Systèmes de conservation de dossiers électroniques et signatures électroniques

Date d'entrée en vigueur : le 14 février 2007

Version en vigueur : 7 (révisé le 15 mars 2022)

Référence : MNT, partie 5, chapitre 5, section 2

BPR / Téléphone : DNAST 4-5 / 819-939-4757

1. But

1.1. Le présent avis de l’ANT fournit une méthode qui permet de respecter les exigences du Manuel de navigabilité technique (MNT) en matière de systèmes de conservation de dossiers électroniques (SCDE) et de signatures électroniques.

1.2. Le présent avis de l’ANT n’est pas obligatoire et ne constitue pas un règlement. Il décrit un moyen acceptable pour l’ANT de se conformer à la réglementation sans être pour autant le seul moyen de le faire. Si vous décidez d’utiliser cet avis de l’ANT, vous devez en respecter tous les aspects importants.

2. Applicabilité

2.1. Le présent avis de l’ANT s’applique à tous les organismes qui veulent obtenir de l’ANT l’acceptation d’un SCDE qui est le seul dépôt pour une partie, ou pour l’ensemble, de leurs dossiers de type ou techniques, tels que définis dans les paragraphes 5.5.2.R1 et R2 du MNT, ainsi que des signatures électroniques associées à l’approbation officielle de chacun de ces documents visant la navigabilité.

2.2. De plus, le présent avis de l’ANT a été émis pour aider les organismes à obtenir l’acceptation par l’ANT de nouveaux SCDE ou d'améliorations aux systèmes existants. L’avis donne des conseils sur la manière dont l’ANT évaluera un SCDE afin d’assurer la conformité à l’exigence réglementaire stipulée au paragraphe 3.2.1.

2.3. L’ensemble des exigences énumérées au paragraphe 4.5 s’appliquent aux organismes qui cherchent à obtenir de l’ANT l’acceptation de navigabilité visant la mise en œuvre d'un nouveau SCDE. En ce qui concerne les améliorations aux systèmes existants, il est possible que les éléments énumérés au paragraphe 4.5 ne doivent pas tous être satisfaits. L’ANT collaborera de près avec ces organismes à établir les produits livrables du Plan de projet, qui pourront varier selon la complexité et l’étendue de l’amélioration envisagée. Les organismes qui veulent obtenir de l’ANT l’acceptation de nouveaux SCDE ou d’améliorations aux SCDE existants seront tenus de soumettre un Plan de projet à l’ANT, aux fins d’examen et d’approbation officielle.

3. Renseignements connexes

3.1. Définitions :

1. Système de conservation de dossiers électroniques. Un système de traitement de dossiers dans lequel les dossiers de type et techniques sont entrés, stockés et récupérés électroniquement par un système informatique plutôt que de la manière traditionnelle (version papier).
2. Signature électronique. Un identificateur numérique unique et rattachable à une personne autorisée, qui est utilisée par un particulier pour authentifier, attester et certifier que les données saisies dans une inscription légale sont vérifiables, complètes et exactes.

3.2. Références réglementaires :

3.2.1. C-05-005-001/AG-001 – Manuel de navigabilité technique (MNT) :

1. Section 2 du chapitre 5 de la partie 5 – Systèmes de conservation de dossiers électroniques
2. Section 2 du chapitre 3 de la partie 5 – Exigences du programme de maintenance

3.2.2 Avis consultatif de l’ANT 2017-04 – Exigences contractuelles visant les services de soutien en service liés à la navigabilité

3.2.3. Règlements/avis consultatifs civils et autres règlements ou avis militaires sur la navigabilité :

1. Circulaire d’information (CI) de la Federal Aviation Administration (FAA) AC 120-78A – Electronic Signatures, Electronic Recordkeeping, and Electronic Manuals;
2. Règlement de l'aviation canadienne (RAC) de Transport Canada, Aviation Civile (TCAC), Partie VI – Règles générales d'utilisation et de vol des aéronefs, Sous-partie 5 – Exigences relatives aux aéronefs, Section IV – Dossiers techniques 605.93, Dossiers techniques – Généralités
3. CI 521-101 de TCAC – Système de tenue de dossiers électroniques, de modélisation et de manuels

4. Analyse

4.1 Une importante quantité de documents sur la navigabilité est produite pour fournir l’information et les données nécessaires afin d’établir et de maintenir la navigabilité d’un produit aéronautique. La plupart de cette information et de ces données doivent être conservées pendant une période indéfinie et être accessibles à n’importe quel moment. Des ordinateurs sont utilisés depuis de nombreuses années pour la planification, l’analyse, l’établissement du calendrier et la documentation liés à la production de cette information et de ces données relatives à la navigabilité. Cependant, les dossiers papier étaient la plupart du temps la méthode utilisée pour fournir les documents exigés par l’ANT. Cela est d’autant plus vrai pour les certifications de navigabilité requises liées aux décisions en matière de génie ou à l’achèvement d’une tâche d’entretien.

4.2 À mesure que les organisations effectuent la transition vers un SCDE, elles doivent comprendre clairement les risques auxquels sont exposées leurs données. Les vulnérabilités communes d’un SCDE qui intéressent l’ANT sont notamment les suivantes :

1. Les dossiers électroniques peuvent être facilement supprimés sans laisser de trace dans la plupart des applications commerciales;
2. La modification des dossiers électroniques est facilitée par des caractéristiques telles que la recherche globale et des fonctions de remplacement automatique;
3. La correction d’erreurs découlant de la saisie de données fait souvent appel à des capacités « d’écrasement de données »;
4. Une signature électronique sécuritaire nécessite une technologie de pointe et ne fournit pas la preuve matérielle d’une signature faite à la main.

4.3 Les organismes doivent prouver, à la satisfaction de l’ANT, que des mesures de protection suffisantes ont été mises en place pour surmonter les vulnérabilités des dossiers électroniques et que des mesures appropriées ont été prises afin d’assurer l’intégrité du système et des données liées à la navigabilité contenues dans le système.

4.4 Dans le cadre du Programme de navigabilité technique, les fonctions de navigabilité technique ont été établies en vue de permettre la certification de la navigabilité après l’exécution d’une tâche liée à la navigabilité lorsqu’une règle ou une norme de navigabilité technique l’exigent. Cette signature confirme que les tâches liées à la navigabilité ont été effectuées convenablement et que la personne qui a signé pour la fonction de navigabilité en assume la responsabilité. Elle reconnaît les actions antérieures accomplies par une ou plusieurs personnes et elle constitue une exigence préalable aux autres actions qui seront effectuées ultérieurement par d’autres personnes. Le chapitre 5 de la partie 5 du MNT définit les règles et les normes régissant la production et la conservation des documents sur la navigabilité, y compris les exigences en matière de systèmes de conservation de dossiers électroniques (SCDE) et de systèmes de signatures électroniques. Dans ce contexte, le processus de signature, écrite ou électronique, doit respecter les mêmes exigences. Ces exigences sont les suivantes :

1. Identification. Le bloc-signature doit indiquer clairement le signataire pour la durée de vie du document.
2. Individualité. Le bloc-signature doit identifier le signataire de façon à ce que celui-ci ne puisse pas nier la crédibilité de la signature.
3. Protection. Le processus de signature doit être conçu de façon à ce que l’utilisation de la signature soit sous le seul contrôle du signataire.
4. Responsabilité. Le processus de signature doit être conçu de façon à ce que la signature soit apposée sur tous les documents applicables, et que les signataires sachent très bien ce qu’ils signent et qu’ils assument la responsabilité de la validité et de l’exactitude des données et des renseignements que contiennent ces documents.
5. Intégrité. Le processus de signature doit être conçu de façon à sauvegarder l’intégrité des données et des renseignements, notamment en veillant à ce que des modifications ne soient pas apportées au document original après sa signature et en détectant de telles modifications. Les corrections et les modifications doivent être faites de façon à ce que l’on puisse accéder au document original.

4.5 Moyens de conformité acceptables. Un organisme qui cherche à obtenir l’acceptation par l'ANT d'un SCDE doit satisfaire aux exigences de la référence 3.2.1. et fournir à l’ANT les éléments suivants :

4.5.1 Un plan de projet. Un plan de projet doit être fournit à l’ ANT pour acceptation. Ce plan doit comprendre la portée prévue du nouveau SCDE, ou des mises à niveau des SCDE existants, ainsi que la façon dont tous les éléments ci-dessous qui s'appliquent seront réalisés.

4.5.2 Migration de données et validation : Cette phase est souvent l’étape la plus critique et la plus complexe de la mise en œuvre d’un nouveau SCDE. Qu’il s’agisse de la migration des données d’un SCDE existant (sur papier ou électronique) ou de l’introduction de données « telles que conçues/telles que maintenues » du fabricant d’équipement d’origine pour un nouvel aéronef certifié par l’Autorité de navigabilité technique (ANT), un Plan complet de migration et de validation des données doit être élaboré et accepté par l’ANT. Normalement, le Plan de projet doit présenter une description générale de la façon dont la migration et la validation des données se dérouleront, notamment les jalons, l’échéancier et les produits livrables. Cependant, en raison de la complexité et du degré d’effort, le plan de projet de SCDE sera lié à un plan distinct de migration et de validation des données auquel le Plan de projet doit faire référence et qui fera partie de l’acceptation par l’ANT du Plan de projet du SCDE.

Remarques :
1. L’étendue des données requises pour la migration dépend largement de l’étendue des fonctionnalités du SCDE. Par exemple, un SCDE organisationnel (p.ex., SAP) dans lequel l’administration des données de base est centralisée et les fonctions de gestion du matériel, de soutien technique et de maintenance/contrôle de la maintenance sont intégrées, présente des exigences beaucoup plus complexes en matière de données qu’un SCDE qui sert simplement à consigner la maintenance (système de gestion des bons de travail). Pour les nouveaux aéronefs, les exigences du contrat de soutien en service (SES) comporteront un livrable relatif au SCDE pour les données comme décrit dans la référence 3.2.2.
2. Il est possible que le Plan de migration et de validation des données ne soit pas nécessaire pour la mise à niveau d’un SCDE existant, si les mises à niveau n’ont pas d’incidence sur les données existantes.

4.5.3 Vérification et validation de la fonctionnalité du système. Cette phase fera en sorte que le SCDE satisfasse à toutes les exigences en matière de navigabilité stipulées dans le MNT que doit soutenir le SCDE. Par exemple, si le système offre une fonctionnalité liée à la certification de remise en service des aéronefs, il doit se conformer au paragraphe 3.1.2.R11 du MNT. De plus, la validation du SCDE est requise pour appuyer toutes les exigences contenues dans la référence 3.2.1. L’organisme doit démontrer que des essais suffisants de validation et de vérification du système ont été effectués pour prouver que la fonctionnalité définie du système donne les résultats prévus. De manière générale, une série d’essais comportant une gamme de scénarios possibles sont menés, et les résultats sont notés et désignés satisfaisants. La fonctionnalité ciblée pour la vérification et la validation doit inclure toutes les fonctions jugées essentielles à l’information et aux données liées à la navigabilité qui sont contenues dans le SCDE. Les essais et les scénarios utilisés pour démontrer l’intégrité du système doivent refléter la manière dont le système serait utilisé par le type d’organisme visé (c.-à-d., de maintenance, d'ingénierie, etc.). Les rapports produits au cours de cette phase doivent comprendre les éléments qui ont fait l’objet des essais, les résultats prévus, les véritables résultats, des recommandations, des modifications (au besoin) et les nouveaux essais (si nécessaire);

Remarques :
1. Lors de la mise en œuvre d’un nouveau SCDE qui est mal connu, la mise à l’essai de la fonctionnalité est une étape également importante qui permet de déterminer les besoins de formation (voir le paragraphe 4.5.8), ainsi que les processus de navigabilité et opérationnels, notamment le guide de l’utilisateur (paragraphes 4.5.6 et 4.5.7), qui devront être mis en place avant la mise en service du système. Par exemple, si la portée de la fonctionnalité comprend des activités d’ingénierie associées à la gestion des données de base dans le SCDE (c’est-à-dire le programme de maintenance et les modifications autorisées de la structure/configuration des composants), les tests doivent ultimement permettre de recenser les exigences relatives à la formation et aux procédures pour effectuer ces types d’activités.
2. Lors de la mise à niveau d’un SCDE existant, la vérification et la validation ne doivent porter que sur la nouvelle fonctionnalité (le cas échéant).

4.5.4 Exploitation d'un système parallèle

4.5.4.1 Lorsque le SCDE est utilisé pour saisir des données essentielles qui soutiennent les activités de navigabilité, un système de conservation de dossiers parallèle (SCDP) pourrait être nécessaire pendant la mise sur pied du SCDE. Un système de surveillance du vieillissement des moteurs et de la structure (HUMS), ou une capacité électronique d’établissement de calendrier et de prévisions de maintenance sont des exemples de systèmes essentiels. Les dossiers en format papier sont un système parallèle acceptable. Lorsqu’un organisme utilise un système électronique additionnel comme système parallèle, il doit veiller à ce que les systèmes soient exploités séparément afin d’éviter la contamination croisée des données recueillies. Le système parallèle et la durée des opérations de ce système doivent être établis dans le Plan de projet. Cela peut également prendre la forme d’un plan indépendant d’exploitation d’un système parallèle auquel le Plan de projet doit faire référence. L’objectif du SCDP est de fonctionner jusqu’à ce que les objectifs suivants (critères de sortie) soient atteints :

1. La transition vers le nouveau SCDE (critères d’entrée) a été effectuée avec succès (voir le paragraphe 4.5.9);
2. Toutes les procédures prévues dans le plan du système qualité ont été mises en œuvre (voir les paragraphes 4.5.6 et 4.5.7);

Remarque : Le plan du système qualité doit identifier toutes les procédures requises pour l’exploitation continue du SCDE, y compris les activités de gestion de la configuration, telles que les modifications des données de base (structure autorisée, exigences de planification de la maintenance). Il doit également inclure des procédures pour la gestion et l’administration des données de conformité, telles que les bulletins d’entretien, les modifications, les écarts/permis de vol, etc.

3. Le SCDE suit et prévoit avec précision toutes les exigences du programme de maintenance planifiée définies dans le document approuvé de planification de la maintenance de base du programme (c’est-à-dire résultant des Exigences visant les limites de navigabilité (AWL) et la maintenance de certification, ainsi que les Exigences de maintenance prévue (les chapitres 4 et 5, respectivement, du Manuel de maintenance de l'aéronef), et dans les publications de maintenance approuvées, y compris toute exigence technique supplémentaire en matière de navigabilité, conformément à la référence 3.2.1.b);
4. Un moyen de vérifier les exigences de maintenance planifiée par rapport à un document de planification de la maintenance de base a été mis au point et mis en place selon une procédure adéquate (voir le paragraphe 4.5.5.i);
5. Un système d’amélioration continue est en place pour régler les problèmes causés par l’erreur humaine ou les lacunes du SCDE;
6. Il fait consensus que les utilisateurs du SCDE sont confiants dans l’utilisation du système et que toutes les lacunes ont été corrigées par la formation (voir le paragraphe 4.5.8).

4.5.4.2 Le plan d’exploitation d’un SCDP doit prévoir un moyen de recueillir des preuves quant à la façon dont chaque critère de sortie a été satisfait, preuves qui peuvent être soumises à l’ANT avec une demande officielle de cessation d’exploitation du SCDP.

Remarque : Dans les cas où un organisme met en œuvre un SCDE qui est déjà utilisé pour d’autres flottes et qui a été précédemment accepté par l’ANT, l’exploitation d’un SCDP n’est normalement pas nécessaire. Le plan de transition du projet (voir le paragraphe 4.5.9) décrira les critères d’entrée pour la mise en service du nouveau système, ainsi que toutes les activités post-mise en service qui devront être exécutées et satisfaites (voir les critères de sortie susmentionnés) avant d’obtenir l’acceptation complète de la navigabilité du SCDE par l’ANT.

4.5.5 Plan de gestion du SCDE. La gestion des données comporte la mise en œuvre de mesures de protection du système pour empêcher la perte d’information et de données pendant leur stockage, leur traitement et leur transmission. De plus, la gestion de données inclut les activités liées à la mise à jour des dossiers, à l’accès aux dossiers et à la validation des dossiers. Un Plan de gestion des données doit au moins comprendre les éléments suivants :

1. Des procédures de secours qui garantissent la récupération rapide de données en cas de perte ou de destruction par inadvertance. Les données de secours doivent être stockées dans un serveur ou un support différent de celui qui contient les données primaires. De plus, le support de données de secours doit être situé dans un autre endroit. Les copies de sauvegarde des données doivent être faites régulièrement;
2. Des procédures d’intervention en cas de catastrophe relatives au système pour s’occuper de toutes les pannes du système, les pannes d’électricité ou les pertes de données possibles. Les procédures doivent indiquer comment la perte de données serait découverte et la manière dont les données seraient récupérées. Une méthode que peut utiliser l’organisation dans le cadre des procédures d’intervention en cas de catastrophe consiste à retourner temporairement à l’utilisation des dossiers papier afin de réduire l’incidence sur les opérations;

Remarque : Normalement, les exigences en matière de sauvegarde et d’intervention en cas de catastrophe, lesquelles comprennent une procédure pour le maintien des activités lorsque le système est hors service, sont élaborées pour répondre aux exigences du plan de continuité des activités du DCT.

3. Des procédures d’accès au système pour veiller à ce que l’accès soit contrôlé afin de protéger l’information et les données contenues dans le SCDE contre les modifications, qu’elles soient accidentelles ou intentionnelles. Une organisation doit définir la manière dont le système de contrôle d’accès sera mis en œuvre relativement à chaque poste utilisé pour saisir ou traiter les données. Si l’on a recours à des mots de passe, des procédures adéquates doivent être mises en place pour protéger et changer régulièrement les mots de passe des utilisateurs;
4. Des procédures de transfert de données pour décrire la façon dont le transfert de données est effectué, le matériel utilisé et la méthode à laquelle on a recours pour confirmer que les données enregistrées par le serveur sont exactes et complètes. La vérification et la validation de la fonctionnalité du transfert des données (paragraphe 4.5.3) doivent être incluses dans le plan de mise à l’essai. Si l’utilisateur a un rôle à jouer pendant le processus de transfert de données, une ou plusieurs procédures de transfert de données seront nécessaires. Voici des exemples de processus de transfert de données pour lesquels des procédures supplémentaires sont nécessaires :
   1. Système de surveillance du vieillissement des moteurs et de la structure (HUMS) – transfert des données d’utilisation et des codes d’erreur (également appelés codes d’événement) qui sont présents après un vol. Normalement, les données d’utilisation sont transmises au SCDE et mettent automatiquement à jour l’enregistrement des prévisions du calendrier d’entretien. Toutefois, pour les codes d’erreur, il y a généralement un processus de bilan pour déterminer quels codes d’erreur sont des « codes nuisibles » par rapport aux codes de panne du système qui doivent être acceptés et autorisés à être transmis au SCDE pour la génération automatique d’un bon de travail. Les procédures pour le processus de bilan doivent être établies dans une procédure.
   2. Données de base du SCDE – Pour les systèmes organisationnels, les données de base (c’est-à-dire les pièces autorisées, la configuration de la planification de la maintenance, etc.) sont souvent introduites dans le SCDE au moyen d’une fiche d’analyse du soutien logistique, qui est approuvée et maintenue par un organisme de conception acceptable (OConcA). Avant d’accepter les données dans les tableaux de données de base du SCDE, les gestionnaires centraux de données (CDM) du SCDE du DCT procèdent à un examen approfondi dans le but de vérifier l’exactitude des données, ainsi que les répercussions du changement sur l’exploitant. Cette activité nécessitera toujours une ou plusieurs procédures détaillées.
5. Des procédures de changement de la configuration du système afin d’assurer que tous les changements apportés au SCDE sont documentés et vérifiables. Les changements de configuration peuvent découler de changements apportés au logiciel du SCDE aux fins de répondre aux demandes de modification ou de mise à niveau continue exigées par les utilisateurs (modification de conception du SCDE), de changements apportés aux données de référence (c’est-à-dire données de base) et de changements apportés aux données dynamiques (c’est-à-dire transaction de travaux de maintenance). Chacun de ces types de changement engendrera une procédure unique de vérification du système, qui est requise avant la mise en œuvre des changements. De plus, le SCDE doit permettre l’enregistrement de chaque type de changement, y compris la personne qui a apporté le changement, à toute donnée de référence. Les changements à la configuration du système peuvent seulement être apportés par le personnel autorisé au sein de l’organisme ou du réseau de soutien approuvé de l’organisme;

Remarque : En fonction de la portée du SCDE, les scénarios de mise à l’essai de la gestion des changements de configuration doivent être inclus dans le cadre de la vérification et de la validation (paragraphe 4.5.3). Pour les changements qui permettent de corriger des erreurs dans les enregistrements historiques, la procédure de correction des données décrite au paragraphe 4.5.5.g ci-dessous s’applique.

6. Des procédures d’accès aux données pour décrire la manière dont les données dans le SCDE sont fournies comme information à l’organisme. Il s’agit de rapports sommaires de configuration pour l’ensemble de la flotte d’aéronefs, ainsi que la capacité d’imprimer des rapports appropriés sur demande. Par exemple, si un SCDE est utilisé pour gérer des dossiers d’entretien d’aéronef, ce système doit pouvoir produire des rapports en format papier qui satisfont aux exigences en matière de dossiers techniques stipulées dans le paragraphe 5.5.2.R2 du MNT. Les fonctionnalités du SCDE devraient permettre à l’utilisateur de personnaliser le rapport en fonction de renseignements précis ou d’une plage de dates, ce qui garantirait que l’historique des composants applicables soit accessible pour les équipements envoyés en réparation et maintenance de niveau 3;
7. Des procédures de correction de données pour assurer l’accès aux données originales après qu’une correction a été apportée aux données électroniques. Il doit y avoir un lien entre le dossier original et le dossier corrigé pour offrir la traçabilité nécessaire des données. De plus, des données justificatives qui comprennent la date de la modification, la raison de la modification, le nom de la personne et la signature ou le code d’identification personnel de l’employé sont requises;

Remarque : Les SCDE modernes sont normalement assortis d’une fonctionnalité de journalisation qui enregistre toutes les transactions effectuées dans le système. Il s’agit habituellement d’un moyen acceptable pour le suivi des événements de correction des données.

8. Des procédures relatives à la signature électronique, lorsqu’une signature électronique est utilisée dans le SCDE, doivent satisfaire aux exigences stipulées au paragraphe 4.8 du présent avis;
9. Des procédures de vérification devraient décrire comment les données du SCDE sont vérifiées en service. Les vérifications sont nécessaires pour veiller à ce que le SCDE effectue correctement le suivi de toutes les tâches exigées. Il s’agit d’une activité essentielle, car tous les systèmes peuvent afficher, de temps à autre, des renseignements erronés en raison d’une défaillance de logiciel ou d’une erreur de l’utilisateur. Un organisme qui utilise le SCDE doit prendre des mesures pour réduire au minimum la probabilité que les erreurs du système se répercutent sur les activités liées à la navigabilité. À tout le moins, le processus de vérification doit englober :
   1. La confirmation que toutes les exigences de maintenance sont configurées dans le SCDE au moyen de la validation des données par rapport à un document principal (indépendant) de planification de la maintenance. La validation doit comprendre les éléments suivants :
      1. Toutes les inspections font l’objet d’un suivi par rapport au point de mesure correct de la structure,
      2. Les fréquences sont correctement définies pour tous les indices de suivi (c’est-à-dire les heures de vol de l'aéronef (AFH), les atterrissages, les cycles, les périodes fixes, etc.) et, pour les inspections faisant l’objet d’un suivi par rapport aux composants, ces fréquences sont applicables à la configuration spécifique du composant (c’est-à-dire, numéro de pièce),
      3. Les inspections sont en cours et font l’objet d’un suivi adéquat (c’est-à-dire qu’elles sont décomptées au fur et à mesure de l’utilisation),
      4. Les dates des inspections (c’est-à-dire depuis la dernière inspection, révision ou limite de mise hors service) et les fenêtres de tolérance sont correctes,
      5. Toutes les pièces installées sont correctes, y compris les pièces de rechange, par rapport au document de planification de maintenance;
   2. Une confirmation juste à temps (c’est-à-dire quotidienne, hebdomadaire, etc.) que toute transaction ayant une incidence sur la configuration de l’aéronef et servant à mettre en œuvre le document de planification de la maintenance a été effectuée correctement;
   3. Une fréquence de vérification flexible/efficace basée sur le taux d’erreur, le risque de navigabilité et des scénarios basés sur des événements (c’est-à-dire après une maintenance majeure, un transfert d’aéronef, etc.);
   4. Un moyen de consigner les événements et les résultats de la vérification, y compris l’application du système d’assurance de la qualité aux résultats (c’est-à-dire les observations, les mesures correctives, l’amélioration continue);

4.5.6 Guide de l’utilisateur du système. L’organisme qui met en œuvre le SCDE doit mettre au point des guides d’utilisateur qui décrivent la façon dont la fonctionnalité du SCDE est utilisée et la manière dont le système est maintenu. Ces documents comprendront des directives de base à l'intention de l'utilisateur et des directives plus avancées sur la gestion du système de pointe;

Remarque : Les SCDE disponibles sur le marché (COTS) et adaptés à l’usage sont normalement livrés avec un guide de l’utilisateur intégré. Cependant, les SCDE maison ou les SCDE disponibles sur le marché qui ont été adaptés de façon importante pour répondre à des exigences organisationnelles uniques nécessiteront l’élaboration d’un guide de l’utilisateur ou d’un complément au guide de l’utilisateur.

4.5.7 Plan du système qualité. L’organisme qui met en œuvre le SCDE doit mettre à jour toutes les politiques sur la navigabilité et les procédures de base qui concernent l’utilisation du SCDE. La description du Plan du système qualité peut être intégrée dans le Plan de projet. Toutefois, la plupart du temps, il est un document distinct et est mentionné à titre de référence dans le Plan de projet. Il est reconnu que certaines procédures peuvent ne pas avoir une incidence sur la navigabilité et qu’elles seront élaborées après la mise en service, au fur et à mesure que l’on acquiert de l’expérience avec le SCDE. Cependant, le Plan du système qualité devra comprendre les procédures critiques qui devront être mises au point pour la mise en service, par rapport à celles qui le seront selon un échéancier défini, après la mise en service. L’acceptation par l’ANT du Plan de projet inclut tout plan de qualité cité en référence. L’ANT surveillera l’exécution du Plan du système qualité jusqu’à son achèvement pendant la période d’acceptation provisoire de la navigabilité du SCDE. Les organismes accrédités doivent obtenir l’approbation de l’ANT pour tous les changements apportés à leurs manuels des procédés de navigabilité;

4.5.8 Plan de formation. L’organisme qui met en œuvre le SCDE doit élaborer un Plan de formation qui veille à ce que la formation initiale soit donnée à tous les utilisateurs du SCDE et que la formation périodique nécessaire soit offerte. La portée de la formation doit correspondre à la complexité des exigences des utilisateurs. Les administrateurs du SCDE doivent posséder les compétences, les connaissances et l’expérience pour effectuer toutes les activités liées à la gestion du SCDE et recevoir de la formation sur l’utilisation de l’application au besoin. Toute la formation doit être donnée le plus près possible du commencement de l’utilisation du SCDE et le plan doit comprendre une solution de secours en cas de retard dans la mise en œuvre;

4.5.9 Plan de transition. Pendant la période de mise sur pied du SCDE, l’organisme gérera tous les processus de l’ancien système, mettra au point de nouveaux processus, organisera des formations et mettra à jour les « données telles que conservées » dans le SCDE (c’est-à-dire les données qui saisissent tous les changements survenus entre le moment où les données ont été initialement migrées dans le SCDE et l’état réel de l’aéronef au moment de la mise en service). Pour un SCDE complexe, l’organisme devra élaborer un Plan de transition qui décrit comment toutes ces activités seront gérées, y compris une évaluation des critères d’entrée qui déclenchera l’utilisation du nouveau système comme principal SCDE. Pendant la transition, l’organisme doit veiller à ce qu’il y ait un niveau approprié de soutien additionnel aux utilisateurs pour toute la durée de la période de mise en œuvre;

4.5.10 Trousse de données techniques. L’organisme qui cherche à obtenir l’acceptation de l’ANT pour le SCDE doit élaborer, tenir à jour et gérer la configuration de tous les documents à l’appui des exigences susmentionnées.

4.6 Acceptation du Plan de projet par l'ANT. L’ANT examinera le Plan de projet et fournira de la rétroaction à l’organisme visé. Pour un SCDE complexe, un certain nombre de points de repère seront négociés entre l’organisme et l’ANT, ce qui pourrait nécessiter une vérification sur place ou un examen des documents à l’appui (voir le paragraphe 4.5.10). Les jalons et les exigences en matière de documents seront définis dans la lettre d’acceptation du Plan de projet par l’ANT. Ainsi, l’acceptation de la navigabilité du SCDE par l’ANT sera fondée sur le Plan de projet mis en œuvre par l’organisme sur une période prolongée.

4.7 Acceptation de la navigabilité par l'ANT (pour la mise en service). Dès que l’ANT se déclare satisfaite que le SCDE puisse être mis en œuvre, en fonction de la trousse de données techniques finales, l’organisme se fera conférer l’autorité pour commencer les opérations intérimaires conformément au Plan de transition (acceptation provisoire). Avant cela, l’organisme doit soumettre une lettre du GSM ou de l’ICP qui atteste que le SCDE satisfait à toutes les exigences en matière de navigabilité, que toute la formation nécessaire a été offerte et que toutes les procédures et toutes les directives requises sont en place. Selon la complexité du SCDE, l’ANT peut effectuer une vérification sur place et évaluer le SCDE en fonction des exigences en matière de navigabilité. L’acceptation complète de la navigabilité du SCDE par l’ANT aura lieu une fois que les activités du Plan de projet auront été achevées, y compris celles qui étaient prévues après la mise en service (c’est-à-dire les mises à jour du système qualité, les procédures de vérification, etc.).

4.8 Signatures électroniques. Une organisation qui cherche à obtenir l’acceptation pour l’utilisation de signatures électroniques au sein d’un SCDE doit satisfaire aux exigences du paragraphe 4.4 et prouver à la satisfaction de l’ANT que les mesures suivantes ont été mises en place :

1. Identification. Le signataire peut être identifié au moyen d’un numéro d’identification, d’une carte magnétique chiffrée, d’une empreinte digitale (pouce ou autre), de la vérification de la configuration des yeux ou de tout autre concept similaire.
2. Individualité. Un moyen acceptable de prouver l’individualité d’une signature est l’utilisation d’un processus d’authentification qui, de concert avec le processus d’identification, valide l’identité du signataire. Des moyens acceptables d’authentification et d’identification incluent l’utilisation de clés distinctes d’identification et d’authentification. La combinaison d’un numéro d’identification personnel (NIP) et d’une carte magnétique chiffrée, d’une empreinte digitale (pouce ou autre), d’une lecture d’empreintes rétiniennes ou de tout autre concept similaire peut être utilisée pour vérifier de façon exacte et positive l’identité du signataire.
3. Protection. Satisfaire aux exigences relatives à l’identification et à l’individualité précisées ci-dessus et exercer un contrôle intégral des procédures de distribution et d’utilisation des clés d’identification et d’authentification peuvent fournir l’assurance que la signature électronique est sous le seul contrôle du signataire.
4. Responsabilité. La responsabilité en ce qui concerne la validité et l’exactitude des renseignements peut être assumée si le système lie la signature aux renseignements, et seulement aux renseignements, pertinents à la fonction de navigabilité faisant l’objet de la signature et fournit au signataire toute l’information et tous les renseignements concernant les actions pour lesquelles il ou elle signe.
5. Intégrité. Une estampille de date/heure doit faire partie intégrante du document électronique au moment de l’apposition de la signature électronique originale et lors de chaque modification ultérieure du document.

4.9 Une organisation qui cherche à obtenir l’acceptation pour l’utilisation de signatures électroniques doit fournir au personnel de l’ANT leur Manuel des procédés de navigabilité et les détails de leurs procédures, notamment :

1. les moyens utilisés pour gérer et contrôler chaque article physique utilisé dans le processus de signature;
2. les moyens utilisés pour gérer et contrôler la distribution des clés d’identification dans le processus de signature;
3. des instructions concernant la gestion des données afin d’assurer l’intégrité des renseignements et de pouvoir retracer les auteurs de tout modificatif aux données;
4. des instructions concernant la gestion des données afin d’assurer l’intégrité des renseignements et de pouvoir récupérer la forme originale des données modifiées;
5. des instructions concernant la récupération de l’ensemble des informations associées à une signature, permettant ainsi de connaître toutes les données pertinentes à une signature;
6. une politique couvrant l’acceptation de la signature électronique par les organisations et les documents liés à la navigabilité où une signature électronique est jugée acceptable.

4.10 Une organisation qui cherche à obtenir l’acceptation par l’ANT pour l’utilisation de signatures électroniques devrait consulter le personnel de l’ANT avant de mettre sur pied un projet pour faire la transition de signatures manuscrites ou estampilles à signatures électroniques.