speed of data. »
Les principes FAIR répondent donc au phénomène de l’augmentation du volume, de la
complexité et de la vitesse de création des données, en les rendant faciles à trouver,
accessibles, interopérables et réutilisables.
Dans le cadre de ses missions de promotion de la science ouverte et des bonnes pratiques
en matière de gestion des données de la recherche, OLOS s’engage à respecter les principes
FAIR (OLOS 2022).
1.4.4 Science ouverte

Il n’existe pas de définition officielle de la science ouverte (ou open science en anglais, plus
couramment utilisé), cependant l’Office québécois de la langue française (2014) en donne la
définition suivante :
« Mouvement caractérisé par la volonté commune de ses adhérents d'amener, via le
Web, plus de collaboration, de transparence et d'ouverture dans la réalisation de leurs
pratiques scientifiques.
SIEBER, Amandine 4
La science ouverte consiste notamment à mettre les données de recherche et les articles
scientifiques en accès libre pour tous les internautes (chercheurs ou grand public), à
collaborer, dans des projets de recherche, avec des chercheurs non professionnels, à
utiliser par exemple les blogues pour émettre des hypothèses de recherche et susciter
des débats.
Le concept de « science ouverte » suppose que le contenu des travaux soit classifié afin
de le trouver aisément, et qu'il soit présenté de façon à être compréhensible pour un
autre scientifique ou pour le grand public. »
Le dernier paragraphe de cette définition est particulièrement intéressant à retenir dans le
cadre de ce travail. En effet, il reprend plusieurs notions exprimées par les principes FAIR,
notamment la classification pour rendre les travaux facilement trouvables. Dans ce cadre, les
dépôts de données ont un rôle important à jouer dans la classification et la conservation des
données de la recherche. Il est d’autant plus important pour ces structures de répondre à des
exigences élevées afin de s’adapter aux nouvelles tendances de la recherche. La revue de
littérature reviendra plus longuement sur les raisons qui poussent le monde scientifique à se
doter de dépôts et de créer des certifications pour ceux-ci.
1.4.5 Modèle OAIS

Selon le Centre Informatique National de l’Enseignement supérieur (2019), le modèle OAIS
est le résultat d’un mandat confié au CCSDS (Consultative Committee for Space Data
Systems) par ISO. Des représentants de bibliothèques et d’archives institutionnelles ont été
associés à ce travail qui a abouti à un rapport spécifiant de manière très générale l’architecture
logique et les fonctionnalités d’un système d’archivage. Ce système fait l’objet de la norme
ISO 14721.
Le modèle identifie les rôles principaux des acteurs (producteur, management,

consommateur), les entités qui reprennent les 6 fonctions de l’archivage (ingest, archival
storage, data management, access, preservation planning, administration), et structure
l’information en paquets. Ces paquets sont les SIP (Submission Information Package), AIP
(Archival Information Package) et les DIP (Dissemination Information Package). Ci-dessous,
un tableau montre le modèle de manière très simplifiée.

SIEBER, Amandine 5
Figure 1 : Modèle OAIS basé sur la norme ISO 14721
(Burgi et al. 2020)
1.4.6 Certification
Selon l’Office québécois de la langue française, la certification est :
« Processus selon lequel un produit, un service ou une organisation sont reconnus,
après vérification, conformes aux exigences ou aux normes d’une autorité indépendante
compétente ou d’un organisme évaluateur accrédité. La certification donne
généralement lieu à la délivrance d’un document écrit, le certificat, qui garantit la
conformité du produit, du service ou de l’organisation. » (Office québécois de la langue
française 2018)
A noter que le CoreTrustSeal est à la fois le certificat (seal en anglais) et l’organisme certifiant.
2. Revue de littérature
2.1 Méthodologie
Le premier objectif spécifique de ce travail est de fournir une revue de la littérature qui permette
de replacer le processus engagé par OLOS dans un contexte plus global. Les questions qui
ont guidé la recherche documentaire sont les suivantes :
1. Pourquoi certifier les dépôts de données ?
2. Quelles sont les certifications existantes ?
3. Comment s’organisent-elles entre elles ?
4. Quelles sont les différences ?
5. Qu’en est-il de CoreTrustSeal en particulier ?
6. Comment replacer OLOS dans ce contexte ?

SIEBER, Amandine 6
En partant de ces questions, des mots-clés ont été définis afin de pouvoir parcourir les
différentes sources à disposition : dépôts de données, recherche, données de la recherche,
certification, CoreTrustSeal, dépôt de confiance. La majorité des références étant en anglais,
les recherches ont été essentiellement effectuées avec les équivalents anglais de ces termes :
data repository, research, research data, certification, trustworthy repository. En combinant
ces mots-clés dans les bases de données et moteurs de recherche, un corpus de textes a été
constitué. Les sources utilisées sont les bases de données habituelles en Sciences de
l’information comme LISA ou LISTA, mais aussi des moteurs de recherche plus globaux
comme Google Scholar, et des bases de données généralistes comme Isidore, CAIRN ou
researchgate. Les bibliographies des articles retenus ont aussi servi de base de recherche.
Afin de trier et organiser les informations, une grille de lecture relativement standard a été
utilisée afin de pouvoir rédiger ensuite la revue. Elaborée sous forme de tableau, elle contient
les catégories suivantes :
Tableau 2 : Grille de lecture utilisée pour la revue de littérature

Auteur Titre Date Référence Type de Réponse(s) Citations Remarques
complète document aux à utiliser personnelles
questions
de
recherche
Trois types de documents se sont dégagés : les documents émanant directement des
organismes de certification, les retours d’expérience, les articles scientifiques consacrés à
divers aspects de la question de la certification des dépôts de données. Dans la case
« réponse(s) aux questions de recherche », la numération des questions employées ci-dessus
a été utilisée afin de faciliter le repérage des informations. Il en va de même pour la colonne
suivante concernant les citations.
2.2 Certifications des dépôts de données la recherche : pourquoi ?

Nous avons vu plus haut que l’objectif d’un dépôt de données de la recherche est de proposer
un service qui assure la pérennité des données qui y sont déposées. Selon les principes FAIR
exposés plus haut, qui font partie des piliers de la science ouverte, les données doivent être
non seulement conservées sur le long terme, mais également être facilement repérables,
accessibles et réutilisables, donc interopérables. Un dépôt qui peut garantir le respect de ces
principes instaure un lien de confiance entre les différentes parties prenantes. Si cette garantie
est fournie, un dépôt devient donc un dépôt « de confiance » ou trusted / trustworthy en
anglais. Une définition d’un dépôt de confiance est donnée par le RLG/OCLC Working Group :
« A trusted digital repository is one whose mission is to provide reliable, long-term access
to managed digital resources to its designated community, now and in the future. »
(Research Libraries Group 2002, p. 5)
Plusieurs parties prenantes sont impliquées dans ce lien de confiance avec les dépôts de
données :
2.2.1 Les chercheurs
Une étude publiée dans la revue Etudes de communication en 2019 (Kaden 2019) a démontré
qu’un des obstacles à l’avancement de la science ouverte était le manque d’infrastructures de

SIEBER, Amandine 7
confiance, qui permettent aux chercheurs de s’assurer que leurs données sont stockées de
manière sécurisée et pérenne, et qui soient suffisamment simples d’utilisation pour leur
permettre de publier leurs données sans connaissances informatiques approfondies. La
question de la possibilité de restreindre les accès en fonction de la nature des données est
également une préoccupation. Une certification apporte un label de qualité et une crédibilité
qui pourrait pousser plus de chercheurs à partager leurs données, puisque ces aspects sont
pris en compte dans les critères de certification (Genova 2019).
2.2.2 Les bailleurs de fonds

Lors des demandes de financement pour une recherche, les bailleurs de fonds exigent de plus
en plus un Data Management Plan (DMP), afin de s’assurer de la qualité de la gestion des
données. Indiquer un dépôt de données certifié renforce la crédibilité de la demande de fonds
en montrant que les chercheurs ont intégré la question de la gestion des données dans leur
programme de recherche (Pampel et Kindling 2019, pp. 34-35).
Les bailleurs de fonds peuvent être ceux qui financent une recherche, mais également ceux
qui financent le dépôt en lui-même. Ils attendent de l’institution qu’ils financent, qu’elle respecte
les engagements pris. La transparence est donc également une composante essentielle de la
notion de confiance, et la certification en amène l’assurance (Schumann 2014).
2.2.3 Les éditeurs

Une étude de 2014 a permis de faire une synthèse des lignes directrices émises par les
organismes de publication concernant la publication des données de la recherche relatives à
l’article soumis à publication (Callaghan et al. 2014). Le dépôt doit :
• Permettre l’accès à l’ensemble des données

• Assurer la persistance des jeux de données
• Assurer la stabilité des jeux de données
• Assurer la recherche et la récupération des jeux de données
Ces aspects étant tous pris en compte dans les certifications, il sera un atout lors de la
soumission d’un article à une revue par exemple.
2.2.4 Les utilisateurs
Les utilisateurs peuvent être aussi bien des chercheurs qui viennent rechercher des données
d’études précédentes utiles à leur propre étude que le grand public, auquel certains dépôts
sont ouverts. Ils doivent ainsi pouvoir s’assurer que les données d’études précédentes sont
fiables, authentiques et intègres, et qu’elles peuvent être réutilisées sans problème.
2.2.5 Les dépôts

« As information and communication technology has become pervasive in our society,
we are increasingly dependent on both digital data and repositories that provide access
to and enable the use of such resources. Repositories must earn the trust of the
communities they intend to serve and demonstrate that they are reliable and capable of
appropriately managing the data they hold. » (Lin et al., 2020)
Cette citation illustre bien la nécessité pour les dépôts de satisfaire aux exigences que l’on
attend d’eux en matière de gestion des données qui leur sont confiées. Dans cette optique,
plusieurs organismes de recherche ont développé les principes TRUST pour répondre à ces
questions. TRUST est l’acronyme pour Transparency, Responsibility, User focus,
Sustainability, Technology. Ces principes proposent un cadre commun qui facilite la discussion
SIEBER, Amandine 8
et l’implantation des bonnes pratiques dans les organismes de préservation (Lin et al. 2020).
Ci-dessous, un tableau permet d’avoir une rapide vue d’ensemble des principes.
Tableau 3 : Récapitulatif des principes TRUST
(Lin et al. 2020)
La certification apporte une contribution objective et importante à la question de la confiance

entre les différentes parties prenantes d'un dépôt. Les différentes certifications existantes
suivent les principes TRUST dans leurs exigences et permettent ainsi aux dépôts d’évaluer
s’ils sont bien des dépôts « de confiance » (Lin et al. 2020). L’adoption du CoreTrustSeal par
de nombreux dépôts montrent bien la volonté de ces derniers d’améliorer leurs pratiques
professionnelles et d’être perçus comme fiables et dignes de confiance (trustworthy) (Lin et al.
2020).
La certification permet également aux dépôts de faire une autoévaluation et de déterminer

quels sont les points à améliorer. Ces évaluations permettent aux dépôts d’améliorer leur
management, infrastructure, politiques et pratiques, dans la plupart des cas en vue d’obtenir
une certification (Downs 2021). Certains auteurs mentionnent aussi la sensibilisation du
personnel des dépôts aux enjeux de la préservation et la nécessité de prévoir cette
planification à long terme (Donaldson et al. 2017, Sierman et al. 2017). Certains mentionnent
également l’opportunité d’utiliser la certification comme argument de marketing, en permettant
aux dépôts certifiés de se distinguer de leurs concurrents (Sierman et al. 2017). Cette dernière
affirmation est cependant remise en question par Devan Ray Donaldson (2020), qui, partant
du postulat qu’un label de qualité doit être connu du consommateur pour être un argument de
vente, a analysé les sites internet de 91 dépôts certifiés (toutes certifications prises en compte)
afin de donner une vue d’ensemble des usages concernant l’apposition du logo sur leur site.
Il s’avère qu’un peu moins d’un quart des sites analysés n’apposaient pas le logo. Une part
importante l’apposaient sans pour autant l’expliquer. Partant de ce constat, Donaldson
propose de conduire d’autres recherches qui permettent de mesurer réellement l’impact de la
certification sur l’amélioration de la réputation du dépôt et le démarchage de nouveaux
utilisateurs et partenaires. Il propose également de mener des campagnes d’information sur
la certification dans la communauté scientifique.
La certification s’établit sur la base d’une liste de critères et d’exigences. Lors de la création
d’un dépôt de données, il peut être intéressant pour l’organisation qui l’héberge de consulter
et appliquer ces critères afin de concevoir une infrastructure de qualité, mais aussi en vue
d’obtenir la certification. Ces listes de critères peuvent devenir dès lors une forme de guide de

SIEBER, Amandine 9
bonnes pratiques à mettre en œuvre lors de la création d’un dépôt (Schöpfel, Müller 2014,
p. 7).
2.2.6 Retours d’expérience : bénéfices des processus de certification

Une étude de Michelle Lindlar et Franziska Schwab (2018) fait une synthèse des retours
d’expériences de plusieurs institutions ayant effectué un processus de certification
(nestorSeal, ISO 16363, Data Seal of Approval et CoreTrustSeal). Elles ont effectué une
analyse des retours d’expérience par fréquence de mots-clés pour évaluer les bénéfices les
plus fréquents retirés de ces processus de certification. Le bénéfice le plus souvent cité est le
gain de confiance et la transparence auprès des parties prenantes. Le deuxième bénéfice le
plus cité est la confiance organisationnelle, c’est-à-dire une confiance améliorée dans ses
propres capacités à gérer les données en suivant les bonnes pratiques, et la mise au niveau
des standards internationaux. Le troisième bénéfice est celui de l’amélioration des processus
et de leur documentation. Ci-dessous, un tableau issu de l’article récapitule les résultats de
l’analyse de fréquence de mots-clés. Cette étude démontre que les bénéfices censés être
apportés par la certification sont en grande partie confirmés dans la réalité.
Tableau 4 : Récapitulatif des bénéfices de la certification

SIEBER, Amandine 10
(Lindlar et Schwab 2018)
L’analyse datant de 2018, les autrices notent qu’elles n’ont pas trouvé de retours d’expérience
concernant le CoreTrustSeal.
Lors de nos recherches, nous avons pu trouver deux retours concernant l’expérience du
CoreTrustSeal. La première est celle de l’Inter-University Consortium for Political and Social
Research (ICPSR) aux Etats-Unis. Dans une conférence donnée en 2019, Jared Lyle donne
un aperçu des bénéfices retirés par son organisme. Il mentionne notamment le besoin de plus
de documentation concernant les procédures relatives à la préservation et les plans de
reprises d’activités en cas de sinistres (Lyle 2019). Pour DataverseNO (Lyle 2019), le principal
bénéfice est le gain de confiance envers les parties prenantes, celle des organisations
partenaires existantes en premier lieu, mais aussi celle de la communauté cible. La certification
est aussi présentée comme un atout majeur pour nouer de nouveaux partenariats avec
d’autres organisations (Conzett 2021). Cet échantillon est malheureusement trop petit pour
pouvoir mener une véritable étude centrée sur le CTS du type de celle menée par Lindlar et
Schwab. Il serait néanmoins intéressant à l’avenir de conduire une telle étude.
2.3 Panorama des certifications existantes

2.3.1 Le cadre européen
En juillet 2010, l’Union Européenne a décidé d’un cadre pour l’audit et la certification des
dépôts numériques (European Framework for Audit and certification of Digital Repositories)
(Giaretta et al. 2011). Le cadre est composé de trois niveaux de certifications : basique, étendu
et formel. Il est conçu comme un parcours facile vers la certification ISO 16363 (Giaretta et al.
SIEBER, Amandine 11
2011). En 2011, la certification basique était le Data Seal of Approval, remplacé ensuite par le
CTS, comme nous le verrons au point suivant. En 2011, le cadre était établi de la manière
suivante (Giaretta et al. 2011, Schumann 2014, Corrado 2019) :
• Basic Certification : Data Seal of Approval (DSA)

• Extended Certification : DSA + auto-audit structuré, révisé en externe et
accessible au public, basé sur la norme ISO 16363 ou DIN 316441
• Formal Certification : DSA + audit externe complet et certification basée sur
la norme ISO 16363 ou DIN 31644
Devant la multiplication des processus de certification, plusieurs organisations2 ont décidé de
remanier ce cadre, qui n’est pas vraiment utilisé aujourd’hui (nestor 2020). Bien qu’il ne soit
pas encore complètement formalisé, le cadre prévu se construirait comme tel (L’Hours et al.
2019, Corrado, 2019) :
• Core Certification : CoreTrustSeal
• Extended Certification : nestor-Seal
• Formal Certification : ISO 16363
Nous allons en premier lieu présenter rapidement le nestor-Seal puis la norme ISO 16363 puis
nous reviendrons plus en détail sur le CTS.
2.3.2 nestor-Seal
Nestor3 est un réseau d’institutions publiques allemandes (universités, bibliothèques, centres
de recherche et d’archives etc.) qui travaillent sur le stockage à long terme des données
numériques. En 2003, un groupe de travail au sein du réseau s’est penché sur la fiabilité des
archives numériques. Les premiers résultats ont été le « nestor Criteria Catalogue for
Trustworthy Digital Archives » (première version en 2006, une deuxième version est sortie en
2008), et la norme DIN 31644 – Criteria for Trustworthy Digital Archives, sortie en 2012 (nestor
sans date).
Depuis 2014, nestor propose une procédure d'auto-évaluation étendue basée sur ces derniers
et attribue la certification nestor-Seal (nestor, sans date). Basée sur la norme DIN 31644, il est
prévu comme le niveau étendu du cadre européen d’audit et de certification.
Le processus de certification est assez simple. Le candidat soumet un formulaire de

candidature à nestor, qui le contresigne. Le candidat envoie ensuite un formulaire d’auto-
évaluation, dans lequel il fournit toutes les explications et preuves nécessaires à la satisfaction
des exigences (nestor 2019). Ce dossier est remis à un groupe d’experts anonymes, qui
rendent leurs conclusions et recommandations. Ils peuvent demander des changements et
des améliorations s’ils estiment la candidature insuffisante. Si le certificat est obtenu, le dossier
est publié sur le site de nestor et l’organisme certifié est autorisé à apposer le « sceau » sur
1 Les normes DIN sont les normes mises en place par le gouvernement allemand. Plus
d’informations sur la page : https://www.din.de/en. La norme en question a été créée par un
groupe de travail issu du réseau nestor. Plus de détails au point suivant.
2 Data Seal of Approval, Repository Audit and Certification Working group of the CCSDS, DIN
Working Group “Trustworthy Archives – Certification” (Trusted Digital Repository sans date).
3 https://www.langzeitarchivierung.de/Webs/nestor/EN/Home/home_node.html. Référence
complète en bibliographie.
SIEBER, Amandine 12
son propre site (nestor sans date). Le certificat est obtenu pour une durée indéterminée. Des
frais de 500 euros sont demandés au candidat.
2.3.3 DINI Certificate for Open Access Repositories and Publication Services
L’association allemande DINI (Deutsche Initiativ für Netzwerkinformation e.V.) est née en 2001
à l’initiative de bibliothèques, centres de calcul, et services audiovisuels et multimédia
universitaires. Le réseau DINI veut promouvoir des solutions et des bonnes pratiques dans le
domaine de l’infrastructure informationnelle des milieux scientifiques et de l’enseignement
supérieur. Il est également un forum de partage d’expériences dans le domaine des
technologies de l’information et de la communication dans le contexte de la recherche
institutionnelle (Schöpfel et Müller 2014, Dobratz et Scholze 2006). Tout comme nestor,
l’initiative DINI élabore des normes et des recommandations par l’intermédiaire de groupes de
travail, dont un est consacré à la certification des archives ouvertes (Schöpfel et Müller 2014).
Un premier certificat a vu le jour en 2003, puis plusieurs versions se sont succédé (2007, 2010,
2013, 2019). Bien qu’élaboré à la base pour les archives ouvertes, ce certificat est aussi
destiné aux éditeurs en open access et aux dépôts de données. Plutôt ancré dans le contexte
allemand et aux services de publication en open access au début de son histoire, il s’ouvre
petit à petit à l’international et à d’autres services relatifs aux données numériques. Le
catalogue a été traduit en français, en espagnol et anglais (Schöpfel et Müller 2014).
Le processus, là aussi, est assez simple. Le dossier de candidature prend la forme d’un
questionnaire à remplir sur le site de DINI. Il s’agit également d’une autoévaluation selon les
critères publiés sur le site internet (Deutsche Initiativ für Netzwerkinformation e. V. 2020).
Chaque critère est divisé en deux sections : les exigences minimales requises et des
recommandations qui prennent en compte les probables évolutions dans les domaines
couverts par le certificat (archives ouvertes et publications en open access principalement).
L’évaluation des réponses se fait par deux experts anonymes, qui émettent ensuite leurs
recommandations sur l’obtention (ou non) du certificat. Les coûts pour l’ensemble du
processus se situent entre 100 et 500 euros (DINI, sans date).
2.3.4 ISO 16363
Le norme ISO 16363 : 2012 (Organisation internationale de normalisation 2012) concerne les
systèmes de transfert d’information et les données spatiales. Elle a été conçue pour permettre
l’audit et la certification des dépôts de données de confiance (PATB 2022) Des certifications
présentées dans ce travail, c’est la seule qui ne soit pas une auto-évaluation. En effet, l’audit
est effectué par des experts externes, et le processus est complexe. Elle constitue le niveau
formel, donc le plus élevé, du cadre européen. A ce jour, seules deux organisations ont reçu
le certificat : le Indira Ghandi National Centre for the Arts en Inde, et le Government Publishing
Office aux Etats-Unis. Le coût total du processus dépend de la complexité et de la taille du
dépôt, et varie entre 1200 et 7500 dollars. A noter que chaque étape de l’audit est payante,
les frais ne sont donc pas dus en une seule fois (PATB 2022). Comme il s’agit d’un audit
externe, un organisme a été créé dans le but de conduire les audits. Il s’agit du PATB – Primary
Trustworthy Digital Repository Autorisation Body Ltd (PATB 2022). En effet, l’organisme qui
est autorisé à conduire les audits doit lui-même être certifié par la norme ISO 16919 : 2014 –
Space data and information transfer systems – Requirements for bodies providing audits and
certification of candidate trustworthy digital repositories. A ce jour, le PATB est le seul à détenir
cette autorisation (Lindlar et Schwab 2018).

SIEBER, Amandine 13
Le schéma ci-dessous présente le processus de certification dans son entier.
Figure 2 : Schéma récapitulatif du processus de certification ISO 16363
(PATB 2022)
On peut résumer le processus en 4 étapes (Lindlar et Schwab 2018) :

1. Étape pré-contractuelle
Le candidat rempli un formulaire de candidature que le PATB va
examiner afin de déterminer un plan d’audit et en estimer les coûts. Le
dépôt candidat signe ensuite un contrat et paie un premier acompte.
2. 1er audit
Le dépôt fait une première auto-évaluation, qui est ensuite examinée et
suivie d’un premier audit sur site par deux experts. Ces derniers rendent
un rapport en mettant l’accent sur les points à améliorer. Le dépôt
procède aux changements nécessaires.
3. 2ème audit
Les experts reviennent ensuite sur site, et vérifient que les améliorations
ont bien été faites. Si des zones de non-conformités majeures existent
encore, un délai supplémentaire est accordé.
4. Certification
Si le candidat a résolu tous les problèmes de non-conformité, le certificat
est obtenu pour 3 ans. Durant cette période, un audit externe est
reconduit tous les ans. Au terme des 3 ans, si le dépôt souhaite
conserver le certificat, il doit reconduire un large processus de re-
certification.
La complexité et les ressources qui doivent être engagées pour ce processus sont un frein
pour beaucoup d’organisations, ce qui peut expliquer le fait que seules deux institutions ont à
ce jour reçu le certificat (Lindlar et Schwab 2018).

SIEBER, Amandine 14
2.3.5 CoreTrustSeal
Le CoreTrustSeal est la plus récente des certifications que nous avons présentées dans ce
travail. Le CTS est né de la fusion deux anciennes certifications : le DSA (Data Seal of
Approval) et le ICSU-WDS (International Council for Science’s World Data System) (Corrado,
2019, CoreTrustSeal 2022, L’Hours et al. 2019, Rickards et al. 2016).
Le DSA est une certification mise en place par DANS (Data Archiving and Network Services)
aux Pays-Bas . Il se trouve que les critères du DSA sont assez proches de ceux qui sont
demandés pour intégrer le ICSU-WDS. Devant ce constat, les deux organisations se
réunissent et fondent en 2013 le groupe de travail Repository Audit and Certification Working
Group, chargé de concevoir une certification qui allieraient les exigences des deux organismes
(L’Hours 2019, Corrado 2019). De cette initiative est né le 11 septembre 2017 le
CoreTrustSeal, une organisation internationale non gouvernementale et à but non lucratif, qui
a pour but de promouvoir des infrastructures de dépôts de données fiables et durables
(CoreTrustSeal 2022). Depuis 2018, elle est une entité légale régie par le droit néerlandais,
dirigée par le Standard and Certification Board composé de 12 membres élus par l’Assemblée
des Examinateurs (L’Hours 2019, CoreTrustSeal 2022).
Le CTS a donc supplanté le DSA comme certification de base dans le cadre européen.
Cependant, le site internet du CTS le présente comme une première étape dans un processus
plus vaste de cadre international de certification, dans la lignée du cadre européen. Le site
internet de celui-ci n’a d’ailleurs plus été mis à jour depuis 2015 et il semble qu’il soit resté à
l’état de déclaration d’intention. Le projet de cadre international est évoqué comme suit :
« The CoreTrustSeal certification is envisioned as the first step in a global framework for
repository certification which includes the extended level certification (nestor-Seal DIN
31644) and the formal level certification (ISO 16363). Ultimately, CoreTrustSeal will also
endeavour to provide core level certification for other research entities such as data
services and software. » (CoreTrustSeal 2022)
Le CTS est un processus d’autoévaluation. La description ci-après est tirée du site internet du
CTS et de l’article de Hervé L’Hours et al. (2019). Le candidat commence par créer un compte
sur le site internet au moyen du CoreTrustSeal Application Management Tool. Depuis cette
application, le candidat rempli le document, en donnant pour chaque critère une explication
détaillée et des preuves. Le CTS assigne deux examinateurs parmi les membres de
l’Assemblée citée plus haut. Les retours et commentaires des examinateurs sont approuvés
par le Conseil (Board en angais). Le dossier est alors soit renvoyé au candidat pour
changements et améliorations, soit approuvé. Le certificat est accordé pour 3 ans et le dossier
de candidature est publié sur le site internet du CTS. La totalité du processus est facturée
1000 euros au candidat.
Le CTS est composé de 16 critères (requirements en anglais) qui couvrent 3 dimensions

(CoreTrustSeal 2019a). Chaque critère est accompagné d’un statement (déclaration), qui
énonce le principe du critère. En dessous, un bref texte explicatif définit plus en détail les
exigences requises. Une version de ce document est disponible sous le nom de Extended
Guidance, et donne des explications complémentaires (CoreTrustSeal 2019b). Le tableau ci-
dessous permet d’avoir une vue d’ensemble de l’organisation des exigences.

SIEBER, Amandine 15
Tableau 5 : Vue d'ensemble des exigences CTS 2020-2022
Dimensions Critères Déclarations
Organizational R1. Mission The repository has an explicit mission
Infrastructure to provide access to and preserve data
in its domain.
R2. Licenses The repository maintains all applicable
licenses covering data access and use
and monitors compliance.
R3. Continuity of access The repository has a continuity plan to
ensure ongoing access to preservation
of its holdings.
R4. Confidentiality/Ethics The repository ensures, to the extent
possible, that data are created, curated,
accessed, and used in compliance with
disciplinary and ethical norms.
R5. Organizational The repository has adequate funding
Infrastructure and sufficient numbers of qualified staff
managed through clear system of
governance to effectively carry out the
mission.
R6. Expert Guidance The repository adopts mechanism(s) to
secure ongoing expert guidance and
feedback (either in-house, or external,
including scientific guidance, if
relevant).
Digital Object R7. Data integrity and The repository guarantees the integrity
Management authenticity and the authenticity of the data.
R8. Appraisal The repository accepts data and
metadata based on defined criteria to
ensure relevance and understandability
for data users.
R9. Documented storage The repository applies documented
procedures processes and procedures in managing
archival storage of the data.
R10. Preservation plan The repository assumes responsibility
for long-term preservation and
manages its.
R11. Data quality The repository has appropriate
expertise to address technical data and
metadata quality and ensures that
sufficient information is available for
end users to make quality-related
evaluations.
R12. Workflows Archiving takes place according to
defined workflows from ingest to
dissemination.

SIEBER, Amandine 16
Dimensions Critères Déclarations
Digital Object Management R13. Data discovery and The repository enables
identification users to discover the data
and refer to them in a
persistent way through
proper citation.
R14. Data reuse The repository enables the
reuse of data over time,
ensuring that appropriate
metadata are available to
support the understanding
and use of the data.
Technology R15. Technical The repository functions on
infrastructure well-supported operating
systems and other core
infrastructural software and
is using hardware and
software technologies
appropriate to the services it
provides to its Designated
community.
R16. Security The technical infrastructure
of the repository provides for
protection of the facility and
its data, products, services,
and users.
Lors de la phase d’autoévaluation, les candidats doivent suivre l’échelle de notation suivante :
• 0 – Not applicable
• 1 – The repository has not considered this yet
• 2 – The repository has a theoretical concept
• 3 – The repository is in the implementation phase
• 4 – The guideline has been fully implemented in the repository
Les exigences sont considérées comme des éléments autonomes dont la pondération est à
poids égal. La conformité est évidemment obligatoire au niveau 4 pour l’obtention du certificat,
mais il peut y avoir de petites dérogations laissées à l’appréciation du Conseil et des
examinateurs si le dépôt est en phase d’implémentation pour quelques exigences
(CoreTrustSeal 2019a). Cependant, si le dépôt ne corrige pas ces non-conformités, il ne
pourra pas obtenir à nouveau la certification à l’issue des 3 ans.
2.4 Certification de OLOS par CoreTrustSeal

OLOS étant une structure récente, le CTS s’impose de lui-même puisqu’il s’agit d’une
certification de base. Core signifie en effet cœur, noyau. Il est donc constitué des critères qui
sont au cœur de la préservation des données numériques sur le long terme. Le CTS a été
acquis par 128 dépôts dans le monde (CoreTrustSeal 2022). OLOS ayant pour mission
d’assurer la préservation à long terme, mais également de promouvoir les bonnes pratiques

SIEBER, Amandine 17
en la matière, il est naturel qu’elle se tourne vers cette certification, d’autant plus qu’elle ne
nécessite pas autant de moyens qu’une certification formelle du type de la norme ISO 16363.
2.4.1 Spécifications de OLOS à prendre en compte en vue d’une certification

OLOS est un dépôt généraliste, c’est-à-dire qu’il n’est pas attaché à une institution en
particulier, et qu’il n’est pas limité à un domaine de recherche. OLOS est une solution,
implémentable dans de nombreux contextes, et qui repose sur une technologie en open
source, c’est-à-dire que le code source est mis en accès libre et ne nécessite pas de paiement
de droits d’utilisation (OLOS 2022, Burgi et al. 2020). Son architecture modulable est conçue
pour intégrer de nombreuses fonctionnalités qui répondent aux besoins des clients. En effet,
le stockage sur le dépôt est payant, le prix dépendant de plusieurs facteurs (OLOS 2022).
Chaque client possède une Unité Organisationnelle, dont il peut personnaliser de nombreux
points, notamment en définissant des schémas de métadonnées en plus des schémas par
défaut ou en choisissant ses propres politiques en matière de rétention et de préservation des
données. OLOS prend en charge la maintenance du système, et gère les questions de sécurité
du dépôt, mais la curation des données est majoritairement laissée au soin du dépositaire au
sein de son unité4. Ces éléments sont très importants à prendre en compte lors de l’analyse
pour la certification.
3. Méthodologie
3.1 Approche globale
L’approche globale de cette recherche exploratoire qualitative est basée sur l’analyse
comparative de contenu et sur la recherche documentaire. Plusieurs sources permettant de
dégager les bonnes pratiques ont été sélectionnées afin de rédiger les outils manquants
désignés dans les objectifs de recherche. Comme les documents requis sont de natures
différentes, plusieurs méthodes spécifiques ont été mises en œuvre en fonction de l’objectif
fixé. La principale méthode de collecte utilisée est la recherche documentaire. Les sources
principales ont été les différents organismes spécialisés dans la conservation des données
numériques, qui possèdent en principe des ressources web. Ils seront détaillés au chapitre 4
dédié aux résultats. Nous avons également eu accès à la cohorte dédiée au processus CTS
qui regroupe des chercheurs ayant pour but de constituer un éventail de ressources sur le
CTS, afin de donner des outils aux dépôts souhaitant déposer leur candidature. Nous avons
dû également consulter un certain nombre de normes, ISO en particulier, et articles concernant
le projet DLCM et OLOS. Nous avons finalement eu recours à un entretien avec Mme Lydie
Echernier, responsable de la communication chez OLOS, qui a pu nous fournir les éléments
propres à OLOS qui nous ont permis de rédiger des outils spécifiques au contexte de
l’association. L’entretien s’est réalisé sous la forme d’une séance de travail en ligne, lors de
laquelle elle a pu répondre à nos questions et demandes d’éclaircissement sur le
fonctionnement du portail et sur plusieurs aspects techniques. Elle a procédé à plusieurs
démonstrations sur le portail, ce qui nous a permis de mieux saisir non seulement le
fonctionnement du dépôt mais également l’architecture de la solution informatique. Cette
séance n’étant pas un véritable entretien avec un guide de questions préétablies qui aurait
pour but de mener une enquête auprès de participants, nous n’avons pas établi de verbatim
de l’entretien. Les diverses démonstrations faites sur le portail étaient elles aussi impossibles
4 Communication personnelle de Lydie Echernier.

SIEBER, Amandine 18
à rendre sous la forme d’une transcription. Celle-ci aurait eu d’ailleurs peu d’intérêt pour le
lecteur. Notons également que beaucoup d’informations sont disponibles sur le site internet
de l’association et dans les articles consacrés au projet.
3.2 Périmètre de la recherche

Le présent travail se concentre sur les exigences du CTS. Le CTS se focalise sur les données
de la recherche, donc les données pour lesquelles l’organisme, ici OLOS, est le dépositaire
principal. Les documents élaborés dans le cadre de ce mandat ne concernent donc pas les
documents et données de gestion courante des affaires de l’association. Ce travail ne prend
également en compte que les documents se situant au niveau stratégique. Ce ne sont pas des
procédures, situées, elles, au niveau opérationnel. Ce choix a été fait relativement aux
compétences de la chercheuse, qui a effectué un cursus orienté sur la gouvernance, et au
temps mis à disposition pour rédiger le Travail de Master.
3.3 Identification des outils manquants

La première étape, commune aux objectifs 2 et 3, a été d’identifier les outils manquants. Une
première liste établie par l’équipe d’OLOS a été fournie, qui évaluait le niveau de conformité
du dépôt pour chacun des critères CTS, et recensait les documents à concevoir, ou dont le
contenu devait être précisé, comme pour certains onglets du site internet. Un extrait de cette
liste est disponible en annexe 1. Le document est constitué de 8 colonnes, qui correspondent
chacune au contenu suivant :
1. Requirement Name : Nom du critère selon la liste CTS
2. Requirement Description : Description du critère, reprenant la
déclaration (voir le tableau 4 au chapitre 2.2.11).
3. Types of Documents used in Successful Applications :
Recensement des types de documents utilisés comme preuve dans les
dossiers de candidatures acceptés. Tous les dépôts ayant obtenu la
certification CTS sont recensés sur le site internet du CTS et les dossiers
de candidature sont publics5.
4. Documents we have : Recensement des documents déjà possédés
par OLOS.
5. Documents we need : Recensement des documents à compléter ou à
concevoir.
6. Status (not started / in progress / on hold / complete) : Evaluation
du statut d’avancement des documents précités, allant de non-
commencé à entièrement complété.
7. Self Assessment Rating 0-4 : Evaluation du niveau de conformité du
critère pour OLOS selon l’échelle du CTS.
Ce premier état des lieux a servi de base pour définir les documents manquants. À partir de
la colonne 5, une liste de documents a été établie. Puis nous avons éliminé de cette liste
relativement conséquente les documents qui ne correspondaient pas aux objectifs et au
périmètre de cette recherche.
5 Pour consulter la liste : https://www.coretrustseal.org/why-certification/certified-repositories/

SIEBER, Amandine 19
Les documents suivants ont été retenus :
• Documents liés à l’évaluation des données et à la gestion de leurs durées
de conservation :
▪ Preservation policy (politique de préservation)
▪ Retention policy (politique de rétention)
• Documents liés à la gestion des risques et à la reprise des activités
▪ Risk assessment framework (cadre d’évaluation des risques)
▪ Disaster recovery policy (politique de reprise après sinistre)
Même s’il est possible de traduire ces noms en français, le choix a été fait de garder la
dénomination anglaise dans le cadre de ce travail car la certification CTS requiert une
documentation en anglais. Les outils ont donc été rédigés dans cette langue et leur appellation
anglophone sera conservée dans ce travail afin de faciliter la compréhension et éviter toute
confusion.
3.4 Définitions de base des documents retenus

Une fois cette liste établie, nous avons effectué quelques recherches préliminaires afin de
savoir plus précisément à quoi correspondait chaque document. Les définitions que nous
allons donner ci-après sont très brèves et ne sont pas destinées à être complètes et
exhaustives. Il s’agissait avant tout de vérifier notre compréhension des différents types de
documents et faciliter la lecture de ce travail en donnant quelques explications préliminaires
avant de lancer l’analyse approfondie que nécessite la rédaction de chacun des outils.
Preservation policy
Pour cette première approche, nous retiendrons la définition de la British Library :

« A preservation policy is an essential component of a collections management
framework, regardless of the size of the collection or organisation. It sets out an
organisation’s approach to preservation, addressing the questions of what needs to be
preserved, why, for what purpose, and for how long. The policy clarifies the
responsibilities of all concerned, staff, volunteers and users alike. It enables
organisations to set and validates priorities, and to review long-standing practices.
Preservation strategies, works plans, procedures and processes should all follow from a
preservation policy ». (Foot 2013)
Il s’agit donc d’un document situé au niveau stratégique, qui définit les grandes lignes que
l’organisation adopte en matière de préservation. Une politique définit également les rôles et
responsabilités de chacun, et constitue la base à laquelle se référer pour la création de tout
autre document tel que les procédures ou les plans de travail.
Retention policy
Selon le site actualitéinformatique.fr (sans date) « Une politique de conservation des données,
ou politique de conservation des dossiers, est le protocole établi par une organisation pour
conserver des informations pour des besoins opérationnels ou de conformité réglementaire. ».
Elle définit en principe les durées de conservation des données en fonction de leur type. Nous
verrons que dans le cadre de ce travail, la forme d’une retention policy est un peu différente.

SIEBER, Amandine 20
Risk assessment framework
Selon le Grand dictionnaire terminologique, l’évaluation des risques est un :

« Processus visant à déterminer les risques qui requièrent la mise en place de mesures
pour en réduire l'importance et à leur attribuer une priorité de traitement.
Dans le contexte de la mise en œuvre d'un processus de gestion des risques de sinistre
(catastrophe), l'évaluation des risques comporte trois actions principales : (1) l'examen
des résultats de l'analyse des risques en relation avec les critères d'évaluation fixés lors
de l'établissement du contexte ; (2) la détermination des risques nécessitant un
traitement en vue d'en réduire l'importance ; (3) l'établissement des priorités de
traitement pour chacun des risques retenus. » (Office québécois de la langue
française 2008).
L’évaluation des risques suppose donc de les identifier dans un premier temps, puis dans un
deuxième temps de déterminer quelle est la probabilité qu’ils surviennent, et dans quelle
mesure ils peuvent impacter l’organisation.
Disaster recovery policy
Selon le National Institue of Standards and Technology (USA), une disaster recovery policy /
plan est :
« Management policy and procedures used to guide an enterprise response to a major
loss of enterprise capability or damage to its facilities. The DRP is the second plan
needed by the enterprise risk managers and is used when the enterprise must recover
(at its original facilities) from a loss of capability over a period of hours or days. See
continuity of operations plan (COOP) and contingency plan. » (National Institute of
Standards and Technology sans date).
Il s’agit donc à la fois d’un document situé au niveau stratégique mais également opérationnel.
Il est utilisé pour effectuer une reprise des activités après un sinistre. Là aussi, pour des raisons
de faisabilité, la forme définitive du document a été adaptée.
Politique de gouvernance des données
Les données qui seront concernées par cette politique sont les mêmes que pour les autres
outils. Il s’agit des données de la recherche dont OLOS est le dépositaire principal.
L’auteur Robert Smallwood donne la définition suivante de la gouvernance des données :

« Data governance is a newer, hybrid quality control discipline that includes elements of
data quality, data management, IG policy development, business process improvement,
and compliance and risk management. » (Smallwood 2014a, p. 16)
« Data governance consists of the processes, methods, tools, and techniques to ensure
that data is of high quality, reliable, and unique (not duplicated), so that downstream uses
in reports and databases are more trusted and accurate. Master data management
(MDM) tools can assist in this effort. » (Smallwood 2014b)
Cette définition est très intéressante car elle souligne le but de la gouvernance des données
et qui rejoint celui qui est au cœur des processus de certification des dépôts de données :
garantir que les données sont de bonne qualité et fiables. La notion de confiance est
également présente.

SIEBER, Amandine 21
Basma Makhlouf Shabou (2019) donne la définition suivante d’une politique :
« A document setting out the guidelines for the various legal, regulatory, normative, and
ethical requirements of an area of activity, and identifying the main actors involved in the
implementation of governance. »
Une politique de gouvernance des données est donc un document qui pose le cadre général
qui doit permettre l’implémentation des principes de gouvernance. Il comporte les aspects
légaux, réglementaires, normatifs et éthiques de la gouvernance des données, et identifient
les acteurs de cette implémentation.
3.5 Réalisation des outils manquants liés à l’évaluation des

données et la gestion de leurs durées de conservation
3.5.1 Preservation policy
3.5.1.1 Méthode de collecte
La collecte des données s’est faite en deux étapes. La première a consisté en une recherche
documentaire pour accéder à des exemples et des guides de bonnes pratiques. La deuxième
partie a consisté en une analyse comparative de contenu sur un échantillon de politiques de
préservation. Afin de coller au plus près du contexte de OLOS et de ne retenir que les bonnes
pratiques avérées, plusieurs critères ont décidé du choix de l’échantillon. Il est composé de 15
documents, tous issus de dossiers de candidature référencés sur le site internet du CTS. Ce
sont donc des dossiers ayant obtenu la certification 2020-2022. Les critères pour la sélection
des documents sont les suivants :
• Les éléments de l’échantillon sont tous des documents référencés dans les
dossiers de candidature sous le critère « R.10 Preservation Plan ».
• Les experts mandatés pour évaluer le dossier ont noté ce critère au niveau
4 – « this guideline is fully implemented in the repository ».
• Les candidatures dont ce critère a été noté au-dessous du niveau 4 n’ont
pas été retenues.
3.5.1.2 Outil de collecte
Nous avons ensuite élaboré une grille d’analyse, dont un extrait est disponible en annexe 2.
La grille d’analyse a servi à répondre aux questions suivantes :
• Quels sont les éléments importants qui doivent figurer ?
• Quelle est la longueur moyenne des documents ?
• Comment est structuré le document ?
• Quel est son niveau de détail ?
• Par qui est-il rédigé ?
• Par qui est-il validé ?
• Par qui et comment est-il révisé ?
• Quels en sont les buts et les champs d’application ?

SIEBER, Amandine 22
La grille d’analyse est structurée comme suit. Nous avons rédigé une brève explication pour
chaque indicateur afin d’expliquer notre choix.
• Critère : Structure
▪ Indicateurs :
• Titre
Plusieurs documents ne sont pas intitulés preservation policy.
Nous avons cherché à savoir qu’elle était la formulation la plus
couramment utilisée.
• Nombre de chapitres
Donne une indication sur la densité du contenu et son
organisation.
• Titres des chapitres
Permet de voir quels sont les domaines couverts.
• Nombre de pages
Donne une idée de la longueur moyenne de ce type de
document.
• Niveau de détail et densité des chapitres
Est-ce vraiment une politique très courte qui renvoie à d’autres
documents ou le contenu est-il plus détaillé ?
• Critère : Rédaction
▪ Indicateurs :
• Rôle et fonction du/des rédacteur-trices au sein de
l’organisation
De manière générale, à qui confie-t-on la rédaction ?
• Date de création
Est-ce récent ?
• Critère : Validation
▪ Indicateur : Autorité responsable
Qui est chargé de valider ce texte ? Quelle est sa position au sein de
l’organisation ?
• Critère : Révision
▪ Indicateurs :
• Autorité responsable
Qui est chargé de réviser le texte ? Quelle est sa position au sein
de l’organisation ?
• Périodicité
A quelle fréquence la politique est-elle révisée ?
• Date de la dernière révision
Si la date de création est indiquée, la périodicité indiquée est-
elle respectée ?

SIEBER, Amandine 23
• Critère : Contenu
▪ Indicateurs :
• Buts et objectifs
Permet de définir quels sont les buts et objectifs habituels de ce
genre document.
• Champ d’application
Permet de définir qui et quoi cette politique concerne-t-elle.
3.5.1.3 Analyse des données
Cette grille a permis de récolter les données de manière systématique et de les organiser. Les
éléments communs sont ressortis et ont permis de déduire les bonnes pratiques, une structure
de base pour le document, ainsi que le type de contenu qui doit y figurer.
3.5.2 Retention policy

Nous avons vu plus haut une définition très sommaire d’une politique de rétention des
données. Ce document est en principe utilisé par les organisations pour gérer la durée de
conservation des données en respectant le cadre légal en vigueur. Il s’agit de déterminer
combien de temps chaque type de données peut être conservé et comment celles-ci sont
ensuite supprimées. Un dépôt de données est par définition destiné à assurer la conservation
des données sur le très long terme. Par conséquent, il ne s’agit pas de définir des durées de
conservation précises pour des données, mais plutôt de définir quelles sont les durées de
préservation proposées par OLOS, et selon le critère « R.8 Appraisal » du CTS, définir une
politique en matière de désaccession et suppression des données :
« What is the process for removing items for your collection, also keeping in mind impact
on persistent identifiers? […] Policies and documented procedures should be in place
for the removal of items from a collection. » (CoreTrustSeal 2019b, p. 17)
Les questions de recherche pour la rédaction de cette politique ont donc été les suivantes :
• Dans quels cas OLOS peut-elle procéder à la désaccession ou la
suppression des données ?
• Comment ?
• Qui est responsable de la décision ?
• Qui est responsable de l’exécution ?
• Quelles sont les durées de conservation proposées par OLOS ?
• Que se passe-t-il une fois échue la durée de préservation prévue par le
contrat ?
Pour commencer, nous avons sélectionné un corpus de candidatures sur le site internet de
OLOS qui correspondaient aux critères suivants :
• Les candidats ont reçu le certificat pour la période 2020-2022.

• Les dossiers et les documents liés sont écrits en anglais ou en français, les
autres langues n’étant pas suffisamment maîtrisées par la chercheuse pour
faire l’objet d’une analyse.

SIEBER, Amandine 24
Un total de 20 dossiers a été retenu. Nous en avons ensuite extrait les réponses données au
critère R8. Nous avons rapidement réalisé que les candidats ne présentaient généralement
pas de retention policy en tant que document indépendant, mais l’inséraient en tant que
chapitre de leur preservation policy ou décrivaient tout simplement le processus directement
dans le dossier. En effet, une partie des éléments qui se trouve dans la preservation policy
sont semblables à ceux qui devraient figurer dans une retention policy, comme le cadre légal
et réglementaire ou l’autorité de validation et de révision. Ajoutons également que la gestion
des durées de conservation fait partie d’une stratégie générale de préservation et a donc toute
sa place dans une preservation policy. Partant de cette constatation, nous avons choisi de
procéder à une analyse comparative de contenu, en choisissant un échantillon modifié. Nous
avons repris le corpus de candidatures sélectionnées desquelles nous avons extrait les
exemples de plans de préservation (obtention de la certification 2020-2022). Nous avons
appliqué la même méthode de sélection, en fonction des mêmes critères :
dossiers de candidature sous le critère « R.8 Appraisal ».
• Les experts mandatés pour évaluer le dossier ont noté ce critère au niveau
• Les candidatures dont ce critère a été noté au-dessous du niveau 4 n’ont
pas été retenues.
Lorsque les candidats avaient intégré la retention policy dans leur preservation policy, nous
avons sélectionné l’extrait relatif aux durées de conservation et aux directives sur la
désaccession et suppression des données. Lorsque l’explication était donnée directement
dans le dossier de candidature, nous avons sélectionné la totalité de la réponse.
3.5.2.2 Outil de collecte
Une grille d’analyse des candidatures a été conçue :
Tableau 6 : Grille d’analyse pour l'élaboration de la retention policy

N° Organisme 1 Organisme 2 Organisme 3 Organisme 4
Questions etc.
1
2
3
4
5

SIEBER, Amandine 25
Les questions soulevées pour la création de la retention policy sont les suivantes (la
numérotation correspond à celle de la grille) :
1. Dans quel(s) cas les données doivent/peuvent-elles être
désaccessionnées, ou supprimées ?
2. Comment ?
3. Par qui ?
4. Que se passe-t-il avec les identifiants persistants lorsqu’une donnée est
désaccessionnée ou supprimée ?
5. De manière plus générale, la donnée est-elle simplement retirée ou
reste-il une trace sur le dépôt témoignant de l’existence de cette
donnée ?
Comme pour la revue de littérature, les numéros attribués aux questions ont servi à catégoriser
les réponses inscrites dans la grille de lecture.
Deux questions supplémentaires, qui correspondent au cadre spécifique d’OLOS, ont trouvé
une réponse directement sur le site internet et auprès de Mme Echernier :
6. Quelles sont les durées de conservation appliquées ?
7. Que se passe-t-il une fois échue la durée de préservation prévue par le
contrat ?
La grille d’analyse a permis de regrouper les informations importantes et d’en tirer les bonnes
pratiques en matière de suppression des données. L’entretien avec Mme Echernier a ensuite
permis de connaître les spécificités de OLOS concernant ces questions.
3.6 Réalisation des outils manquants liés à la gestion des risques

et la reprise des activités
3.6.1 Risk assessment framework
Le critère « R.3 continuity of access » couvre les aspects relatifs aux risques qui pourraient
empêcher la continuité de l’accès aux données. Il est spécifié dans le document Extended
Guidance (CoreTrustSeal 2019b, p. 12) que les preuves données doivent se situer au niveau
de la gouvernance, les aspects techniques étant couverts par le critère « R.15 Technical
infrastructure ». Plus spécifiquement :
« This Requirement covers the governance related to continued operation of the
repository over time and during disasters, as well as evidence in relation to succession
planning; namely the measures in place to ensure access to and availability of data
holdings, both currently and in the future. Reviewers are seeking evidence that
preparations are in place to address the risks inherent in changing circumstances,
including in mission and/or scope. » (CoreTrustSeal 2029b, p.12)
Le critère « R.16 Security » reprend aussi la notion d’évaluation des risques :
« The repository should analyse potential threats, assess risks, and create a consistent
security system. It should describe damage scenarios based on malicious actions,
human error, or technical failure that pose a threat to the repository and its data,
products, services, and users. It should measure the likelihood and impact of such
scenarios, decide which risk levels are acceptable, and determine which measures

SIEBER, Amandine 26
should be taken to counter the threats to the repository and its Designated Community.
This should be an ongoing process. » (CoreTrustSeal 2019, p. 26)
Nous avons choisi de proposer un cadre qui couvre les deux critères. La méthode de collecte
choisie pour répondre aux exigences de ces critères a été divisée en deux étapes : d’une part
une recherche documentaire permettant de rassembler des recueils de bonnes pratiques, des
normes, etc., d’autre part une analyse de contenu au moyen d’une grille d’analyse semblable
à celle que nous avons mis en œuvre pour la réalisation de la retention policy.
Tableau 7 : Grille d’analyse pour l'élaboration du risk assessment framework

N° Organisme 1 Organisme 2 Organisme 3 Organisme 4
Questions etc.
1
2
3
4
Les questions de recherche suivantes ont été formulées (la numérotation correspond à celle
de la grille) :
1. Quels sont les types de risques qui peuvent survenir dans le contexte
d’un dépôt de données ?
2. Quels sont les moyens de mitigation mis en place ?
3. Comment construire un cadre qui permet d’évaluer les risques ?
4. Quels sont les critères qui permettent d’évaluer les risques ?
De même que pour la retention policy, les risks assessments ne font jamais l’objet d’un
document à part, ou celui-ci n’est pas public. Les critères de sélection de l’échantillon
reprennent donc la logique adoptée pour la retention policy, à savoir :
• Dossiers de candidatures ayant obtenu la certification 2020-2022
dossiers de candidature sous les critères « R.3 continuity of access » et
« R.15 Security ».
• Les experts mandatés pour évaluer le dossier ont noté ces critères au niveau
• Les candidatures dont ces critères ont été notés au-dessous du niveau 4
n’ont pas été retenues.
Certains candidats ont intégré leur risk assessment dans leur preservation policy. Lorsque
l’explication était donnée directement dans le dossier de candidature, nous avons sélectionné
la totalité de la réponse.
Une grille de lecture identique à celle employée pour la revue de littérature a servi pour
l’analyse de la documentation (tableau 2, section 2.1).
Le recueil d’informations par la recherche documentaire permet de construire un cadre
d’évaluation cohérent et respectant les bonnes pratiques. L’analyse des dossiers de

SIEBER, Amandine 27
candidature a permis de mettre en relief certaines stratégies de mitigation mises en place.
L’entretien avec Mme Echernier a permis de préciser le contexte spécifique d’OLOS. Elle nous
a également fourni une précieuse documentation à ce sujet.
3.6.2 Disaster recovery policy

Le critère R15 « Technical infrastructure » spécifie à propos de la disaster recovery policy :
« Does the repository have a disaster plan and a business continuity plan? In particular,
are procedures and arrangements in place to provide swift recovery or backup of
essential services in the event of an outage? What are they? […] The governance
aspects of business continuity, disaster planning, and succession planning should be
covered in R3 (continuity of access). » (CoreTrustSeal 2019b, p. 24)
Le risk assessment et la disaster recovery policy sont deux documents interdépendants. Le
premier décrit les risques, leur impact, leur fréquence et les moyens de mitigation. Le
deuxième se situe après que l’incident a eu lieu. Nous avons donc décidé de faire figurer ces
deux aspects dans un seul document afin de garder une cohérence dans la réalisation et dans
les risques et incidents mentionnés. Comme le risk assessment prend en compte aussi bien
les aspects techniques que de gouvernance dans son champ d’application, la disaster
recovery policy fait de même.
Par les informations qu’elle contient, une disaster recovery policy est un document qui est non
seulement interne à l’organisme mais qui est surtout confidentiel. Pour cette raison, les
disaster recovery policies des candidats ayant obtenu le CTS ne sont jamais publiquement
mises à disposition dans les dossiers de candidature publiés sur le site internet du CTS. Pour
cet outil, nous n’avons donc pas pu nous appuyer sur l’échantillon de dossiers de candidature.
Nous avons donc privilégié la recherche documentaire en nous concentrant sur les bonnes
pratiques et les modèles existants. Nous avons repris le même modèle de grille de lecture que
pour la revue de littérature (tableau 2, section 2.1).
Nous avons retenu les questions de recherche suivantes :

1. Quels sont les cadres et modèles existant ?
2. Quels sont les éléments qui doivent y figurer ?
3. Quelles sont les bonnes pratiques en la matière ?
4. Existe-il des études qui proposent des modèles spécifiques au cadre
des dépôts de données de la recherche ?
La grille d’analyse de la documentation a permis d’organiser les sources et de faire émerger
les réponses convergentes afin de construire un cadre cohérent pour OLOS et qui intègre les
bonnes pratiques.
3.7 Réalisation d’une politique de gouvernance des données

La réalisation d’une politique de gouvernance des données était une demande spécifique du
mandat. En effet, cette dénomination ne se trouve pas dans les critères CTS. Cependant, la
certification repose sur des notions de confiance et de transparence, et cela passe par
l’établissement de principes clairs concernant les buts et missions de OLOS qui permettent de
créer un cadre pour la prise de décision. Une politique de gouvernance des données est donc
un outil important dans ce contexte. De même que la disaster recovery policy, des véritables
exemples de politique de gouvernance des données n’ont pas été recensés dans les dossiers
SIEBER, Amandine 28
de candidature. Nous avons donc décidé de nous tourner à nouveau vers la recherche
documentaire pour établir un recueil de bonnes pratiques. À l’aide d’une grille de lecture
identique à celle utilisée pour la revue de littérature (tableau 2, section 2.1), nous avons
répondu aux questions de recherche suivantes :
1. Quels sont les éléments qui doivent figurer dans une politique de
gouvernance des données ?
2. Existe-il des modèles ? Eventuellement spécifiques au contexte des
dépôts de données de recherche ?
3. Existe-il des normes et/ou des standards pour établir une politique de
gouvernance des données ?
4. Existe-il des études sur la structure et le contenu de tels documents ?
Une question supplémentaire spécifique au cadre d’OLOS nous a permis de préciser le
contexte :
5. Quels sont les besoins et l’existant en matière de gouvernance des
données dans le cadre de OLOS ?
Cette dernière question a trouvé des réponses à la fois dans la documentation sur
l’association, mais également au cours de la discussion avec Mme Echernier.
L’analyse de la documentation a permis de constituer un cadre et une structure pour le
document qui tiennent compte des bonnes pratiques et des standards et normes en vigueur.
L’entretien avec Mme Echernier a permis de mettre au jour des besoins au sein de
l’association.
3.8 Qualité de la recherche

Afin d’assurer la cohérence des résultats avec les questions de recherche, nous avons choisi
comme méthode de collecte principale la recherche documentaire, et comme méthode
d’analyse l’analyse comparative de contenu. Le contenu a été la documentation, mais aussi,
lorsque cela était possible, les dossiers de candidature ayant reçu le CTS. Les critères de
sélection de cet échantillon de dossiers ont été clairement établis.
Nous avons veillé à croiser les différentes données au moyen de grilles de lecture et d’analyse,
qui ont permis d’obtenir des résultats fiables. Nous avons également veillé à employer de
multiples sources reconnues et fiables. Afin que notre démarche soit la plus transparente et
claire possible, nous avons détaillé les outils et méthodes de collecte, et indiqué
systématiquement nos sources. Pour finir, nous avons eu recours à un entretien pour confirmer
les informations spécifiques au contexte de ce travail.
En suivant ces principes, nous avons minimisé au maximum les biais d’interprétation des
données.
Cependant, il convient de relever les limitations qui ont influé sur le déroulement de cette
démarche. Premièrement, la chercheuse vient du domaine des sciences de l’information et ne
possède que des connaissances très basiques dans les domaines IT. Pour cette raison, les
aspects très techniques n’ont pas pu être traités dans ce travail, et les documents produits se
situent au niveau stratégique et non opérationnel. En effet, nous n’avons pas pu établir des
procédures précises en matière de récupération des données par exemple. Deuxièmement,
la diversité des documents devant être réalisés supposait une méthodologie propre à chacun,

SIEBER, Amandine 29
et a rendu la démarche relativement difficile à mener pour une seule chercheuse. Pour cette
raison, nous avons délimité un périmètre de recherche précis, en excluant les documents de
type procédure. Ceux-ci auraient demandé beaucoup de temps et des compétences dont nous
ne disposions pas, et une méthodologie très différente. Les outils proposés au terme de cette
étude doivent se comprendre comme des propositions, qui pourront servir de base aux
documents définitifs.
4. Résultats
4.1 Preservation policy et retention policy6
À partir des données récoltées et de leur analyse, nous avons cherché à :
• Construire un modèle de politique selon les bonnes pratiques rencontrées
dans nos recherches,
• Y faire figurer les éléments importants relevés dans les candidatures des
dépôts certifiés,
• De cette manière, s’assurer que le résultat est conforme aux exigences du
CTS,
• L’adapter à OLOS.
4.1.1 Preservation policy
4.1.1.1 Modèles et bonnes pratiques
Une première recherche documentaire nous a permis de constituer un corpus de modèles et
un recueil de bonnes pratiques qui ont permis de comprendre la nature et le but d’une politique
de préservation. Nous avons retenu en particulier deux ressources : le Digital Preservation
Handbook édité par la Digital Preservation Coalition (2015). Ce manuel est un outil riche en
explications, bonnes pratiques et modèles concernant tous les aspects de la préservation
numérique. Chaque chapitre est complété par de nombreuses ressources à consulter. Un
chapitre est consacré aux stratégies institutionnelles et aux politiques. La deuxième source
que nous avons retenue est un modèle (Digital Preservation Policy Framework) conçu par
Nancy McGovern (2014), qui a mené des recherches dans plusieurs institutions américaines,
principalement des dépôts de données institutionnels et des bibliothèques académiques, afin
de développer un modèle de politique de préservation spécifique aux dépôts de données de
confiance.
6 Le document final est disponible en annexe 3.

SIEBER, Amandine 30
En comparant ces deux modèles, nous avons dégagé les principes et éléments importants qui
doivent apparaître dans une politique de préservation. Nous avons retenu les éléments
suivants communs aux deux modèles :
Tableau 8 : Eléments retenu pour un plan de politique de préservation

Eléments à retenir Digital Preservation Digital Preservation
Handbook Policy Framework
Mission et objectifs Establish purpose. The first Purpose: makes explicit
Etablir clairement la mission step is to establish the main the intentions of an
de l’organisme et poser les purpose of the digital institution and defines the
objectifs de la politique. preservation policy, its scope essential role a digital
and key aims. These will curation and preservation
keep the process of policy program plays in fulfilling
Champ d’application et development focused and its the mission to protect the
public cible content coherent. Thought organization’s digital
Définir un périmètre clair should be given at this stage assets. This section
(quel est l’objet de la to how the document will defines the rationale for
politique) et à qui s’adresse used, both as a tool for the framework, identifies
la politique. advocacy and to help guide responsible parties and
the creation and stakeholders, indicates the
implementation of strategy. intended audience for the
document, and places the
document in the context of
organization-wide
efforts. The purpose
statement might range
from broad to narrow,
reflecting the variations in
intention for different types
of digital archives.
Objectives: states the
high-level aims and
targets of the organization
for collecting, managing,
preserving, and sustaining
access to digital content.
This section identifies the
benefit of the program to
an institution and its
relationship to other
objectives, goals, and
policies.

SIEBER, Amandine 31
Éléments à retenir Digital Preservation Digital Preservation Policy
Handbook Framework
Rôles et responsabilités Within any institution there Roles and
des parties prenantes will be a range of Responsibilities: describes
engagées dans la stakeholders who have a key stakeholders and their
préservation numérique au stake in the life cycle respective roles in digital
sein de l’organisme. management of digital curation and, including
materials. They may creators, producers, digital
contribute to the repository staff,
management of those administrators, financial
materials, they may create managers, user groups,
or manage metadata advisors, other repositories,
associated with those and collaborators. This
materials, or they may have section makes an explicit
management responsibility statement that digital
for collections. The end- curation and is shared
users are also key responsibility requiring
stakeholders as their needs participants within and
determine what is important beyond the organization. It
for preservation. The views describes broad categories
of stakeholders and their of roles and responsibilities
roles in relation to the and cites documents
management of digital containing more specific
materials must be descriptions.
considered at both the policy
and strategy level.
Définir des Regular reviews. Policy Framework
responsabilités pour la and strategy documents Administration: describes
validation et la révision de should not be static and the organization’s practice
la politique must be responsive to pertaining to the
Doit être approuvée par la changes in stakeholder development, approval,
direction, afin d’avoir le needs, the wider maintenance of the
poids nécessaire auprès des organisational context and framework over time, e.g.,
équipes. Nécessite d’être updates to best practice. A frequency of updates and
révisée régulièrement. La regular review cycle should reviews, maintenance roles,
politique se situe toujours à be established but may also expiration dates. The
un niveau stratégique. be triggered by significant framework has little value if
changes in any of the areas it has not received the
mentioned above. appropriate approvals and
Gain approval. Most has not been
organisations will require implemented. At minimum,
that new policy documents the date and source of
are officially ratified by your approval and the review
management board. Make cycle should be provided.
sure to be aware of the
process the organisation
and any requirements that
will need to be fulfilled. Once
ratified the policy will carry
more weight and as a result
will be easier to implement
as part of ongoing strategy.

SIEBER, Amandine 32
Nous avons cependant retenu beaucoup d’éléments du modèle de Nancy McGovern car celui-
ci s’adresse spécifiquement aux dépôts de données, notamment une partie consacrée à la
conformité au modèle OAIS.
Un élément essentiel à retenir est que la politique se situe toujours au niveau stratégique,
contrairement à une procédure ou une directive, qui se situe au niveau opérationnel, comme
le rappelle le Digital Preservation Handbook :
« Policy content should be high-level and set broad aims and objectives. It should avoid
identifying specifics such as details of particular technology solutions, although it may
contain reference to commitments established on an organisational level. Information on
practical application of the policy will be defined by relevant strategy documents. » Digital
Preservation Coalition 2015)
4.1.1.2 Analyse des politiques de préservation des dossiers de candidatures
Comme indiqué au chapitre consacré à la méthodologie, nous avons ensuite procédé à une
analyse comparative de contenu pour déterminer quels sont éléments communs aux politiques
issues de dossiers ayant reçu la certification. Nous avons pu extraire de la grille d’analyse les
éléments suivants :
Titre du document :
En parcourant les politiques de préservation, nous avions remarqué que les noms pouvaient
varier entre « plan » et « politique ». L’analyse a démontré que sur 15 dossiers, seuls 3
utilisaient « plan ». Nous avons donc retenu ce nom (politique) pour bien marquer la nature
stratégique du document prévu pour OLOS. Notons que le critère « R10. Preservation Plan »
mentionne que les termes plan, policy, strategy ou action plan sont acceptés indifféremment
(CoreTrustSeal 2019b).
Structure du document :
Le nombre de page moyen est d’environ 15 pages. Les chapitres sont divisés en sous-
chapitres, assez courts et concis, et renvoient vers d’autres documents opérationnels lorsque
c’est nécessaire. Ils sont généralement entre 6 et 10.
Rédaction :
Le nom du ou des rédacteur-trice-s est presque toujours mentionné, mais pratiquement jamais
leur rôle au sein de l’organisation.
Validation :
Le nom de l’autorité de validation est rarement mentionné. On trouve plus souvent le rôle,
quoique celui-ci est absent pour 4 dossiers. Lorsqu’elle est mentionnée, l’autorité de validation
est située à un niveau hiérarchique supérieur (Les termes employés sont Leadership Team ou
Head of par exemple).
Révision :
Le nom de l’autorité de révision est rarement mentionné. Comme pour l’autorité de validation,
l’autorité de révision est située à un niveau hiérarchique supérieur. Il s’agit généralement de
la même personne ou le même groupe de personnes que l’autorité de validation. La politique
est généralement révisée tous les deux ans. La mention de la version est toujours présente.

SIEBER, Amandine 33
Buts et objectifs :
Ce chapitre définit les missions de l’organisme, et les objectifs de la politique. Généralement,

ce sont des chapitres courts, qui décrivent brièvement le contenu de la politique. Le contenu
est très variable, en fonction de la nature de l’organisme, et de sa mission.
Champ d’application
Il s’agit toujours des données préservées sur le long terme qui sont confiées au dépôt. La
politique ne prend jamais en compte les documents administratifs ou le site web de l’organisme
par exemple. Ce chapitre mentionne aussi le public cible, qui est toujours les employés, mais
également les utilisateurs et les bailleurs de fonds, pour qui le document est décrit comme une
preuve de la qualité du dépôt de données. Il démontre en effet que celui-ci s’engage à
respecter les bonnes pratiques et se donne les moyens d’atteindre ses objectifs.
4.1.1.3 Résultats de l’analyse et proposition de structure
Nous avons ensuite mis côte à côte toutes les tables des matières des politiques pour analyser
si des chapitres apparaissaient régulièrement en plus des éléments découverts dans les
modèles précédemment cités. De ce fait, nous avons ajouté la description du modèle OAIS,
le glossaire, les références, et le chapitre sur le financement. En tenant également compte des
informations obtenues dans la première partie de la recherche documentaire (voir section
précédente), nous avons pu élaborer un plan plus détaillé de la politique que voici :
Figure 3 : Table des matières pour la preservation policy

1. Introduction
2. Scope
3. Objectives
4. Roles and responsibilites
5. Legal and regulatory framework
6. Data process
a. Characterisation of the data / content coverage
b. OAIS model compliance
c. Pre-ingest
d. Ingest
e. Archival storage
f. Data management, administration and preservation planning
g. Access
7. Funding and sustainability
8. Glossary
9. References

SIEBER, Amandine 34
De cette manière, OLOS produit un document répondant en partie à plusieurs critères :
• « R1. Mission / Scope »
• « R3. Continuity of access »
• « R5. Organizational infrastructure » (les ressources humaines et financières
sont-elles suffisantes pour assurer la pérennisation des données et la
continuité de l’accès ?).
• « R10. Preservation plan » (Le dépôt a-t-il une approche documentée
globale de la planification de la préservation ?)
Le modèle OAIS étant une norme incontournable dans le domaine de la préservation
numérique, la preservation policy démontre également la conformité d’OLOS avec celle-ci.
4.1.1.4 Insertion du contenu
Les informations ont été obtenues par l’intermédiaire de présentations fournies par Lydie
Echernier, du site internet, ainsi que de plusieurs articles sur le sujet (Burgi 2019, Burgi et al.
2018, Burgi et al. 2019, Burgi et al. 2020).
Introduction
L’introduction propose une brève description de OLOS, ses missions et se buts.
Scope
Le champ d’application est celui de la politique, qui concerne les données dont OLOS est le
dépositaire primaire, le personnel de OLOS et les différentes parties prenantes. Il spécifie que
ce document peut être public.
Objectives
Ce chapitre précise les buts de la politique, et non ceux de OLOS, présentés dans
l’introduction.
Roles and responsibilities
Les bonnes pratiques voudraient que ce chapitre soit dédié aux rôles et responsabilités du
personnel d’OLOS concernant les activités de préservation. Au départ, nous avions prévu de
nous baser sur les informations disponibles sur le site internet et d’éventuels cahiers des
charges. Or, les informations sur le site internet ne sont pas très précises concernant les rôles,
et ne sont plus à jour. Lydie Echernier nous a ensuite confirmé que la répartition des
responsabilités n’était pas encore déterminée, et qu’il n’existait aucun cahier des charges, ces
tâches ayant pris du retard pour des raisons indépendantes de la volonté des membres de
l’association. Nous avons donc pris la décision de reporter cette question dans la politique de
gouvernance et de déterminer uniquement les rôles et responsabilités concernant la rédaction,
la validation et la révision de la politique dans ce chapitre. L’analyse de contenu et les bonnes
pratiques ont montré qu’il fallait que ces responsabilités soient prises à un haut niveau
hiérarchique, afin d’appuyer ensuite l’implémentation de la politique. Nous suggérons donc
que la révision et la validation soient faites par le Comité.
Legal and regulatory framework
Ce chapitre rappelle le cadre légal et réglementaire auquel sont soumises les données
préservées par OLOS.

SIEBER, Amandine 35
Data process
Ce chapitre décrit le dépôt en suivant les 6 fonctions archivistiques du modèle OAIS. Pour
respecter les bonnes pratiques, nous avons choisi de simplifier cette explication et de ne pas
rentrer dans des détails techniques trop poussés, afin que la politique soit compréhensible par
tous.
Funding and sustainability
Ce chapitre parle du financement et de la viabilité de OLOS. Pour le moment, l’Université de

Genève se porte garante de OLOS mais cette garantie est assez maigre. Le financement est
assuré par les cotisations annuelles des membres, et la facturation des Unités
Organisationnelles et des services aux les clients. OLOS est certes une association à but non
lucratif, mais la recherche de nouveaux clients sera un point clé pour assurer sa viabilité sur
le long terme. Le projet DLCM prévoyait en outre que OLOS devrait assurer son autonomie
financière à terme (Guirlet, 2020, Burgi et al. 2020). Par conséquent, l’association ne reçoit
pour le moment aucune subvention de la Confédération ou du Canton de Genève.
4.1.2 Intégration de la retention policy

Comme indiqué dans la section 2.3, OLOS est une solution qui diffère des autres types de
dépôts certifiés que nous avons étudiés. Premièrement, la solution proposée par OLOS n’est
pas un dépôt institutionnel ou disciplinaire, mais généraliste, contrairement aux autres dépôts
certifiés de notre échantillon. Deuxièmement, il s’agit d’une solution informatique qui peut,
dans ses fonctionnalités et son interface, s’adapter aux différents contextes dans lesquels elle
est implantée. OLOS accepte donc tous les types de données et tous les formats, et s’engage
à les préserver durant toute la durée prévue par le contrat. Les unités organisationnelles étant
indépendantes les unes des autres, chacune décide de la politique à appliquer en matière de
rétention des données. De plus, un dépôt de données étant par nature une infrastructure de
stockage à long terme, il est prévu que des données soient retirées avant la fin de la période
contractuelle uniquement dans des cas spécifiques. Nous ne sommes donc pas dans le cas
d’une retention policy stricto sensu comme définit au chapitre 3. Ce genre de politique
s’applique en effet dans le cadre d’un processus de records management, lorsque des
données sont prévues pour être supprimées quand elles ne sont plus nécessaires, ou que leur
suppression est exigée selon un délai prévu par la loi. Comme une retention policy pour les
données personnelles recueillies par le site internet ou les documents administratifs, auxquels
pourrait s’appliquer ce type de retention policy ne fait ni l’objet de ce mémoire, ni celui du CTS,
nous nous sommes concentrée sur les données déposées sur OLOS et avons pris le parti de
décrire dans le cadre de la politique les spécificités mentionnées plus haut, et d’y intégrer
également la question de la suppression des données. En effet, c’est une exigence de la
certification, et le document fourni par OLOS décrit au point 3.3 mentionnait qu’une politique
de retrait des données était manquante. En regard des points que nous venons d’expliciter, il
nous a semblé cohérent d’intégrer à la preservation policy un chapitre concernant les durées
de préservation des données possibles chez OLOS et la politique en matière de retrait des
données.

SIEBER, Amandine 36
4.1.2.1 Analyse des dossiers de candidature
Nous avons analysé les dossiers de candidature principalement pour connaître les bonnes
pratiques en matière de politique de suppression des données. Pour rappel, les questions de
recherche étaient les suivantes :
1. Dans quel(s) cas les données doivent/peuvent-elles être
désaccessionnées, ou supprimées ?
2. Comment ?
3. Par qui ?
4. Que se passe-t-il avec les identifiants persistants lorsqu’une donnée est
supprimée ?
5. De manière plus générale, la donnée est-elle simplement retirée ou
reste-il une trace sur le dépôt témoignant de l’existence de cette
donnée ?
Sur les 15 dossiers de l’échantillon, seuls 7 fournissaient des indications claires sur ces
questions. Les autres ne mentionnaient qu’une brève explication. Aucun ne faisait référence
à un document précis.
Question n° 1 :
Dans tous les cas, les dossiers mentionnaient que des données ne pouvaient être supprimées
que sur demande et dans des cas spécifiques. Ces derniers étaient la non-conformité légale
et l’impossibilité de lire les données (données corrompues ou format obsolète, sans possibilité
de récupération). Le propriétaire doit être mis au courant.
Question n°2 :
La question n’est presque pas abordée dans les dossiers. Seuls 4 dossiers faisaient la
différence entre la suppression et la désaccession. En cas de suppression, les données sont
définitivement supprimées du dépôt. Dans le cas de la désaccession, les données restent sur
le dépôt, mais l’accès est restreint selon la demande. La fermeture de l’accès peut être valable
pour une partie des données, ou pour la totalité.
Question n°3 :
Là aussi, il n’y a que très peu d’indications. Deux dossiers mentionnaient simplement « les
membres de l’équipe autorisés ». Trois autres dossiers mentionnaient que la décision devait
être ratifiée par la direction, puis le processus effectué par les membres du personnel
autorisés.
Question n°4 et 5 :
Toutes les réponses mentionnaient un processus similaire. Lors de la suppression de

données, les métadonnées descriptives sont conservées sur la page du jeu de données. Les
données n’existent plus, mais l’identifiant renvoie à cette page « tombale » (tombstone page
en anglais), qui explique pourquoi les données ont été retirées. La consultation des
métadonnées est toujours possible.

SIEBER, Amandine 37
4.1.2.2 Informations complémentaires spécifiques à OLOS et comparaison avec les
résultats de l’analyse des dossiers
Une fois ces informations récoltées, nous avons cherché à savoir comment OLOS se
positionne par rapport à ces pratiques. Sur le site internet, les conditions de retrait et de
désaccession des données sont disponibles dans les Terms of Use. Elles correspondent à ce
que nous avons trouvé dans les dossiers.
Nous avons complété les informations trouvées sur le site internet lors de l’entretien avec Mme
Echernier, qui a pu répondre aux questions 6 et 7, qui étaient, pour rappel :
6. Quelles sont les durées de conservation appliquées ?
7. Que se passe-t-il une fois échue la durée de préservation prévue par le
contrat ?
Les durées de conservation sont de 5, 10, 15 ans et infini. Le choix de la durée est déterminé
par le client lors de la signature du contrat. Le client peut également choisir le niveau de
sensibilité de ses données, et ajouter un embargo ou une licence d’accès en fonction. Lorsque
la durée de conservation est échue, les données sont supprimées, et le DOI renvoie à une
tombstone page avec les métadonnées descriptives. Le client est toutefois averti de la
suppression éminente de ses données et peut choisir de renouveler le contrat afin de préserver
ses données plus longtemps.
Afin d’exprimer ces différents points le plus clairement possible dans le document preservation
policy, nous avons choisi de créer deux chapitres : le chapitre 7 Data retention et le chapitre 8
Data withdrawal. Le premier mentionne la question des durées de conservation et ce qu’il
advient des données une fois la durée de conservation prévue échue. Le deuxième explique
dans quels cas, par qui, et comment les données sont supprimées.

SIEBER, Amandine 38
4.1.3 Proposition finale
Le document final, intitulé preservation policy est disponible en annexe 3. Il contient tous les
chapitres mentionnés au point 4.1.1.3, avec l’ajout des deux chapitres mentionnés au point
précédent. La structure finale est donc celle-ci :
Figure 4 : Structure finale de la preservation policy

1. Introduction
2. Scope
3. Objectives
4. Roles and responsibilites
5. Legal and regulatory framework
6. Data process
a. Characterisation of the data / content coverage
b. OAIS model compliance
c. Pre-ingest
d. Ingest
e. Archival storage
f. Data management, administration, and preservation planning
g. Access
7. Data retention
8. Data withdrawal
9. Funding and sustainability
10. Glossary
11. References
Cette structure de document et les informations qu’il contient permettent de répondre aux
exigences de plusieurs critères. Ci-dessous, un tableau permet de rendre compte des critères
remplis. Précisons que les réponses fournies ne donnent pas la totalité des informations
requises pour chaque critère, mais en apportent une partie. Cela est dû au fait que le
processus de certification est complexe et que les critères sont interdépendants ; plusieurs
questions se rejoignent et les réponses peuvent apparaître dans plusieurs documents
différents.

SIEBER, Amandine 39
Tableau 9 : Pointage des critères concernés par la preservation policy
Critère CTS Réponse fournie dans la preservation
policy
R1. Mission / scope: The repository has an Chapitre 1 : Introduction
explicit mission to provide access to and
preserve data in its domain.
R3. Continuity of access: For this Chapitre 7 : Data retention
requirement please describe: Chapitre 9 : Funding and sustainability
- The level of responsibility
undertaken for data holdings,
including any guaranteed
preservation periods.
R5. Organizational infrastructure: The Chapitre 9 : Funding and sustainability
repository has adequate funding
R8. Appraisal: Chapitre 7 : Data retention
- What is the approach towards data Chapitre 8 : Data withdrawal
that are deposited in non-preferred
formats?
- What is the process for removing
items from your collection, also
keeping in mind impact on existent
persisting identifiers?
R10. Preservation plan: The repository Le document dans son entier. A noter que
assumes responsibility for long term certaines questions de cette exigence sont
preservation and managed this function in a abordées dans d’autres documents. Il s’agit
planned and documented way. ici de donner un cadre général.
4.2 Risk assessment Framework et Disaster Recovery Policy

4.2.1 Risk Assessment Framework
La première étape de la collecte nous a permis de recueillir des informations concernant la
structure et le contenu d’un risk assessment framework. Parmi les documents étudiés, nous
avons retenu en particulier les études et manuels suivants. Le premier est le Risk Assessment
Handbook, publié par les Archives Nationales Britanniques (The National Archives 2017).
Cette publication est un manuel pour conduire une évaluation des risques dans son
organisation. Très complet, il est une excellente base pour construire un premier cadre. La
deuxième ressource employée est le Digital Preservation Handbook, déjà employé pour la
réalisation de la preservation policy. Il contient un chapitre consacré aux risques, et propose
plusieurs références vers d’autres ressources. Une étude nous a également aidé à
comprendre les risques dans le contexte spécifique des dépôts de données : celle de Matthew
Mayernik et al. (2020), qui propose un cadre très complet pour l’évaluation et la mitigation des
risques. Le document émis par la Bibliothèque nationale d’Ecosse, dont le dépôt d’archives
numérique est par ailleurs certifié CTS (National Library of Scotland 2019), nous a également
été d’une grande utilité.

SIEBER, Amandine 40
Finalement, un certain nombre de normes sont pertinentes pour la gestion des risques :
• ISO 31000 : 2018 Management du risque – lignes directrices.
• ISO 31010 : 2019 Management du risque – Techniques d’appréciation du
risque.
• ISO 27005 : 2018 Technologies de l’information – Techniques de sécurité –
Gestion des risques liés à la sécurité de l’information.
• ISO 18128 : 2014 Information et documentation – Evaluation du risque pour
les processus et systèmes d’enregistrement.
Elles permettent de comprendre les principes et les concepts de la gestion des risques, ainsi
que les techniques d’évaluation.
Un article de Sally Vermaaten et al. (2012) propose un modèle, très intéressant, pour la
classification des risques. Il propose également une comparaison des différents outils
d’analyse de risques disponibles en 2012. Cependant, ceux-ci sont anciens, et certains ne
sont plus d’actualité. Il reste toutefois pertinent pour comprendre les grands types de risques
qui peuvent survenir dans le contexte d’un dépôt de données.
Le DRAMBORA, outil développé par le Digital Curation Center en Grande-Bretagne, est un
outil bien connu d’évaluation et de mitigation des risques. Cependant, il n’est plus mis à jour
depuis 2015. En parcourant les dossiers de candidature au CTS, nous avons relevé la
remarque d’un expert à un candidat qui référençait le DRAMBORA comme outil d’évaluation
des risques. L’expert précise que l’outil n’est plus mis à jour et que par conséquent, même s’il
continue d’offrir des pistes intéressantes, il ne peut plus être accepté comme outil pour la
certification. Nous avons donc pris connaissance de l’outil sans le prendre comme référence.
Il existe quantité de manuels, articles et livres sur le management des risques. La sélection ci-
dessus n’est de loin pas exhaustive, mais se concentre sur deux exemples extraits de dossiers
de candidature au CTS, et d’études et de manuels dans le domaine de la préservation
numérique, afin de rester au plus proche du sujet de ce travail. La chercheuse a également
suivi un cours d’introduction aux risques et risques informationnels dans le cadre du Master
en Sciences de l’Information de la HEG (Makhlouf Shabou 2021-2022).
A l’aide de la grille présentée au point 3.6.1, nous avons pu analyser les différents textes du
corpus et en faire émerger les réponses à nos questions.
Pour rappel, les questions de recherche étaient les suivantes :

1. Quels sont les types de risques qui peuvent survenir dans le contexte
d’un dépôt de données ?
2. Quels sont les moyens de mitigation mis en place ?
3. Comment construire un cadre qui permet d’évaluer les risques ?
4. Quels sont les critères qui permettent d’évaluer les risques ?
Question n°1 :
Le travail de Matthew Mayernik nous a beaucoup aidé dans cette recherche. Au terme d’un
travail de regroupement de nombreux articles traitant de la question des risques liés aux
données scientifiques numériques, lui et son équipe sont parvenus à mettre en place une liste
de risques récurrents dans le contexte d’un dépôt de données.

SIEBER, Amandine 41
En se basant sur les facteurs de risques établis par Mayernik, le TOAR Data Centre
Infrastructure (2021), certifié CTS, a établi 4 catégories de facteurs de risques :
• Humains
• Physiques
• Données
• Organisationnels
Le tableau ci-dessous récapitule les catégories et les risques, et fait une comparaison avec
les risques catégorisés par le Digital Preservation Handbook.
Tableau 10 : Risques liés aux dépôts de données numériques selon Matthew
Mayernik et al. (2020) et comparaison avec le cadre proposé par la Digital
Preservation Coalition
Catégorie de facteurs Facteurs de risques Description selon Facteurs de
de risques selon Mayernik Mayernik risques selon
la DPC
Données Manque de Les données ne Perte
métadonnées et de peuvent être d'informations
documentation interprétées en raison contextuelles
du manque de entraînant une
connaissances perte de sens.
contextuelles. Panne des
données de
découverte
des
ressources
entraînant une
difficulté à
récupérer les
données.
Mauvais étiquetage Les données sont Perte
des données perdues parce d'informations
qu'elles sont mal contextuelles
identifiées. entraînant une
perte de sens.
Mauvaise gouvernance Des processus
des données décisionnels
incertains ou
inconnus empêchent
une gestion efficace
des données.
Suppression Les données sont Erreur
accidentelle accidentellement humaine
supprimées par un entraînant un
membre du effacement
personnel. accidentel.

SIEBER, Amandine 42
Catégorie de Facteurs de Description selon Facteurs de
facteurs de risques risques selon Mayernik risques selon la
Mayernik DPC
Données Manque de L'absence de
planification planification expose
les données à des
événements
imprévus.
Obsolescence des Impossibilité Obsolescence du
formats de fichiers d'accéder aux format des fichiers,
données en raison ce qui signifie qu'il
d'un manque de est coûteux ou
connaissances, impossible de traiter
d'équipements ou de les données.
logiciels pour lire un
format de fichier
spécifique.
Manque Les données ne sont Perte d'informations
d’informations sur la pas fiables ou sur la provenance
provenance des compréhensibles en ou la fixité d'un
informations raison d'un manque document,
d'informations sur entraînant une perte
les étapes du d'authenticité.
traitement des
données ou sur les
chaînes de
confiance de la
gestion des
données.
Surabondance La difficulté de traiter
un trop grand
nombre de données
entraîne une
réduction de la
valeur ou de la
qualité de
l'ensemble des
collections.
Physiques Détérioration des La détérioration du Dégradation du
supports support physique support, ce qui
empêche l'accès aux signifie que les
données (papier, données sont
bande ou support endommagées ou
numérique). modifiées.
Panne du matériel Dysfonctionnement
de stockage soudain et
catastrophique du
matériel de
stockage.

SIEBER, Amandine 43
Mayernik DPC
Physiques Fuite de Les données sont
cybersécurité intentionnellement
supprimées ou
corrompues par une
faille de sécurité, par
exemple un logiciel
malveillant.
Retournement de bit Corruption Dégradation du
et corruption des progressive de support, ce qui
données données signifie que les
numériques due à données sont
une accumulation de endommagées ou
défaillances non modifiées.
critiques
(retournement de
bits) dans un
dispositif de
stockage de
données.
Catastrophes Incendies, Catastrophes
inondations, naturelles affectant
guerres/conflits etc. les bâtiments ou les
infrastructures.
Humains Manque d’utilisation Les données sont Le degré
rarement consultées d'utilisation. Des
et sont qualifiées de archives sombres
« non désirées », sont plus à risque
donc jetées. que des archives
très utilisées. Si le
matériel numérique
est rarement
consulté, l'impact
d'une défaillance est
moins évident.

SIEBER, Amandine 44
Mayernik DPC
Humains Pertes de Départ ou disparition Des changements
connaissance des personnes qui majeurs dans les
entourant l’accès et savent comment dirigeants ou les
le contexte accéder aux experts individuels.
données ou qui
connaissent les
métadonnées
associées à ces
données qui rendent
les données
utilisables par
d'autres, par
exemple en raison
d’un départ en
retraite ou un décès.
Organisationnels Perte de L'ensemble du dépôt Changements dans
financement pour le perd ses sources de l'orientation
dépôt financement. stratégique ou le
financement et les
fonctions soutenues
par une
organisation.
Dépendance à un Risques dus aux Externalisation sans
fournisseur de problèmes potentiels tenir compte des
service si un fournisseur de besoins futurs en
services particulier matière de
fait faillite. préservation.
Statut juridique pour Un statut juridique Perte de droits
la propriété et incertain, inconnu ou d'auteur ou d'autres
l'utilisation restrictif limite les informations
utilisations possibles juridiques entraînant
des données. une incertitude
quant aux droits et
obligations.
Interférence Données
politique supprimées ou
rendues
inaccessibles en
raison de décisions
politiques
Cette structure a servi de liste de base pour les risques à évaluer au sein de OLOS. Elle n’est
évidemment pas exhaustive et a pour but de servir de point de départ. Nous avons choisi le
modèle de Matthew Mayernik car plus récent et plus complet que le modèle de la Digital
Preservation Coalition, qui date de 2015.

SIEBER, Amandine 45
Question n°2 :
Les documents étant très peu nombreux au sein des dossiers de candidatures, et les
informations très souvent confidentielles, nous n’avons pas pu effectuer une analyse de
contenu pour situer OLOS par rapport aux pratiques en cours. Les moyens mis en œuvre dans
le document final sont ceux mis en place par OLOS concernant ces types de risques. Les
informations sont disponibles sur le site internet. Mme Echernier nous a aussi fourni beaucoup
de précisions, notamment sur les aspects techniques.
Question n°3 et 4 :
Les normes ISO sont très utiles pour comprendre comment effectuer une évaluation des
risques. Le Risk Assessment Handbook des Archives Nationales Britanniques est une version
simplifiée, intégrant les principes ISO, qui permet d’effectuer une évaluation des risques étape
par étape. Le manuel de la Digital Preservation Coalition discute également les grandes lignes
des risques inhérents aux données numériques et propose un certain nombre de références.
De l’étude de ces différents documents nous avons retenu des principes généraux qui nous
ont guidés dans la mise en place du cadre définitif.
Premièrement, un processus d’évaluation des risques doit être continuellement mené. C’est-
à-dire qu’une réévaluation doit avoir lieu sur une base régulière afin que l’organisation soit
toujours à jour avec les risques inhérents à son activité. C’est une condition sine qua non pour
maintenir un contrôle sur ces risques et les réduire au maximum.
Deuxièmement, un cadre d’évaluation doit être défini, afin que chaque partie impliquée
travaille sur une base commune. Cela concerne notamment l’évaluation de la sévérité du
risque, donc de l’impact que celui-ci pourrait avoir sur l’organisation, mais aussi le degré de
probabilité que le risque se concrétise en un incident. Il faut donc évaluer si un incident peut
survenir régulièrement ou est plutôt d’ordre exceptionnel.
Troisièmement, le champ d’application doit être clairement défini : qui et quoi cette évaluation
concerne-t-elle ? Pour cela, il faut définir le type d’information à évaluer, le domaine ou l’unité
concernée de l’organisme ainsi que ses flux de travail. Si l’on désire, on peut également
procéder par étapes du cycle de vie des données. Les rôles et responsabilités de chacun dans
le processus d’évaluation doivent également être clairement définis, en fonction de leur
compétences et rôles respectifs au sein de l’organisation.
Finalement, le processus doit permettre d’identifier les éventuelles failles, c’est-à-dire les
zones où les risques ne sont que peu voire pas atténués. Cela suppose que des améliorations
sont à mettre en place dans la mesure du possible. Il doit également permettre de déterminer
quels sont les risques qui pourraient avoir le plus gros impact en cas d’incident. En fonction
de ces informations, des stratégies de reprise doivent être mises en place au cas où un
incident majeur devait survenir. Pour cette raison, nous avons choisi d’intégrer une disaster
recovery policy au risk assessment framework afin de marquer l’interdépendance et la relation
de continuité entre ces documents. En effet, une évaluation des risques ne sert que peu si elle
n'est pas suivie de mesures de reprise au cas où les risques identifiés venaient à se
concrétiser. De la même manière, une organisation ne peut pas mettre en place des mesures
de reprise après sinistre si les risques n’ont pas été identifiés.

SIEBER, Amandine 46
4.2.1.2 Document final
Le document est disponible en annexe 4. Ci-après, nous allons reprendre les différentes
parties afin d’expliquer les choix qui ont été faits.
Scope
Cette partie définit le champ d’application, à savoir les personnes et les données concernées.
Un paragraphe sur les références utilisées est également présent.
Objectives
Les objectifs sont généraux, plutôt stratégiques. Dans l’idéal, chaque secteur de travail devrait
effectuer sa propre évaluation des risques afin de déterminer plus précisément les procédures
de mitigation à mettre en place si nécessaire.
Roles and responsibilities
OLOS étant une association très récente (elle a été fondée en 2020), un organigramme et des
cahiers des charges doivent encore être mis en place. C’est pourquoi nous avons choisi de ne
déterminer que les responsabilités concernant la rédaction, la validation et la révision du
document.
Probability and severity score guidelines
Ces propositions d’échelles ont été établies avec l’aide des exemples fournis par la National
Library of Scotland, et des recommandations ISO. Ce sont uniquement des propositions, qui
peuvent être cohérentes avec le contexte de OLOS.
Risk Assessment Framework
Le tableau a été conçu sur la base du tableau 7 (voir chapitre précédent). Le but étant de
couvrir les aspects généraux. Nous ne sommes en effet pas compétentes pour effectuer une
analyse plus poussée, particulièrement en ce qui concerne les aspects techniques. Le but était
de fournir un cadre général et une proposition d’outil pour OLOS. Une analyse bien plus
poussée devrait être mise en place. L’analyse des risques liés à l’infrastructure informatique
est en cours par un expert indépendant7. Les résultats de cette analyse devraient permettre à
OLOS d’avoir une vue d’ensemble bien plus précise des éventuelles stratégies de mitigation
à mettre en place. En effectuant cette première évaluation générale, nous avons constaté
qu’OLOS possède une excellente stratégie concernant la sécurité, l’intégrité et la fiabilité des
données. Les aspects techniques sont très bien gérés et assurent un service de haut niveau
aux chercheurs. Cependant, les risques se situent plutôt au niveau humain. Nous reviendrons
sur ces différents points dans le chapitre consacré aux recommandations.
4.2.2 Disaster Recovery Policy

De même que pour le risk assessment framework, les données disponibles dans les dossiers
de candidature sont très rares. Nous n’avons recensé ni politique ni plan de reprise après
sinistre. Lorsqu’ils existent, les documents sont simplement mentionnés mais inaccessibles.
Si les risques généraux étaient parfois mentionnés dans les dossiers, les plans de reprise sont
7 Communication personnelle de Lydie Echernier.

SIEBER, Amandine 47
strictement confidentiels. Il s’agit évidemment d’une mesure de sécurité qui empêche la
diffusion publique de ce type de documents. L’analyse des dossiers de candidature n’étant
pas faisable, nous avons décidé de nous tourner vers les modèles et bonnes pratiques. OLOS
ne dispose pour le moment d’aucun document de reprise après sinistre, ni d’une analyse
complète des risques. Avant de mettre en place des procédures et des directives
opérationnelles, il faut mettre en place le cadre dans lequel ces décisions seront prises. C’est
pourquoi nous avons choisi de mettre en place une politique de reprise après sinistre.
S’inspirant des bonnes pratiques, ce cadre devra permettre à OLOS d’engager un processus
de mise en place des procédures.
Pour rappel, les questions de recherche étaient les suivantes :

1. Quels sont les cadres et modèles existant ?
2. Quels sont les éléments qui doivent y figurer ?
3. Quels sont les bonnes pratiques en la matière ?
4. Existe-il des études qui proposent des modèles spécifiques au cadre
des dépôts de données de la recherche ?
Nous avons repris la documentation accumulée pour le risk assessment framework (Digital
Preservation Coalition 2015, Mayernik et al. 2020, The National Archives 2017) et ajouté le
modèle proposé par Nancy McGovern (2014). Les normes ISO citées précédemment sont
également utiles puisque tout comme l’évaluation des risques, la reprise après sinistre fait
partie du management du risque. Les sources sont nombreuses, mais nous avons choisi de
sélectionner celles qui se rapprochent le plus des données numériques et du contexte de la
préservation numérique. De cette documentation nous avons pu extraire les réponses aux
questions de recherche.
Question n°1 et 4
Les modèles sont rares, et les titres des documents sont assez variés : plan, procédure,
politique, planification, sans qu’une véritable distinction de niveau (stratégique ou
opérationnel) ne soit faite. Nous avons choisi le terme politique pour bien situer le document
au niveau stratégique. Le modèle de Nancy McGovern est le plus proche du contexte de
OLOS, raison pour laquelle il a servi de base pour le document proposé.
Question n°3 et 4
Les composants habituels d’un document de type politique doivent être présents : les objectifs,
les rôles et responsabilités et le champ d’application, ainsi qu’une fréquence de révision. Le
document doit proposer des liens vers les documents opérationnels, et servir ainsi de base à
l’implémentation des principes qu’il énonce.
4.2.2.2 Document final
Le document établi a de nombreux points communs avec le risk assessment framework, autre
raison pour laquelle nous avons choisi de les fusionner. Ils établissent ensemble une base de
réflexion pour une stratégie globale de gestion des risques. Le document est disponible en
annexe 4.

SIEBER, Amandine 48
Scope, objectives, roles and responsibilities
Ces chapitres sont communs au risk assessment framework et à la disaster recovery policy.
Ils reprennent les éléments qui doivent être notifiés dans toute stratégie de management du
risque.
Operational objectives
Des objectifs opérationnels ont été ajoutés. Ceux-ci visent à doter OLOS des documents
manquants pour établir une véritable stratégie de management du risque.
Disaster recovery framework
Ce cadre propose une référence en cas d’incident. Il contient les liens vers les procédures et
le nom de la personne responsable pour la coordination des plans de reprise après sinistre.
En effet, des plans et des procédures détaillés doivent être mis en place à la suite de la
validation de la politique. Selon les bonnes pratiques, nous avons listé les différents points qui
doivent apparaître dans un plan de reprise.
Testing and implementing the plans
Selon les bonnes pratiques, l’organisation doit se doter d’une stratégie d’implémentation. Dans
le cas des plans de reprise, une révision et des tests doivent être effectués toutes les années
afin que ces documents soient toujours à jour.
Communicating the plans
Ce chapitre concerne la mise en place d’une stratégie de communication. En effet, ces

documents doivent être connus de tous, et facilement accessibles par les membres du
personnel. Leur accès doit cependant être sécurisé. Une formation doit être dispensée aux
nouveaux membres du personnel et un système de formation continue mis en place. Le
personnel doit être préparé à réagir efficacement lorsqu’un incident survient.
Une stratégie de communication auprès des parties prenantes, du public et des médias doit
également être envisagée.
4.3 Politique de gouvernance des données

4.3.1 Modèles, normes et bonnes pratiques
Un des problèmes rencontrés régulièrement lors de la recherche a été de trouver des sources
qui se focalisent sur la gouvernance des données et non sur la gouvernance informationnelle.
Celle-ci prend en compte les actifs informationnels d’une organisation dans son ensemble. Ici,
il s’agit de construire un cadre qui sert de support à la gouvernance des données de la
recherche déposées chez OLOS. Pour pallier cette difficulté, nous avons pris en compte
également des ressources concernant les politiques de gouvernance informationnelle. En
effet, si le sujet n’est pas le même, un document de type politique suit toujours les mêmes
principes. La structure est généralement assez similaire d’un document à l’autre. La différence
doit être marquée dans le contenu. Les principes et bonnes pratiques mis en pratique dans
les autres documents de type politique présents dans ce mémoire ont bien évidemment été
repris.
Nous avons démarré la recherche avec une base relativement solide concernant la
gouvernance des données et les principes généraux d’une politique. En effet, l’exercice avait
SIEBER, Amandine 49
déjà été effectué dans le cadre d’un cours dispensé à la HEG. Un petit mandat avait été
proposé aux étudiants afin de concevoir une politique de gouvernance informationnelle pour
un service de l’Etat de Genève.
Des recherches documentaires ont solidifié les bases données en cours. Parmi les références
découvertes, l’article de Basma Makhlouf Shabou (2019) a été une référence très précieuse.
L’article est une effet une méthode pratique et un outil de conception pour une politique de
gouvernance informationnelle. Un rapport de recherche sur l’analyse de plusieurs politiques
de gouvernance informationnelle a également été extrêmement utile (Makhlouf et al. 2019).
Les écrits de l’auteur Robert Smallwood (2014a et 2014b) font également référence dans le
domaine de la gouvernance informationnelle et de la gouvernance des données. Le Data
Governance Institute (2022) est une des ressources les plus riche du web concernant cette
fois-ci spécifiquement la gouvernance des données.
Les normes ISO sont également utiles. Parmi celles-ci on peut citer les normes ISO 38505-1:
2017 Information technology – Governance IT – Governance of data – Part 1: Application of
ISO/IEC 38500 to the governance of data, et ISO 38505-2: 2018 Information technology –
Governance IT – Governance of data – Part 2: Implications of ISO/IEC 38505-1 for data
management. Une norme spécifique à la gouvernance informationnelle a été publiée en mai
2022 (ISO 24143 : 2022 Information et documentation – Gouvernance de l’information –
Concepts et principes), mais nous n’y avons pas eu accès, car le site e-NORM, qui permet
aux étudiants et professeurs de la HEG d’avoir accès aux catalogues de normes ne l’avait pas
encore mis à jour.
4.3.2 Adaptation au contexte de OLOS

Une fois le corpus constitué, l’étape suivante a été de construire un modèle qui non seulement
respectait les bonnes pratiques, mais qui était également cohérent avec les besoins de
l’association et son contexte spécifique. A cette étape du travail, le contexte de OLOS nous
était bien connu et la documentation sur le sujet assez fournie. L’entretien avec Mme Echernier
a permis également de préciser certains aspects qui étaient apparus au cours des recherches
sur OLOS. Toute la difficulté a été de ne pas trop répéter les déclarations faites dans la
preservation policy. En effet, ce document est un pilier dans la stratégie de gouvernance des
données et il institue de nombreux principes. En regard des bonnes pratiques et des
constatations précitées, nous avons établi le document disponible en annexe 5.
Introduction
La politique de gouvernance étant un document qui doit être compris par tous et supposé être
public, une présentation de OLOS était indispensable, même si celle de la preservation policy
en donne une vision bien plus complète. La description proposée accentue un peu les activités
de type MOOC et la formation à la gestion des données.
Scope
Le champ d’application est un peu plus large que celui de la preservation policy. En effet, il
prend en compte tous les documents d’activité qui sont relatifs à la bonne gouvernance des
données.

SIEBER, Amandine 50
Roles et responsabilities
Ce chapitre est très important. En effet, il ne couvre pas que les responsabilités concernant la
politique, mais également les rôles et responsabilités des membres de l’équipe de OLOS de
manière générale. Nous avons déjà soulevé le manque de distinction et attribution claires des
tâches. Par cette proposition, nous souhaitons attirer l’attention sur cet aspect fondamental de
la gouvernance.
Legal and regulatory framework
Ce chapitre pose le cadre légal et réglementaire dans lequel OLOS évolue. OLOS est
principalement soumis au cadre légal fédéral et non cantonal.
Principles and goals
Ce chapitre doit énumérer les principes et les buts de l’association. Ils sont légèrement plus
étendus que les principes énumérés dans la preservation policy. Cependant, ils doivent
demeurer généraux.
Operational implementation documents
Nous avons tenté de recenser les documents importants manquants et existants qui
permettent l’implémentation des principes énoncés au chapitre précédent.
Comme tous les autres outils proposés dans ce travail, cette politique n’est pas validée par les
autorités compétentes. Nous avons tenté de construire un cadre cohérent dans le contexte de
OLOS afin d’amorcer la réflexion pour le document qui sera finalement adopté.
5. Recommandations
Le présent travail a permis de mieux comprendre le contexte et la situation actuelle de OLOS.
L’association est très jeune (2020), et est donc en pleine phase de construction. Si les aspects
techniques et la solution sont à un niveau de développement très poussé, le cadre général de
gouvernance de l’association en est à ses débuts. En effet, l’équipe est très restreinte et les
membres de l’équipe ne sont pas employés à temps plein. Du fait du peu de temps disponible
à consacrer au projet OLOS, il est d’autant plus important de doter l’association d’un
organigramme clair et précis. L’établissement de cahiers des charges doit également être une
priorité. La bonne marche des affaires ne peut en être que renforcée, d’autant plus qu’OLOS
ne dépend que des rentrées financières des cotisations annuelles des membres et des
services payants qu’elle offre. Afin d’attirer d’autres institutions et particuliers, elle se doit de
leur prouver sa bonne structure organisationnelle, qui permet d’assurer la qualité de ses
services et leur pérennisation.
Si les questions techniques sont très bien abordées, la question des risques humains est une
difficulté. En effet, étant donné que les chercheurs ont la possibilité de gérer les accès à leurs
données, ainsi que le degré de sensibilité, et que la responsabilité de la conformité au cadre
légal, notamment les données sensibles, du contenu déposé sur OLOS est déchargée sur les
responsables des unités organisationnelles, il y a des risques que des informations soient mal
protégées. De même, la gestion de la qualité des données est laissée à la responsabilité des
unités organisationnelles. Ces facteurs de risques humains sont liés à la solution proposée
par OLOS, afin d’être le plus flexible possible. Néanmoins, ces risques devraient faire l’objet

SIEBER, Amandine 51
d’une évaluation et d’une stratégie de mitigation bien plus poussée que celles présentées ici.
Le développement des MOOC et des formations devrait permettre de limiter les risques. Le
degré de curation des données relativement bas peut aussi dissuader de nouveaux
utilisateurs.

SIEBER, Amandine 52
6. Conclusion et perspectives
6.1 Rappel des objectifs et bilan
Objectif 1 : Revue de littérature
La revue de littérature nous a permis de comprendre le fonctionnement des certifications

existantes à ce jour, leur intérêt pour les dépôts de données de la recherche, et les enjeux liés
à la préservation de celles-ci. Nous avons également pu replacer OLOS dans ce contexte, afin
de disposer d’une base solide concernant le contexte de l’étude.
Objectif 2 : Réalisation des outils liés à l’évaluation des données et à la gestion de leurs
durées de conservation
Nous avons réalisé une preservation policy comprenant un chapitre sur la politique de
rétention de l’association. Ce document permet à OLOS de poser les bases de sa stratégie en
matière de préservation des données et servira de référence pour la rédaction d’autres
documents de type processus et procédures.
Objectif 3 : Réalisation des outils liés à la gestion des risques et reprise des activités
Nous avons pu effectuer une première évaluation des risques concernant le dépôt et proposer
un cadre pour la mise en place d’une évaluation plus poussée, sous la forme d’un risk
assessment framework. Afin de compléter le cycle de gestion des risques, nous avons proposé
une disaster recovery policy qui offre à OLOS une base pour la création d’un futur processus
complet de reprise des activités en cas de sinistre.
Objectif 4 : Réalisation d’une politique de gouvernance des données
La politique de gouvernance des données fournie au terme de ce travail permet à OLOS de

fixer des priorités dans les chantiers à mettre en œuvre, notamment la création d’un
organigramme et de cahiers des charges. Elle permet également de poser les grandes lignes
de la stratégie de l’association en matière de gouvernance des données.
6.2 Retour sur les limitations

La première limite de ce travail est le temps imparti pour sa réalisation. Cinq mois à temps
partiel ne permettent pas de compiler une très grande quantité de documentation. Par
conséquent, les sources utilisées pour la réalisation des outils ne sont pas aussi nombreuses
que souhaitées au départ de ce travail. Nous avons dû procéder à des choix afin de pouvoir
proposer les outils prévus dans les objectifs dans le temps imparti.
La diversité des outils demandés a aussi été un obstacle en regard du temps imparti. Si
l’approche méthodologique globale est centrée sur l’analyse comparative de contenu et la
recherche documentaire, des variantes spécifiques ont dû être mises en place pour chaque
outil, ce qui a complexifié la recherche, mais a également nécessité de resserrer les corpus
de documentation.
Finalement, le processus d’évaluation et gestion des risques est une démarche très complexe,
qui nécessite des ressources aussi bien en temps qu’en compétences que nous ne
possédions pas. Le présent travail a permis d’esquisser une première base, mais elle ne doit
pas être considérée comme une démarche complète et conclue.

SIEBER, Amandine 53
6.3 Éléments conclusifs
Comme nous l’avons déjà souligné, OLOS est au début de son histoire. Si la solution
informatique est aboutie, l’association en tant qu’organisme indépendant du projet est très
récente (2020). Le processus de certification engagé doit être vu comme une opportunité
d’améliorer les processus et la documentation de ses activités, et participer ainsi à son
évolution. Les difficultés liées à la réalisation du présent travail sont liées à cette situation. Il
reste beaucoup à créer et les outils demandés dans le mandat nécessiteraient d’être
retravaillés et complétés. Les documents présentés dans ce travail doivent être vus comme
une base de réflexion qui pourra servir à la réalisation des documents qui seront finalement
validés, dans la mesure où un exercice académique tel qu’un Travail de Master ne permet pas
la mise en place d’un processus de gestion de projet complet et abouti, avec à la clé
l’implémentation des principes évoqués dans les présents outils.
Le corpus de documentation fourni sur les différents outils et thématiques pourra également
servir à OLOS pour la suite de son développement. Toutefois, dans la mesure où les domaines
de la gouvernance des données et des avancées techniques évoluent très rapidement, les
connaissances dans ces branches devront être régulièrement mises à jour. Dans cette
perspective, il serait intéressant de mettre en place un système de veille.

SIEBER, Amandine 54
Bibliographie
ACTUALITÉINFORMATIQUE.FR, sans date. Data retention policy. Actualitéinformatique.fr
[en ligne]. [Consulté le 24 mai 2022]. Disponible à l’adresse :
https://actualiteinformatique.fr/data/data-retention-policy
BOSTON UNIVERSITY DATA SERVICES, [sans date]. Selecting a data repository. bu.edu
[en ligne]. [Consulté le 12 juin 2022]. Disponible à l’adresse :
https://www.bu.edu/data/share/selecting-a-data-repository/#openbu
BURGI, Pierre-Yves, 2019. Le Projet de Loi 12146 : Infrastructures et services numériques

pour la recherche. RESSI – Revue électronique suisse de science de l’information [en ligne].
N°20, décembre 2019. [Consulté le 21 mai 2022]. Disponible à l’adresse :
http://www.ressi.ch/num20/article_168
BURGI, Pierre-Yves, BLUMER, Eliane, MAKHLOUF-SHABOU, Basma, 2017. Research Data

Management in Switzerland: National Efforts to guarantee the sustainability of research
outputs. IFLA Journal [en ligne]. 1er mars 2017. Vol. 43, n°1, pp. 5-21. [Consulté le 24 mai
2022]. Disponible à l’adresse : https://journals.sagepub.com/doi/10.1177/0340035216678238
DOI : https://doi.org/10.1177/0340035216678238
BURGI, Pierre-Yves, BLUMER, Eliane, 2018. Le projet DLCM : gestion du cycle de vie des
données de recherche en Suisse. In : KELLER, Alice, UHL Susanne (éd.). Bibliotheken der
Schweiz: Innovation durch Kooperation: Festschrift für Susanna Bliggenstorfer anlässlich ihres
Rücktrittes als Direktorin der Zentralbibliothek Zürich. Berlin, Boston : De Gruyter Saur, pp.
235-249. Disponible à l’adresse :
https://www.degruyter.com/document/doi/10.1515/9783110553796-014/html DOI :
https://doi.org/10.1515/9783110553796-014
BURGI, Pierre-Yves, CAZEAUX, Hugues, ECHERNIER, Lydie, 2019. A versatile solution for
long-term preservation of research data: Data Life-Cycle Management: The Swiss Way. In
: Proceedings of iPRES - 16th International Conference on Digital Preservation, Amsterdam,
16-20 septembre 2019 [en ligne]. [Consulté le 23 mai 2022]. Disponible à l’adresse :
https://ipres2019.org/static/proceedings/iPRES2019.pdf
BURGI, Pierre-Yves, CAZEAUX, Hugues, JELICIC, André, 2020. OLOS.swiss. In : RESSI –

Revue électronique Suisse de Science de l’information, actes du Swiss Research Data Day,
Genève, Haute école de gestion, 22 octobre 2020 [en ligne]. 15 février 2022. [Consulté le 24
mai 2022]. Disponible à l’adresse : www.ressi.ch/sites/default/files/No_special_DLCM.pdf
CALLAGHAN, Sarah, TEDDS, Jonathan, KUNZE, JOHN, et al., 2014. Guidelines on

Recommending Data Repositories as Partners in Publishing Research Data. International
Journal of Digital Curation [en ligne]. 17 juin 2014. Vol. 9, n°1, pp. 152-163. [Consulté le 12
juin 2022]. Disponible à l’adresse : http://www.ijdc.net/article/view/9.1.152.
DOI: https://doi.org/10.2218/ijdc.v9i1.309
CENTRE INFORMATIQUE NATIONAL DE L’ENSEIGNEMENT SUPÉRIEUR, 2019. Le

modèle de référence : l’OAIS. Cines.fr [en ligne]. 3 avril 2019. [Consulté le 7 juin 2022].
Disponible à l’adresse : https://www.cines.fr/archivage/un-concept-des-problematiques/le-
modele-de-reference-loais/
CORRADO, Edward M., 2019. Repositories, Trust, and the CoreTrustSeal. Technical Services
Quarterly [en ligne]. 2 janvier 2019. Vol. 36, n° 1, pp. 61-72. [Consulté le 22 mai 2022].
Disponible à l’adresse :
https://www.tandfonline.com/doi/full/10.1080/07317131.2018.1532055
DOI 10.1080/07317131.2018.1532055.

SIEBER, Amandine 55
CORETRUSTSEAL, 2019a. CoreTrustSeal Trustworthy Data Repositories Requirements [en
ligne]. 20 novembre 2019. [Consulté le 8 avril 2022]. Disponible à l’adresse :
https://zenodo.org/record/3638211. DOI : 10.5281/zenodo.3638211
CORE TRUSTSEAL, 2019b. CoreTrustSeal Trustworthy Data Repositories Requirements :

Extended Guidance 2020–2022 [en ligne]. 20 novembre 2019. [Consulté le 8 avril 2022].
Disponible à l’adresse : https://zenodo.org/record/3632533 DOI 10.5281/zenodo.3632533.
CORETRUSTSEAL, 2022. CoreTrustSeal [en ligne]. [Consulté le 24 juillet 2022]. Disponible à

l’adresse : https://www.coretrustseal.org/
CONZETT, Philipp, 2021. CoreTrustSeal Certification of DataverseNO: Lessons learned and

impact. In : The online Dataverse Community Meeting 2021, Université de Harvard,
Cambridge, MA, Etats-Unis, 14-17 juin 2021 [Présentation PowerPoint]. [Consulté le 24 mai
2022]. Disponible à l’adresse : https://munin.uit.no/handle/10037/21592
DATA LIFE-CYCLE MANAGEMENT, 2020. Data life-cycle management [en ligne]. [Consulté
le 24 juillet 2022]. Disponible à l’adresse : https://www.dlcm.ch/
DEUTSCHE INITIATIV FÜR NETZWERKINFORMATION E. V., sans date. Dini.de [en ligne].
[Consulté le 21 mai 2022]. Disponible à l’adresse : https://dini.de/
DEUTSCHE INITIATIV FÜR NETZWERKINFORMATION E. V. 2020. DINI Certificate for Open

Access Repositories and Publication Services 2019. [en ligne]. Août 2020. [Consulté le 22 mai
2022]. Disponible à l’adresse : https://edoc.hu-berlin.de/handle/18452/22465.
DIGITAL PRESERVATION COALITION, 2015. Institutional policies and strategies. Digital

Preservation Handbook [en ligne]. 2ème édition. [Consulté le 9 juin 2022]. Disponible à
l’adresse : https://www.dpconline.org/handbook/institutional-strategies/institutional-policies-
and-strategies
DIN - GERMAN INSTITUTE FOR STANDARDIZATION, 2021. DIN - German Institute for
Standardization [en ligne]. [Consulté le 2 mai 2022]. Disponible à l’adresse :
https://www.din.de/en
DOBRATZ, Susanne et SCHOLZE, Frank, 2006. DINI institutional repository certification and
beyond. Library Hi Tech [en ligne]. 28 avril 2006. Vol. 24, n° 4, pp. 583-594. [Consulté le 22
mai 2022]. Disponible à l’adresse :
https://www.emerald.com/insight/content/doi/10.1108/07378830610715446/full/html.
DOI http://dx.doi.org/10.1108/07378830610715446.
DONALDSON, Devan Ray, 2020. Certification information on trustworthy digital repositories

websites: A content analysis. PLoS ONE [en ligne]. 9 décembre 2020. Vol. 15, n°12. [Consulté
le 23 mai 2022]. Disponible à l’adresse :
https://journals.plos.org/plosone/article?id=10.1371/journal.pone.0242525. DOI :
https://doi.org/10.1371/journal.pone.0242525
DONALDSON, Devan Ray, DILLO, Ingrid, DOWNS, Robert et RAMDEEN, Sarah, 2017. The
Perceived Value of Acquiring Data Seals of Approval. International Journal of Digital Curation
[en ligne]. 29 décembre 2017. Vol. 12, n° 1, p. 130-151. [Consulté le 22 mai 2022]. Disponible
à l’adresse : http://www.ijdc.net/article/view/481. DOI 10.2218/ijdc.v12i1.481
DOWNS, Robert R., 2021. Improving Opportunities for New Value of Open Data : Assessing
and Certifying Research Data Repositories. Data Science Journal [en ligne]. 21 janvier 2021.
Vol. 20, n°1. [Consulté le 8 juin 2022]. Disponible à l’adresse :
https://datascience.codata.org/articles/10.5334/dsj-2021-001/ DOI : http://doi.org/10.5334/dsj-
2021-001

SIEBER, Amandine 56
EUROPEAN FRAMEWORK FOR AUDIT AND CERTIFICATION OF DIGITAL
REPOSITORIES, 2010. TrustedDigitalRepository.eu [en ligne]. [Consulté le 23 mai 2021].
Disponible à l’adresse : http://trusteddigitalrepository.eu/Welcome.html
FOOT, Mirjam M., 2013. The British Library Preservation Advisory Centre : Building a
preservation policy [en ligne]. mai 2013. [Consulté le 13 juin 2022]. Disponible à l’adresse :
https://www.bl.uk/britishlibrary/~/media/bl/global/conservation/pdf-guides/building-a-
preservation-policy.pdf.
GENOVA, Françoise, 2019. La certification des entrepôts de données. [document PDF].

Support de présentation dans le cadre d’une intervention à l’Observatoire astronomique de
Strasbourg. 11-12 septembre 2019. [en ligne]. [Consulté le 24 mai 2022]. Disponible à
l’adresse
https://projects.irap.omp.eu/attachments/download/16107/La%20Certification%20des%20ent
rep%C3%B4ts%20de%20donn%C3%A9es_AtelierJanvier2021.pdf
GIARETTA, David, CONRAD, Mark, GARRETT, John, et al., 2011. Audit and Certification
Process for Digital Repositories. In : Proceedings of the PV2011 Conference, Ensuring Long-
Term Preservation and Adding Value to Scientific and Technical Data, Toulouse, France, 15-
17 novembre 2011 [en ligne]. [Consulté le 23 mai 2022]. Disponible à l’adresse :
http://vds.cnes.fr/manifestations/PV2011/files/fullpaper/FP_PV-027.pdf
GO FAIR, sans date. FAIR Principles [en ligne]. [Consulté le 9 juin 2022]. Disponible à
l’adresse : https://www.go-fair.org/fair-principles/
GUIRLET, Marielle, 2020. Guide décisionnel et vade-mecum pour la mise à disposition d’un
dépôt de données recherche ouvertes en Suisse [en ligne]. Genève : Haute Ecole de Gestion
de Genève. Travail de Master. [Consulté le 9 juin 2022]. Disponible à l’adresse :
https://sonar.ch/hesso/documents/315086
KADEN, Ben, 2019. Pourquoi les données de recherche ne sont-elles pas publiées ? Études
de communication. Langages, information, médiations [en ligne]. 1 juin 2019. N° 52,
pp. 137-146. [Consulté le 12 juin 2022]. Disponible à l’adresse :
https://journals.openedition.org/edc/8783. DOI 10.4000/edc.8783.
L’HOURS, Hervé, KLEEMOLA, Mari et DE LEEUW, Lisa, 2019. CoreTrustSeal : Froma

academic collaboration to sustainable services. IASSIST QUARTERLY [en ligne]. 10 mai
2019. Vol. 43, n°1, pp. 1-17. [Consulté le 23 mai 2022]. Disponible à l’adresse :
https://iassistquarterly.com/index.php/iassist/article/view/936. DOI :
https://doi.org/10.29173/iq936
LIN, Dawei, CRABTREE, Jonathan, DILLO, Ingrid, et al., 2020. The TRUST Principles for
digital repositories. Scientific Data [en ligne]. 14 mai 2020. Vol. 7, n° 1, pp. 144. [Consulté le
12 juin 2022]. Disponible à l’adresse : https://www.nature.com/articles/s41597-020-0486-7
DOI 10.1038/s41597-020-0486-7.
LINDLAR, Michelle, SCHWAB, Franziska, 2018. All that work… for what? Return on
Investment for Trustworthy Archive Certification Processes – a Case Study. In : Mc GOVERN,
Nance, WHITESIDE, Ann (éd.), Proceedings of the 15th International Conference on Digital
Preservation, iPRES 2018, Boston, MA, USA, 24-28 septembre 2018 [en ligne]. [Consulté le
24 mai 2022]. Disponible à l’adresse : https://phaidra.univie.ac.at/view/o:922206.
DOI: 10.17605/OSF.IO/8A3SC
LYLE, Jared, 2019. ICPSR and CoreTrustSeal : Repository Certification Experiences and
Opportunities. In : Networks of Asian Social Science Data Archive (NASSDA) meeting, Tokyo,
Japon, 25 janvier 2019. [Présentation PowerPoint]. [Consulté le 24 mai 2022]. Disponible à
l’adresse :

SIEBER, Amandine 57
https://www.researchgate.net/publication/353636118_ICPSR_and_CoreTrustSeal_Repositor
y_Certification_Experiences_and_Opportunities
MAKHLOUF SHABOU, Basma, 2017. Training, Consulting and Teaching for Sustainable
Approach for developing Research Data Life-Cycle Management expertise in Switzerland. In :
INFuture2017, 6th International Conference, Zagreb, Croatie, 8-11 novembre 2017 [en ligne].
pp. 79-86. [Consulté le 24 mai 2022]. Disponible à l’adresse : https://arodes.hes-
so.ch/record/2569/usage DOI:10.17234/INFUTURE.2017.9
MAKHLOUF SHABOU, Basma, ECHERNIER, Lydie, 2017. La gouvernance du cycle de vie

des données de la recherche en Suisse : transfert et pérennisation. La Gazette des archives
[en ligne]. N°246. [Consulté le 21 mai 2022]. Disponible à l’adresse :
https://www.persee.fr/doc/gazar_0016-5522_2017_num_246_2_5497. DOI
: https://doi.org/10.3406/gazar.2017.5497
MAKHLOUF SHABOU, Basma, 2019. An Information Governance Policy is required for my

Institution, what to do? Practical Method and Tool Enabling Efficient Management for
Corporate Assets. In : KATUU, Shadrack (éd), 2019. Diverse Applications and Transferability
of Maturity Models. Hershey, PA: IGI Global. ISBN 9781522570806. http://doi:10.4018/978-
1-5225-7080-6
MAKHLOUF SHABOU, Basma, NOBS, Gregory, NICOLET, Aurèle, 2019. Analyse de
politiques de gouvernance informationnelle : rapport de recherche [en ligne]. 26 juin 2019.
[Consulté le 12 juillet 2022]. Disponible à l'adresse : https://arodes.hes-
so.ch/record/3773?ln=fr
MAKHLOUF SHABOU, Basma, 2021-2022. Risques et risques informationnels : Typologies

et concepts [document PDF]. Support de cours : Cours « M9 Gouvernance des données »,
Haute école de gestion de Genève, filière information documentaire, année académique 2021-
2022.
MC GOVERN, Nancy, STUCHELL, Lance, 2014. Disaster Planning Policy Model. Digital
Preservation Management [en ligne]. Janvier 2014. [Consulté le 8 juillet 2022]. Disponible à
l’adresse : http://dpworkshop.org/workshops/management-tools/disaster-
preparedness/policy.html
MC GOVERN, Nancy, 2014. Digital Curation and Preservation Framework: outline. Digital
Preservation Management [en ligne]. Version 3.0, septembre 2014. [Consulté le 19 juin 2022].
Disponible à l’adresse : http://dpworkshop.org/workshops/management-tools/policy-
framework/model-document.html
MAYERNIK, Matthew S., BRESEMAN, Kelsey, DOWNS, Robert R., et al., 2020. Risk
assessment for scientific data. Data Science Journal [en ligne]. Vol. 19, n° 1, p. 10. [Consulté
le 11 juillet 2022]. Disponible à l’adresse : https://datascience.codata.org/articles/10.5334/dsj-
2020-010/#. DOI: http://doi.org/10.5334/dsj-2020-010
NATIONAL LIBRARY OF SCOTLAND, 2019. Operational Risk Management Framework and

Procedures [en ligne]. Octobre 2019. [Consulté le 10 juillet 2022]. Disponible à l’adresse :
https://www.nls.uk/media/cldjyqc2/2019-10-risk-management-framework.pdf
NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, sans date. Disaster recovery

plan [en ligne]. [Consulté le 24 mai 2022]. Disponible à l’adresse :
https://csrc.nist.gov/glossary/term/disaster_recovery_plan
NESTOR, 2019. Einreichungsformular zur Erlangung des nestor-Siegels für

vertrauenswürdige digitale Langzeitarchive [en ligne]. 18 avril 2019. [Consulté le 20 mai 2022].

SIEBER, Amandine 58
https://www.langzeitarchivierung.de/Webs/nestor/SharedDocs/Downloads/DE/Zertifizierung/
Einreichungsformular-leer-DE.html?nn=182192
NESTOR-ARBEITSGRUPPE ZERTIFIERUNG, 2019. Erläuterungen zum nestor-Siegel für

vertrauenswürdige digitale Langzeitarchive [en ligne]. Version 2.1, nestor-materialien 17.
[Consulté le 20 mai 2022]. Disponible à l’adresse : https://d-nb.info/1189191830/34
NESTOR, sans date. nestor-Seal. nestor [en ligne]. [Consulté le 20 mai 2022]. Disponible à
l’adresse :
https://www.langzeitarchivierung.de/Webs/nestor/EN/Services/nestor_Siegel/nestor_siegel_n
ode.html
ORGANISATION DE COOPÉRATION ET DE DÉVELOPPEMENT ÉCONOMIQUES, 2007.

Principes et lignes directrices de l’OCDE pour l’accès aux données de la recherche financée
sur fonds publics [en ligne]. [Consulté le 26 juin 2022]. Disponible à l’adresse :
http://www.oecd.org/fr/sti/inno/38500823.pdf
OFFICE QUÉBÉCOIS DE LA LANGUE FRANÇAISE, 2008. Evaluation des risques. Grand

dictionnaire terminologique [en ligne]. [Consulté le 9 juin 2022]. Disponible à l’adresse :
https://gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=26542094
OFFICE QUÉBÉCOIS DE LA LANGUE FRANÇAISE, 2014. Science ouverte. Grand

dictionnaire terminologique [en ligne]. [Consulté le 9 juin 2022]. Disponible à l’adresse :
OFFICE QUÉBÉCOIS DE LA LANGUE FRANÇAISE, 2018. Certification. Grand dictionnaire

terminologique [en ligne]. [Consulté le 9 juin 2022]. Disponible à l’adresse :
OLOS, 2022. OLOS.swiss [en ligne]. [Consulté le 24 juillet 2022]. Disponible à l’adresse :
https://olos.swiss/
ORGANISATION INTERNATIONALE DE NORMALISATION, 2012a. Space data and

information transfer systems — Audit and certification of trustworthy digital repositories.
Genève : ISO, février 2012, ISO/IEC 16363.
ORGANISATION INTERNATIONALE DE NORMALISATION, 2012b. Space data and

information transfer systems – Open archival and information system (OAIS) – Referenced
model. 2ème édition. Genève : ISO, Septembre 2012, ISO/IEC 14721.
ORGANISATION INTERNATIONALE DE NORMALISATION, 2014a. Information et

documentation – Evaluation du risque pour les processus et systèmes d’enregistrement. 1ère
édition. Genève : ISO, mars 2014, ISO/TR 18128.
ORGANISATION INTERNATIONALE DE NORMALISATION, 2014b. Space data and

information transfer systems – Requirements for bodies providing audit and certification of
candidate trustworthy digitale repositories. Genève : ISO, novembre 2014, ISO/IEC 16919.
ORGANISATION INTERNATIONALE DE NORMALISATION, 2017. Information technology –

Governance IT – Governance of data – Part 1: Application of ISO/IEC 38500 to the governance
of data. 1ère édition. Genève : ISO, avril 2017, ISO/IEC 38505-1.
ORGANISATION INTERNATIONALE DE NORMALISATION, 2018a. Management du risque

– lignes directrices. 2ème édition. Genève : ISO, février 2018, ISO 31000.
ORGANISATION INTERNATIONALE DE NORMALISATION, 2018b. Information technology

– Governance IT – Governance of data – Part 2: Implications of ISO/IEC 38505-1 for data
management. 1ère édition. Genève : ISO, juin 2018, ISO/IEC TR 38505-2
SIEBER, Amandine 59
ORGANISATION INTERNATIONALE DE NORMALISATION, 2018c. Technologies de
l’information – Techniques de sécurité – Gestion des risques liés à la sécurité de l’information.
3ème édition. Genève : ISO, juillet 2018, ISO/IEC 27005.
ORGANISATION INTERNATIONALE DE NORMALISATION, 2019. Management du risque –

Techniques d’appréciation du risque. 2ème édition. Genève : ISO, juin 2019, ISO/IEC 31010
ORGANISATION INTERNATIONALE DE NORMALISATION, 2022. Information et

documentation – Gouvernance de l’information – Concepts et principes. 1ère édition. Genève :
ISO, mai 2022, ISO/IEC 24143.
PTAB - PRIMARY TRUSTWORTHY DIGITAL REPOSITORY AUTHORISATION BODY LTD,

2022. ISO16363.org [en ligne]. [Consulté le 22 mai 2022]. Disponible à l’adresse :
http://www.iso16363.org/
PAMPEL, Heinz et KINDLING, Maxi, 2019. Le potentiel des infrastructures d’information pour
les données de la recherche. Études de communication. Langages, information, médiations
[en ligne]. 1 juin 2019. N° 52, pp. 27-50. [Consulté le 12 juin 2022]. Disponible à l’adresse :
https://journals.openedition.org/edc/8549. DOI 10.4000/edc.8549.
RESEARCH LIBRARIES GROUP, 2002. Trusted Digital Repositories: Attributes and

Responsibilities [en ligne]. Mountain View : RLG, Inc., Mai 2002. [Consulté le 12 juin 2022].
https://www.oclc.org/content/dam/research/activities/trustedrep/repositories.pdf
RICKARDS, Lesley, VARDIGAN, Mary, DILLO Ingrid, et al., 2016. DSA-WDS Partnership:
Streamlining the landscape of data repository certification. In : SciDataCon 2016, Denver, CO.,
Etats-Unis, 12 septembre 2016 [en ligne]. [Consulté le 22 mai 2022]. Disponible à l’adresse :
https://zenodo.org/record/252417. DOI : https://doi.org/10.5281/zenodo.252417
SCHÖPFEL, Joachim et MÜLLER, Uwe, 2014. Evaluer la qualité des archives ouvertes : le
certificat DINI. Partnership: The Canadian Journal of Library and Information Practice and
Research [en ligne]. 2 avril 2014. Vol. 9, n° 1. [Consulté le 24 mai 2022].
DOI 10.21083/partnership.v9i1.2733. Disponible à l’adresse :
https://journal.lib.uoguelph.ca/index.php/perj/article/view/2733
SCHUMANN, Natascha, 2014. Tried and Trusted, Experiences with Certification Processes at
the GESIS Data Archive. IASSIST Quarterly [en ligne]. 20 mars 2014. Vol 36, n°3-4, pp. 23-
27. [Consulté le 12 juin 2022]. Disponible à l’adresse :
https://iassistquarterly.com/index.php/iassist/article/view/474.
DOI: https://doi.org/10.29173/iq474
SIERMAN, Barbara et WATERMAN, Kees, 2017. How the Dutch prepared for certification. In
: iPRES 2017, 14th International Conference on Digital Preservation, Kyoto, Japon, 25-29
septembre 2017 [en ligne]. [Consulté le 20 mai 2022]. Disponible à l’adresse : http://www-
archive.cseas.kyoto-u.ac.jp/ipres2017.jp/papers/index.html
SMALLWOOD, Robert F., 2014a. Information governance: concepts, strategies and best
practices. Hoboken : Wiley. Wiley CIO series. ISBN 9781118218303.
SMALWOOD, Robert F., 2014b. Defining the Differences Between Information Governance,
IT Governance, & Data Governance. aiim community [en ligne]. 18 août 2014. [Consulté le 22
mai 2022]. Disponible à l’adresse : http://community.aiim.org/blogs/robert-
smallwood/2014/08/18/defining-the-differences-between-information-governance-it-
governance--data-governance

SIEBER, Amandine 60
STANFORD UNIVERITY, sans date. Retention of and Access to Research Data.
Doresearch.stanford.edu [en ligne]. [Consulté le 5 juin 2022]. Disponible à l’adresse :
https://doresearch.stanford.edu/policies/research-policy-handbook/conduct-
research/retention-and-access-research-data
SWISSUNIVERSITIES, 2022. Swissuniversities [en ligne]. [Consulté le 24 juillet 2022].

Disponible à l’adresse : https://www.swissuniversities.ch/fr/?r=1
THE DATA GOVERNANCE INSTITUTE, 2022. Datagovernance.com [en ligne]. [Consulté le

8 juillet 2022]. Disponible à l’adresse : https://datagovernance.com/
THE NATIONAL ARCHIVES, 2017. Risk Assessment Handbook [en ligne]. Février 2017.
[Consulté le 10 juillet 2022]. Disponible à l’adresse :
https://cdn.nationalarchives.gov.uk/documents/information-management/Risk-Assessment-
Handbook.pdf
TOAR – TROPOSPHERIC OZONE ASSESSMENT REPORT, 2021. TOAR Data Technical

Guide n°1 : TOAR Data Centre Infrastructure Setup and Admin [document PDF]. Version 1.0.
10 septembre 2021.
TRUSTED DIGITAL REPOSITORY, sans date. TrustedDigitalRepository.eu [en ligne].

[Consulté le 22 mai 2022]. Disponible à l’adresse :
http://trusteddigitalrepository.eu/Welcome.html
VERMAATEN Sally, LAVOIE, Brian, CAPLAN, Priscilla, 2012. Identifying Threats to

Successful Digital Preservation: The SPOT Model for Risk Assessment. D-Lib Magazine [en
ligne]. Vol. 18, n°9/10, septembre/octobre 2012. [Consulté le 9 juillet 2022]. Disponible à
l’adresse : http://www.dlib.org/dlib/september12/vermaaten/09vermaaten.html
doi:10.1045/september2012-vermaaten
WILKINSON Mark, et al., 2016. The FAIR Guiding Principles for scientific data management
and stewardship. Scientific Data [en ligne]. 15 mars 2016. Vol. 3. [Consulté le 9 juin 2022].
Disponible à l’adresse : https://www.nature.com/articles/sdata201618#citeas. DOI
10.1038/sdata.2016.18

SIEBER, Amandine 61
Annexe 1 : Overview of CTS Certification Requirements

SIEBER, Amandine 62
Annexe 2 : Extrait de la grille utilisée pour l’analyse de
l’échantillon des preservation policies

SIEBER, Amandine 63
SIEBER, Amandine 64
Annexe 3 : Preservation Policy

SIEBER, Amandine 65
SIEBER, Amandine 66
SIEBER, Amandine 67
SIEBER, Amandine 68
SIEBER, Amandine 69
SIEBER, Amandine 70
SIEBER, Amandine 71
SIEBER, Amandine 72
SIEBER, Amandine 73
SIEBER, Amandine 74
Annexe 4 : Risk Assessment Framework and Disaster
Recovery Policy

SIEBER, Amandine 75
SIEBER, Amandine 76
SIEBER, Amandine 77
SIEBER, Amandine 78
SIEBER, Amandine 79
SIEBER, Amandine 80
SIEBER, Amandine 81
SIEBER, Amandine 82
SIEBER, Amandine 83
SIEBER, Amandine 84
SIEBER, Amandine 85
Annexe 5 : Data Governance Policy

SIEBER, Amandine 86
SIEBER, Amandine 87
SIEBER, Amandine 88
SIEBER, Amandine 89
SIEBER, Amandine 90
SIEBER, Amandine 91

Sieber Amandine TM 2022

Transféré par

Droits d'auteur :

Formats disponibles

Sieber Amandine TM 2022

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Sieber Amandine TM 2022

Transféré par

Droits d'auteur :

Formats disponibles

Analyse et aide à la conformité des exigences

pour l’obtention de la certification

Travail de master réalisé par :

Genève, le 15 août 2022

La professeure Basma Makhlouf Shabou, directrice du mémoire, pour ses conseils

Mme Eliane Blumer, experte, pour ses remarques pertinentes, constructives et

Séb, pour sa patience, son soutien, et son amour.

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

Finalement, l’analyse du contexte de l’association a permis d’émettre des

Mots-clés : dépôts de données, certification, OLOS, CoreTrustSeal, données de la

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

1.2 Objectif principal

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

N° Objectif Méthode(s) de Instrument(s)de Livrable(s) /

1 Revue de la Recherche Grille de lecture Revue de littérature

2 Identifier et réaliser Analyse Grille d’analyse Création des outils

3 Identifier et réaliser Analyse Grille de lecture Création des outils

4 Réalisation d’une Recherche Grille de lecture Politique de

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

1.4.1 Données de la recherche / données de la recherche ouverte

1.4.2 Dépôts de données de la recherche / Dépôts de données de la recherche

1.4.4 Science ouverte

1.4.5 Modèle OAIS

Le modèle identifie les rôles principaux des acteurs (producteur, management,

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

(Burgi et al. 2020)

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

Tableau 2 : Grille de lecture utilisée pour la revue de littérature

2.2 Certifications des dépôts de données la recherche : pourquoi ?

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

2.2.2 Les bailleurs de fonds

2.2.3 Les éditeurs

• Permettre l’accès à l’ensemble des données

2.2.5 Les dépôts

Tableau 3 : Récapitulatif des principes TRUST

(Lin et al. 2020)

La certification apporte une contribution objective et importante à la question de la confiance

La certification permet également aux dépôts de faire une autoévaluation et de déterminer

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

2.2.6 Retours d’expérience : bénéfices des processus de certification

Tableau 4 : Récapitulatif des bénéfices de la certification

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

2.3 Panorama des certifications existantes

• Basic Certification : Data Seal of Approval (DSA)

Le processus de certification est assez simple. Le candidat soumet un formulaire de

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

Figure 2 : Schéma récapitulatif du processus de certification ISO 16363

On peut résumer le processus en 4 étapes (Lindlar et Schwab 2018) :

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

Le CTS est composé de 16 critères (requirements en anglais) qui couvrent 3 dimensions

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

2.4 Certification de OLOS par CoreTrustSeal

Certification CoreTrustSeal pour OLOS : analyse et aide à la conformité des exigences

2.4.1 Spécifications de OLOS à prendre en compte en vue d’une certification