L’archivage à valeur probante au service de la signature électronique
Article rédigé par Philippe DELAHAYE, Directeur Commercial & Marketing CDC Arkhineo
Afin d’optimiser la relation clients et améliorer l’expérience utilisateur associée en B2B et en B2C, l’utilisation de la signature électronique se développe considérablement au sein des entreprise et cela, dans tous les secteurs d’activité.
Une augmentation facilitée par des technologies performantes et simples d’usage, mais aussi par la mise en place d’une législation européenne commune.
Pour rappel, un document électronique est recevable juridiquement s’il est intègre et archivé dans des conditions de nature à en garantir l’intégrité. De nombreux documents d’entreprises (contrats, bons de commande, PV de recette/réception de chantier etc…) sont susceptibles de constituer des preuves en cas de contentieux, d’où l’importance de s’assurer que les documents n’ont pas été altérés pendant toute leur durée légale de conservation.
En cas de contentieux concernant un document signé électroniquement, un dossier de preuve et les éléments de traçabilité associés doivent être fournis, tels que le processus mis en place, l’identification et le consentement du signataire, les contrôles d’intégrité (et l’algorithme), le certificat de signature électronique. Avec ces éléments, des contrôles techniques peuvent être réalisés, permettant au juge de décider si le document électronique peut être admis en tant que preuve ou non.
Validité des certificats des signature électroniques
Une signature électronique est associée à un certificat dont sa durée de validité est de 2 ou 3 ans. Au moment de l’apposition de la signature, on sait que le certificat utilisé pour signer est valide (non-échu et non révoqué). Si il est simple de vérifier ce fait pendant toute la durée de vie du certificat, après son expiration cela n’est plus possible ce qui peut s’avérer préjudiciable en cas de contentieux.
D’où l’importance de « valider » la signature dès son apposition sur le document.
La validation des signatures (et cachets électroniques) est l’un des points abordés par le règlement européen eIDAS. Ce règlement a introduit un service de confiance dédié à la validation des signatures électroniques qualifiées assuré par des PSCQ (Prestataire de Services de Confiance Qualifiés). La liste est disponible ici (European Trusted List).
Le PSCQ, charge du service de confiance de validation des signatures s’assure de la présence de la signature et de l’intégrité du document signé, vérifier la validité du certificat au moment de la signature, identifier le signataire et interroger les services externes nécessaires (Trusted-List Européenne, jetons OCSP, Listes des certificats révoqués).
Le rapport de validation
Une fois ces traitements effectués, un rapport de validation est généré au format XAdES (XMLsigné). Ce rapport est aussi être archivé, en association avec le document signé et le fichier de métadonnées. Ce rapport est directement intégré dans le scellement de l’archive. Il permet d’apporter ultérieurement la preuve de la validité de la signature au moment de l’archivage du document et de consolider le dossier de preuve. Ce rapport pourra être consulté à tout moment, tout comme le document archivé.
Signatures qualifiées et avancées
Ce service de validation concerne initialement les signatures électroniques qualifiées. Cependant il peut être utilisé pour les signatures avancée afin de renforcer la qualité du dossier de preuve. Car avec ce type de signature, en cas de contentieux, la charge de la preuve incombe à celui qui a proposé la signature électronique à l’autre partie (par conséquent au fournisseur du service/logiciel de signature). En ayant recours à un prestataire disposant de qualifications reconnues au niveau européen, une entreprise utilisant une signature avancée possèdera tous les éléments de preuves nécessaires. Une bonne façon de se préserver en cas de contestation de la part d’un client.
Après la validation, la préservation
L’autre sujet abordé est la conservation à long terme d’une signature électronique. Une signature électronique est basée sur l’utilisation d’algorithmes cryptographiques susceptibles d’évoluer en fonction des risques de piratage ou d’obsolescence technologique. Le règlement eIDAS a donc également introduit un service de confiance dédié à la préservation des signatures électroniques. En cas d’alerte par les autorités en charge de la Sécurité des Systèmes d’Information (en France, l’ANSSI) liée à une éventuelle compromission à court-terme de l’algorithme utilisé, ce service de préservation effectuera une sur-signature du document avec un nouvel algorithme plus récent et plus robuste. Cela empêchera ainsi toute modification de la signature originelle et potentiellement toute « appropriation » de la signature par une personne/organisation « malfaisante ».
Cette double protection permet aux organisations utilisant un service d’archivage électronique à valeur probatoire pour la conservation de documents dotés d’une signature électronique, de disposer de documents recevables juridiquement en cas de contentieux, mais aussi de se protéger d’éventuelles cyber-attaques, d’éviter le vol de données et de se prémunir contre l’obsolescence technologique ou la compromission des algorithmes utilisés pour la signature.
Ces deux services sont utilisables dans toute l’Union Européenne et n’ont d’autre vocation que de renforcer la confiance des organisations dans la signature électronique.