Dossiers numériques confidentiels et répartis Pierre Maret — Chirine Ghédira LISI - Laboratoire d’Ingénierie des Systèmes d’Information INSA, Bât. Blaise Pascal F-69621 Villeurbanne cedex [email protected] RÉSUMÉ.

Considérant que les entreprises et les organisations produisent, utilisent et font vivre des dossiers numériques, nous nous intéressons dans cet article à l’usage des dossiers et en particulier au problème du partage de ces dossiers entre partenaires autonomes. Nous considérons que les dossiers échangés sont d’ordre confidentiel, c’est-à-dire qu’ils doivent être disponibles pour un nombre limité et ciblé de personnes ou de structures. Après un positionnement et un rapide état de l’art dans le domaine des systèmes distribués et de la communication via XML entre systèmes distribués, l’article propose une solution générale de capitalisation et de réutilisation de dossiers confidentiels entre sites autonomes. Cette solution est basée sur la mise en place d’une hiérarchie de serveurs et sur une communication par messages XML respectant la recommandation Dublin Core. Un prototype a été réalisé dans le domaine du dossier médical. Les scénarios mettent en jeu les cartes d’authentification des personnels de santé (CPS) et des patients (Vital). ABSTRACT. Companies and organisations produce, use and up-date digital records. We address in this paper the problem of sharing confidential digital records in-between autonomous partners. We propose a solution based on a hierarchy of servers and on XML messages following the Dublin Core recommandation. A prototype system for medical records exchange is presented. MOTS-CLÉS :

dossier numérique, partage, sécurité, autonomie, internet, serveurs, fédération, XML, Dublin Core, application médicale.

KEYWORDS: Digital record, sharing, security, autonomy, internet, servers, federation, XML, Dublin core, medical application.

Document numérique. Volume 6 – n° 1-2/2002, pages 47 à 59

48

DN – 6/2002. Les dossiers numériques

1. Introduction La généralisation de l’informatisation des organisations (entreprise, administrations, hôpitaux, etc.) et du partage d’informations sont des phénomènes qui ont fortement été dopés par l’arrivée des micro-ordinateurs d’une part, et d’autre part par le développement d’internet. De ce fait, la constitution et l’usage de dossiers numériques sont devenus des réalités. Parmi les usages, le besoin naturel de diffusion des dossiers est apparu, impliquant un certain nombre de contraintes organisationnelles ou techniques. A ce titre, la diffusion de dossiers contenant des informations sensibles, c’est-à-dire accessibles à un nombre limité et ciblé de destinataires pose les problèmes de l’identification des utilisateurs et de la confidentialité. L’objet de cet article est de proposer une solution générale de partagecapitalisation et réutilisation – de dossiers numériques de type confidentiels entre sites autonomes. Nous entendons par dossier numérique un ensemble de pièces (fichiers, données structurées et semi-structurées) éventuellement dispersées sur plusieurs sites et traitant d’un sujet délimité. Nous prendrons l’exemple d’un dossier médical [Char 99, Brun 00, Lafo 02] : il est constitué de l’ensemble des examens et résultats d’examens, comptes rendus d’hospitalisation, etc. concernant un patient ; il est réparti dans les multiples centres de soins visités par le patient, et ces centres de soins ne se connaissent pas nécessairement ; son contenu est confidentiel et seul des médecins et le patient sont autorisés à le consulter.

2. Situation du problème Plusieurs configurations répondent au besoin général de partage de dossiers numériques. Les configurations types peuvent être décrites ainsi : – un site web sur internet permet d’accéder à des informations d’ordre public ; – un intranet permet de partager des informations au sein d’une même organisation. L’information est disponible pour tous les acteurs de l’organisation ; – un extranet permet d’ouvrir partiellement l’intranet à des consultations extérieures (par exemple à des partenaires privilégiés pour l’accès à des informations logistiques). Il existe cependant des organisations qui nécessitent des besoins d’échanges d’informations ne pouvant entrer dans les configurations précitées. En effet, certaines entreprises font partie de communautés ou de réseaux dans lesquelles chaque site est indépendant du point de vue légal ainsi que du point de vue de son organisation interne (mode de stockage des informations, identification des dossiers, création/modification/effacement des informations, etc.). Ces entreprises peuvent être amenées à travailler sur des dossiers communs et disposent donc d’informations qui, sans être publiques, peuvent être délivrées à des partenaires au sein d’une communauté temporaire ou durable. Cette configuration peut se rencontrer par

Dossiers confidentiels et répartis

49

exemple lors de regroupements d’entreprises pour de grands projets ou des veilles technologiques, mais aussi dans le domaine médical où les acteurs de la santé partagent des dossiers patients, etc. Dans ces exemples, les pièces des dossiers sont déclarées partageables par leur propriétaire, mais leur localisation n’est pas connue a priori, la liste des sites autorisés à les consulter n’est pas établie, non plus que celle des dossiers disponibles. Dans cette perspective, nous présentons dans la partie suivante un état de l’art rapide sur le partage d’informations distribuées : les principes, les types de systèmes distribués et la communication entre ces systèmes, en particulier l’intérêt de XML et la recommandation Dublin Core.

3. Partage d’informations distribuées 3.1. Principes du partage d’informations Le partage d’informations repose sur des systèmes informatiques de données distribuées. Il doit prendre en compte les contextes locaux de chaque site ainsi que le cadre dans lequel ce partage est placé : degré d’autonomie des sites, hétérogénéité des systèmes et des schémas de données, rôle d’une instance de centralisation, etc. Les systèmes de données distribuées peuvent se voir assigner les tâches d’intégration de données séparées, de séparation de données groupées (partitionnement) ou encore de réplication de données (publication). Les critères de séparation ou de réplication utilisés peuvent être la date de création d’une information, le lieu de stockage, l’origine de la (des) donnée(s), l’exploitation envisagée, etc. La réplication des données peut être, selon les cas, partielle ou complète. Le partitionnement peut se faire horizontalement ou verticalement (aussi appelé fragmentation). Un partitionnement horizontal, correspondant dans un modèle relationnel à une distribution des lignes, stocke sur chaque site les mêmes types de données. Un partitionnement vertical, correspondant en relationnel à une distribution des colonnes, stocke sur chaque site des données complémentaires. Le principe d’un partage d’informations peut être divisé en deux processus : – la diffusion d’informations, permettant aux autres systèmes de connaître l’existence d’une information et d’y accéder si nécessaire. Il s’agit du point de vue d’un système de données distribuées d’un processus de réplication de données (publication) ; – la consultation d’information réparties, processus symétrique du premier, consistant à rechercher des informations et à y accéder. Il s’agit du point de vue d’un système de données distribuées d’un processus d’intégration.

50

DN – 6/2002. Les dossiers numériques

3.2. Typologie de systèmes distribués Le partage d’informations distribuées nous amène a dresser une typologie des systèmes de partage de données distribuées. Les systèmes dits traditionnels mettent en œuvre des interfaces d’accès aux données. Chaque interface est dédiée à une source de données [Jon 94, Coh 99]. Ces systèmes paraissent aujourd’hui limités dans des contextes « très distribués » tels que l’internet le permet : beaucoup d’applications s’appuient sur des données provenant de nombreuses sources, ce qui tend à devenir contradictoire avec un maintien global de la cohérence. – les systèmes fédérés permettent plus de souplesse par l’introduction d’autonomie pour chaque composante distribuée [Mar 92]. Quatre clauses détermines l’autonomie [Gan 95] : - liberté d’action : aucune composante de la fédération ne peut se voir imposer l’exécution d’une action, - liberté de partage : chaque composante détermine les informations ou les services qu’elle souhaite mettre à disposition, - modèle de données autonome : il n’y a pas de modèle de données imposé dans la fédération ; – liberté d’association : une composante peut décider librement de rejoindre ou de quitter la fédération. Les systèmes fortement couplés (systèmes fédérés ne respectant pas la liberté d’association) sont relativement rigides car ils impliquent une gestion centralisée des modèles de données. Les évolutions locales de ces modèles sont donc délicates. Les systèmes faiblement couplés (systèmes fédérés respectant toutes les clauses) sont plus délicats à implémenter. Chaque site doit en particulier veiller à ce que l’image qu’il a des systèmes de la fédération (les métadonnées) soit à jour. En effet, il n’existe pas dans ce cas d’autorité centralisatrice (un modèle de données global) indiquant par exemple qu’un site est modifié ou même qu’il quitte la fédération.

3.3. Communication entre systèmes L’échange d’informations entre systèmes est désigné par le terme général EDI (échange de données informatisées). L’EDI consiste à des échanges de messages dont la structure et la sémantique ont été préalablement définies entre partenaires. Avec internet et XML, ce même type de communication est généralisé : internet permet une communication point à point depuis tout poste relié à un fournisseur d’accès, et XML permet la définition de champs (repérés par des balises), donc la description de messages structurés quelconques. Dans un but d’unification des types de messages et d’entente préalable sur la sémantique des champs, le groupe Dublin Core [Dub 01] a proposé une

Dossiers confidentiels et répartis

51

recommandation générale. Celle-ci consiste en la définition de champs balisés et d’une sémantique attachée à chacun. Les intitulés des champs sont donnés dans le tableau ci-après, classés selon 3 catégories : l’information (le contenu), la propriété intellectuelle et des caractéristiques de l’information (instanciation). Contenu Couverture

Propriété intellectuelle

Instanciation

Collaborateur

Date

Description

Créateur

Format

Type

Editeur

Identifiant

Relation

Droits

Langue

Source Sujet Titre

La recommandation Dublin Core est une aide précieuse pour l’échange de données entre partenaires autonomes et ne se connaissant pas a priori, car elle sert de référentiel commun. Si certains éléments de messages peuvent être à préciser entre acteurs (par exemple l’utilisation d’une classification dans un domaine donné), il n’en demeure pas moins qu’à travers le respect de la Dublin Core les échanges peuvent être automatisés entre systèmes hétérogènes sans autre mise au point préalable.

4. Proposition pour la capitalisation et réutilisation de dossiers confidentiels entre partenaires autonomes 4.1. Présentation générale La diffusion et la collecte de dossiers numériques dans le contexte décrit cidessus (section 2) met en jeu des acteurs pouvant jouer les rôles de producteur et de collecteur d’informations. Deux éléments contradictoires rendent ce partage d’informations délicat : l’autonomie des sites et le partage de dossiers entre eux. En effet, ce partage est nécessairement fondé sur une identification et une structuration partagée des dossiers (section 3). Nous basant sur le descriptif rapide des types de systèmes distribués (section 3.2), nous dirons que notre proposition consiste à réaliser un couplage faible de systèmes locaux autonomes, fédérés entre eux par une hiérarchie de serveurs (figure 1). Cette architecture et l’organisation qui l’accompagne ont l’avantage de permettre aux sites de rester maîtres des dossiers qu’ils détiennent (gestion, diffusion ciblée, etc.). En effet, comme nous le verrons, les serveurs de la hiérarchie qui fédère les sites diffuseurs/collecteurs de dossiers, ne stockent et ne diffusent que les

52

DN – 6/2002. Les dossiers numériques

références aux dossiers (identification, date de création, type de dossier, site diffuseur et adresse informatique). Ces serveurs sont appelés serveurs de références.

4.2. Les systèmes producteurs et collecteurs Les systèmes locaux sont des centres producteurs et collecteurs de dossiers. Ils sont autonomes dans leur organisation interne, même si des pratiques communes peuvent être mises en place au niveau de la fédération (mode de classification, identification unique de dossiers, etc.). Les centres sont identifiés dans la fédération auprès d’un serveur appelé serveur de références. Les centres transmettent à leur serveur les références aux informations qu’ils rendent disponibles aux membres de la fédération. Ils ne transmettent pas les informations elles-mêmes. Ainsi, ils restent maître de la diffusion effective.

Système 1

Hiérarchie de serveurs

Système 2

Base de données

Système 3

& Applications

Figure 1. Systèmes locaux et hiérarchie de serveurs

Pour la collecte d’informations, les centres adressent une demande à leur serveur associé en fournissant leur identification et la description de l’information (identifiant, mots-clés)1. Le serveur initie un processus (cf. ci-après) et fournit en retour les références aux informations répondant à la requête. Le centre demande ces informations aux centres détenteurs des dossiers concernés. La diffusion des

1. Nous avons également pris en compte le scénario d’urgence (urgences médicales ou autres cas) : l’identifiant du dossier n’est pas disponible mais des informations approximatives sont connues. Dans ce cas, et pour les personnes autorisées, une demande avec les informations connues est réalisée. Le ou les dossiers répondant à la demande sont présentés. L’utilisateur lève l’ambiguïté éventuelle en s’appuyant sur les informations reçues.

Dossiers confidentiels et répartis

53

informations se fait donc par les centres producteurs des informations vers les centres demandeurs.

4.3. Les serveurs de référence et la fédération Les serveurs de références sont les constituants de la fédération. Ils permettent le partage et la réutilisation des informations contenues dans les dossiers répartis dans les centres producteurs. Les éléments-clés de la fédération sont l’identification des dossiers ainsi que l’identification des centres producteurs/collecteurs. Une hiérarchie de serveurs est mise en place, permettant de répartir les volumes de données gérés et se basant par exemple sur des critères géographiques et numériques (nombre de dossiers, taille des dossiers, etc.). Chaque serveur de référence fédère soit plusieurs autres serveurs de références soit, au niveau le plus bas (niveau i) plusieurs centres diffuseurs/collecteurs d’information. Au niveau le plus haut (niveau 0), un serveur central gère l’inscription des centres et l’identification unique des dossiers. Un serveur de référence au niveau i fédère plusieurs centres et a pour rôle de stocker les références aux pièces d’un dossier. Les serveurs de références ne stockent pas les informations elles-mêmes (problème du volume et de la maîtrise de l’information par son producteur). Ils stockent des caractéristiques discriminantes (appelées « métadonnées ») : identification du dossier, date de l’information, statut de l’information, type de l’information, nom et adresse informatique du centre producteur. L’identification du dossier est, comme nous l’avons indiqué auparavant, prise en charge par une instance supérieure, constituant le niveau 0 de la fédération. Un serveur de niveau 1 recouvre alors, par exemple, une région géographique. Il est chargé de référencer un ensemble de dossiers, et ces références sont réparties sur des serveurs de niveau 2. Ce schéma est répété jusqu’aux serveurs de niveau i (la valeur de i dépendra du volume de données). Les serveurs de niveau i sont les serveurs de référence des centres producteurs/collecteurs. Un serveur de niveau i recevant une demande émise par un centre aura pour double tâche 1) de chercher dans sa propre base des réponses à la demande et 2) de diffuser à son serveur de niveau i-1 la demande afin qu’il fasse de même. Ce mode de diffusion permet de ne pas mettre en place un serveur unique de réponse aux requêtes (risquant de constituer un goulot d’étranglement). De plus, ce mode de diffusion permet d’utiliser de multiples serveurs pour de petites tâches (rapidité) et également de fournir en priorité des réponses concernant des données issues de centres proches géographiquement (c’est-à-dire groupés sur les mêmes serveurs de références de niveaux i et i-1). Les références aux données plus éloignées sont fournies éventuellement après une recherche passant par le niveau 1 et une redescente vers d’autres branches de la fédération.

54

DN – 6/2002. Les dossiers numériques

4.4. Communication Nous avons établi un protocole de dialogue entre sites, basé sur la recommandation Dublin Core (cf. section 3.3) [Bub 01]. L’utilisation de cette recommandation consiste à respecter une structure et une sémantique établies dans la définition des messages, dans le but de faciliter la démarche d’intégration de nouveaux sites dans la fédération. Les dialogues font intervenir les serveurs et les sites producteurs ou collecteurs d’information. Ce protocole permet d’une part à un site de s’inscrire dans la fédération et de diffuser les références d’un dossier sur la fédération, et d’autre part à un site collecteur de dialoguer avec la fédération pour adresser une requête. Le protocole permet également à des serveurs de la fédération de dialoguer entre eux pour propager une référence ou une requête. Enfin, le protocole permet à un site collecteur de dialoguer avec un site producteur pour demander un dossier. Ce dialogue est réalisé sous le couvert de la fédération. De façon à s’affranchir du problème de l’interopérabilité entre les systèmes et à faciliter l’intégration de nouveaux sites, tous les dialogues sont codés à l’aide de la norme XML. Les nouveaux sites n’ont ainsi pas à revoir leur architecture interne. Ils n’ont qu’à développer un module d’interfaçage entre leur système et la fédération, compatible avec la recommandation utilisée Dublin Core. L’intégration d’un nouveau centre dans la fédération nécessite d’une part son identification auprès du serveur de référence et d’autre part la mise en place dans ce centre d’un système de communication par message. De façon à faciliter cette intégration (assurer l’interopérabilité des systèmes), nous avons choisi de coder ces messages sous forme XML : les balises indiquent des métadonnées et permettent ainsi à tout système de développer son propre module d’intégration : décodage/codage des messages, traitements, envois de messages. L’ensemble des messages XML échangés a été spécifié et est repris dans le tableau ci-après. Message

Emetteur

Récepteur

Notification

Centre producteur

Fédération

Demande de références

Centre collecteur

Fédération

Référence à un dossier

Fédération

Centre collecteur

Demande d’une liste de dossiers

Centre collecteur

Fédération

Liste de dossiers

Fédération

Centre collecteur

d’un Centre collecteur

Centre producteur

Demande dossier

d’une

Pièce d’un dossier

pièce

Centre producteur

Centre collecteur

Le code XML suivant est un exemple d’utilisation de Dublin Core pour le message « Référence à un dossier » pour le cas d’un dossier médical. Nous avons choisi d’indiquer le nom du médecin dans le champ creator (sous réserve d’acceptation par la CNIL) et la clé du dossier (ID du patient dans ce cas) dans le

Dossiers confidentiels et répartis

55

champ title. Le champ description nous permet d’indiquer soit le type de dossier référencé, soit le type d’examen référencé. Le champ scheme indique la classification utilisée. Les champs format.medium et format.extend permettent de préciser d’une part le type de codage informatique du dossier référencé et d’autre part la taille du fichier. L’ensemble de ces éléments constitue les métadonnées et permet au destinataire du message de choisir de demander ou non le dossier référencé. Marcel Duprés 1455662 Référence à un dossier Examen ECG de M. Rémoulin 2001-10-12 2001-10-13 FR codification médicale Code dans la codification indiquée Access limited to physicians SCP-ECG 1.2 Mb < dc:identifier>URIhttp://serv.public.exam/Dmp/

4.5. Sécurité Une sécurité à la fois technologique et organisationnelle se doit d’accompagner l’architecture proposée. Nous ne traiterons ici que des aspects organisationnels, les aspects technologiques étant pris en charge soit par l’organisme chargé de l’acheminement des informations sur les réseaux, soit par les équipements des serveurs [Wac 02]. Du point de vue organisationnel, les éléments de sécurité sont les suivants : – identification des acteurs en relation : le serveur de référence connaît les centres dépendant de lui et vérifie leur identification ; – les serveurs de la fédération constituent un système fermé (pas d’accès depuis l’extérieur, hormis au niveau i, cf. point précédent) ; – pas de réplication des données (stockage par les centres producteurs) ; – diffusion uniquement sur demande explicite, avec identification du demandeur ; – échange par dialogue et non par accès distant aux bases de données.

56

DN – 6/2002. Les dossiers numériques

A cette liste nous proposons d’ajouter la mise en place d’un système de double clé permettant d’assurer la sécurité de la diffusion : chaque réponse d’un serveur de référence est accompagnée d’une clé unique. Elle est transmise également au détenteur de l’information qui ne transmet alors l’information qu’au demandeur présentant la même clé.

5. Prototype Le partage de dossiers numériques que nous proposons a été prototypé et nous a permis de simuler plusieurs sites alimentant et interrogeant une fédération de serveurs de références. Nous nous sommes placés pour cela dans un contexte médical, des centres de soins produisant et/ou collectant des dossiers médicaux de patients. Les acteurs sont donc les personnels soignants (avec une carte d’identification CPS), les dossiers sont les dossiers patients (avec une carte d’identification Vital) et les pièces des dossiers sont les résultats d’examens médicaux. Dans ce domaine, la tâche de sécurisation du réseau est prise en charge par le RSS (réseau santé sociale), concession d’état détenue par Cégétel-RSS.

Figure 2. Interface d’interrogation de la fédération Lors de l’insertion d’un nouvel examen dans la base de données d’un centre de soins, le processus de notification auprès de la fédération est automatisé par la mise en place de déclencheurs (avec demande de validation par le médecin). L’interrogation se fait depuis un centre de soins vers un serveur de références par l’expression de critères tels que l’identification du patient (numéro ou nom),

Dossiers confidentiels et répartis

57

spécialité médicale, période temporelle considérée (figure 2). Dans le cas d’urgences, un mot de passe propre aux personnel des urgences est demandé, de façon à limiter ce mode d’accès. Ici, le médecin des urgences lève l’ambiguïté d’homonymie à l’aide de l’adresse du patient. Après la recherche dans la fédération, le demandeur reçoit la liste des examens répondant à sa requête (figure 3). S’il demande d’en visualiser un, le message Demande d’examen est envoyé au centre de soins concerné (figure 4). En cas d’accord de sa part, l’examen est envoyé, avec éventuellement le logiciel spécialisé permettant sa visualisation (Viewer d’ECG2, Viewer d’image DICOM).

Figure 3. Interface de sélection des pièces du dossier à demander au centre producteur

Figure 4. Visualisation du résultat d’examen demandé et transmis avec son logiciel de visualisation

2. ECG : Electrocardiogramme.

58

DN – 6/2002. Les dossiers numériques

6. Conclusion Parmi les usages des dossiers numériques figure le besoin de partage de ceux-ci entre sites. Notre article s’est intéressé au partage de dossiers confidentiels entre sites autonomes. Nous nous sommes placés dans le contexte général d’organisations qui ne se connaissent pas nécessairement mais qui adhèrent à une communauté, un réseau, temporaire ou durable, commun de diffusion/collecte d’informations et qui partagent des dossiers communs et y apportent leur contribution. Ceci nous permet d’envisager la diffusion d’informations sensibles qui ne seront accessibles qu’aux destinataires autorisés. Nous proposons la mise en place d’une fédération de serveurs de références. Les entreprises adhèrent à cette fédération et dialoguent avec elle par messages XML respectant la recommandation Dublin Core pour la diffusion et la collecte d’informations. Cette solution permet d’éviter la remise en cause des systèmes d’information locaux. Notre proposition répond en particulier aux besoins d’échanges entre professionnels de santé partageant des dossiers médicaux. D’autres exploitations sont bien sûr envisageables. Nous pensons également que les applications visées peuvent développer de nouvelles fonctionnalités de partage d’information en exploitant des protocoles tels que SOAP pour l’appel de programmes distants [Cor 02].

7. Bibliographie [Bru 00] Brunie V., Bachimont B. et Morizet-Mahoudeaux P., « Modélisation des connaissances structurelles documentaires pour la conception d’un dossier médical », In Charlet et al. Ingénierie des connaissances, Evolutions et nouveaux défis. Eyrolle : Paris, 2000, p. 407-421. [Bub 01] Dublin Core Metadata Initiative, http://dublincore.org/index.shtml, 2001. [Cha 99] Charlet J., Daigne M. et Leroux V., « Ingénierie des patrimoines informels de l’établissement de Santé », Document numérique, 3 (3-4), 81-99. Numéro spécial Gestion des documents et gestion des connaissances. [Coh 99] COHERA Corporation. Performence Issues in a Federation System [On-line]. Cohera, 1999 [15.01.2000], available from internet: http://www.cohera.com/presskit/perfromanceissue.pdf [Cor 02] Cordonnier E., Gibaud B., Charlet J., Charbonnel P., Rougerie F., Mennerat F., Chevalier F., Demay MJ., Estève A., Hajji L., Paquel N., « EDI données cliniques : l’approche "enveloppe" pour les échanges d’éléments de dossiers médicaux multimédias », In : Beuscart R., Zweigenbaum P., Venot A., Dégoulet P., eds, Télémédecine et eSanté, (vol. 13). Springer Verlag, 2002. Présenté au colloque Télémédecine et eSanté. [Gan 95] Ganti N., Brayman W., The transaction of legacy systems to a Distributed Architecture. Ed. Wiley-QED (jhon Wiley & Sons, Inc.). Etats-Unis, 1995, p. 137-170.

Dossiers confidentiels et répartis

59

[Jon 94] Jonscher D., Dittrich R. K., « An approach for building secure Database th Federation », Proceedings of 20 VLDB Conference. Edited by J. Bocca, M. Jarke, C. Zaniolo. Santiago, 1994, p. 24-35. [Lafo 02] Laforest F., Frénot S., Masri N., A., « Dossier médical semi-structuré pour des interfaces de saisie multimodales », In Document numérique, éd. Hermès, 2002. [Mar 92] Marshall D., La performance transactionnelle, Masson : Paris, 1992. [Wac 02] Wack M., Cottin N., Mignot B. « Certification et archivage légal de documents », In Document numérique. éd. Hermès, 2002.