Professional Documents
Culture Documents
Prochaines parutions
>> Guide de la facture lectronique >> Guide de le-vote lectronique
Copyright octobre 2008 Le prsent document est une oeuvre protge par les dispositions du Code de la Proprit Intellectuelle du 1er juillet 1992, notamment par celles relatives la proprit littraire et artistique et aux droits dauteur, ainsi que par toutes les conventions internationales applicables. Ces droits sont la proprit exclusive de la FNTC (Fdration Nationale des Tiers de Conance). La reproduction, la reprsentation (y compris la publication et la diffusion), intgrale ou partielle, par quelque moyen que ce soit (notamment, lectronique, mcanique, optique, photocopie, enregistrement informatique), non autorise pralablement par crit par la FNTC ou ses ayants droit, sont strictement interdites. Le Code de la Proprit Intellectuelle nautorise, aux termes de larticle L.122-5, dune part, que les copies ou reproductions strictement rserves lusage priv du copiste et non destins une utilisation collective et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration, toute reprsentation ou reproduction intgrale ou partielle faite sans le consentement de lauteur ou de ses ayants droit ou ayants cause est illicite (article L.122-4 du Code de la Proprit Intellectuelle). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaon sanctionne notamment par les articles L. 335-2 et suivants du Code de la Proprit Intellectuelle.
Prface
Remerciements
Aux contributeurs
Dimitri Mouton et Stphane Drai (CertEurope) ; Sylvie Camus et Anne Gombert (France Telecom R & D) ; Eric Caprioli et Pascal Agosti (Cabinet Caprioli & Associs) ; Sabine Lipovetsky (Cabinet Kahn & Associs)
Et aux participants
Olivier Jury (Agysoft) ; Jean-Jacques Milhem (Atos WorldLine) ; Olivier Demilly (ChamberSign) ; Nicolas Catel (Compagnie Nationale des Commissaires aux Comptes) ; Jean-Franois Doucde (Conseil National des Grefers des Tribunaux de Commerce-Infogreffe) ; Stphane Gasch (Conseil Suprieur de lOrdre des Experts-Comptables) ; Olivier Arous (Cryptolog) ; Eric Laurent-Ricard (Ecosix) ; Peter Sylvester (Edelweb) ; Jean-Luc Fretard (Experian) ; Gabriel Gil (GLI Services) ; Herv Schauer (Cabinet HSC) ; Jean-Marie Pages (Inforsud) ; Pascal Colin (Keynectis) ; Frdric Galland (Locarchives) ; Loc Sineau (Orsid) ; Denis Bourdillon (Pitney Bowes Asterion) ; Stphanie Roussel (SR Dveloppement) ; Raymond de Bernis (TrustMission)
Sommaire
7 7 7 8 8/9
1/ Introduction 1.1 Introduction : le ncessaire essor de la signature lectronique 1.2 A qui sadresse ce guide ? 2/ F.A.Q 2.1 A quoi sert la signature lectronique ? Quest-ce que a apporte mon entreprise ou organisation, mon activit ? 2.2 Jai des projets qui impliquent des changes via Internet. Que va mapporter la signature lectronique ? 2.3 Quelle est la valeur de la signature lectronique ? 2.4 Je souhaite dployer la signature lectronique dans mon entreprise, mon organisation, ou au sein dun projet. Comment faire ? 3/ Les usages 3.1 La signature lectronique garante de la valeur juridique des changes
3.1.1 Les rgles applicables et la convention de preuve 3.1.2 Les deux rles juridiques de la signature 3.1.3 Exemple 1 : la signature des marchs publics (B to A) 3.1.4 Exemple 2 : la signature lectronique dans un contexte international (B to A)
10/12
12/13 14/14
16 16
17
3.2.1 Les apports fonctionnels de la signature lectronique 3.2.2 Exemple 3 : la signature de facture (B to B ou B to C) 3.2.3 Exemple 4 : lacquisition de clientle et la contractualisation sur Internet (B to C) 3.2.4 Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C)
18
3.3.1 La scurit au service de la conance 3.3.2 Exemple 6 : la transmission de documents professionnels (B to B) 3.3.3 Exemple 7 : la validation de demandes de formations (B to E)
19
3.4.1 Une brique de la dmatrialisation 3.4.2 Exemple 8 : limpt sur le revenu (C to A) 3.4.3 Exemple 9 : la demande dinjonction de payer (B to A)
20 20 20
20
4.3.1 Mettre lutilisateur au centre des usages 4.3.2 Penser les services du point de vue ergonomique 4.3.3 Formation des utilisateurs 4.3.4 Conduite du changement 4.3.5 Sensibilisation des utilisateurs
21/22
4.4.1 Des projets structurants. 4.4.2 Organiser et planier le dploiement 4.4.3 Une ouverture sur lavenir
23 24
5/ Conclusion 6/ Annexe 1 - Liste des textes lgaux et normatifs Textes franais Textes communautaires Normes
25 25 25
7/ Annexe 2 - Le cycle de vie du certicat Le certicat LAutorit de Certication, lAutorit dEnregistrement, lOprateur de Certication, la Politique de Certication Le cycle de vie du certicat La qualit des certicats
7.1.1 La notion de classe de certicat 7.1.2 Le rfrencement PRIS 7.1.3 Les certicats qualis
26 26/27
28 28 28/29
8.1.1 Contrle de validit du certicat 8.1.2 Horodatage de la signature 8.1.3 Archivage du document sign 8.1.4 Autres usages du ceticat
30/32
9/ Annexe 4 Glossaire
1/ Introduction
1.1 Introduction : le ncessaire essor de la signature lectronique
Ds 1987, le prix Nobel dconomie Robert Merton Solow annonait que loutil informatique napporterait pas daugmentation de la productivit si son adoption ntait pas accompagne par une refonte des processus mtier. Impts, relations ladministration, e-commerce, marchs publics, relations clients / fournisseurs / partenaires, intranet, vie prive : vingt ans aprs, la quasi intgralit des changes autrefois raliss en papier sont passs llectronique : la dmatrialisation est dnitivement entre dans les moeurs, et toutes les grandes structures se sont rorganises de manire irrversible pour sadapter cette volution. Pourtant, dans la Gaule occupe de la dmatrialisation, un petit village dirrductibles a longtemps rsist lenvahisseur : celui des ux sensibles, des documents engageant leur auteur, des changes valeur probatoire. Le frein longtemps identi la dmatrialisation de ces lments (contrats, factures, offres commerciales) tait la scurit : scurit juridique, intgrit, garantie de provenance La signature lectronique, fonction aujourdhui arrive maturit tant des points de vue lgislatif que technique et organisationnel, permet de dbloquer la situation, et de dpasser le paradoxe de Solow pour atteindre les vrais bnces de la dmatrialisation. Lusage de la signature lectronique peut se fonder sur des besoins diffrents, dordre juridique, fonctionnel, psychologique, sans que ces trois domaines soient exclusifs les uns des autres. Toutefois, la nalit relle est toujours dordre conomique.
2/ F.A.Q.
Aspects juridiques
Aspects techniques
Aspects organisationnels
Conance et scurit
2.1 A quoi sert la signature lectronique ? Quest-ce que a apporte mon entreprise, mon organisation, mon activit ?
Cest compliqu ? Non ! La signature lectronique est simple dusage et dj trs rpandue.
La signature lectronique a dores et dj fait son entre dans lentreprise, dans ladministration et auprs des particuliers via les tldclarations sociales et scales : -TlTVA ; -TlIR ; -TlC@rteGrise ; -Tldclarations sociales (DUCS, DDS-U). Ces dmarches ont permis toutes les entreprises utilisant une tl-dclaration de constater, dune part la simplicit extrme de lusage de la signature lectronique, et dautre part les gains de productivit induits dans les procdures administratives. Exemple 8 : limpt sur le revenu (C to A)
Quelles conomies esprer en utilisant la signature lectronique ? La signature lectronique permet la dmatrialisation des processus et des documents.
La vie de lentreprise ou de toute organisation ncessite que certains documents soient signs par les employs, lemployeur, les partenaires, les clients et les fournisseurs. Il sagit par exemple du contrat de travail et de ses avenants, du rglement intrieur, de la charte informatique, mais aussi des contrats, accords de condentialit, partenariats, factures, etc. An de faire des conomies sur le papier, le stockage, le temps daccs aux documents, la recherche dinformation, lentreprise ou lorganisation peut dmatrialiser ces lments, cest--dire ne les produire quau format lectronique, sans dition papier. Ce nest pas la signature lectronique qui apporte directement une conomie, cest la dmatrialisation des documents et les nouveaux processus de gestion mis en oeuvre cette occasion. Mais il faut pour cela conserver ces documents leur valeur juridique, donc leur apposer une signature. Cest l le rle de la signature lectronique. La dmatrialisation ne peut donc pas se faire sans signature lectronique. Dautres processus peuvent galement tre dmatrialiss, comme les demandes de congs et leur validation, la gestion des notes de frais, les comptes-rendus dentretiens de carrire, les comptesrendus de runions, etc. Dans tous ces cas, la signature lectronique permet de formaliser laccord des parties et est un facilitateur la dmatrialisation. Cest en cela quelle donne conance dans le processus mis en oeuvre, puisquun document sign lectroniquement ne peut plus tre modi ou rfut. Exemple 7 : la validation de demandes de formations (B to E).
Page 8 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org
Quel gain peut mapporter la signature lectronique dans mon activit ? La signature lectronique facilite la signature des documents commerciaux tels que les contrats.
Grce la signature lectronique, un contrat peut tre pass sans rencontre physique et sans aucun change de papier, avec la mme valeur juridique. Cette possibilit offre un gain de temps considrable tant dans les relations entre professionnels que vis--vis du grand public : la contractualisation dmatrialise permet une entreprise dacqurir de nouveaux clients bien plus facilement. Exemple 4 : lacquisition de clientle et la contractualisation sur Internet (B to C). Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C).
Quel gain dimage mapporte la signature lectronique dans mes rapports avec mes clients et mes partenaires Modernit, innovation et cologie !
La signature lectronique et, avec elle, la dmatrialisation des processus de travail et dchange, offre une image de modernit et dinnovation, mais aussi dcologie grce au zro-papier . Un exemple prestigieux : le Ministre de lEconomie, depuis une dizaine dannes, mise sur ces procds pour amliorer son image. Exemple 6 : la transmission de documents professionnels (B to B).
2.2 Jai des projets qui impliquent des changes via Internet. Que va mapporter la signature lectronique ?
Jchange dj par mail avec mes partenaires et clients, quoi bon ajouter une signature lectronique ? La signature lectronique scurise et formalise les changes.
Quel risque y a-t-il changer par simple mail sans signature lectronique ? > Un mail peut sans difcult tre envoy au nom dun tiers. La signature lectronique associe de manire inaltrable lidentit de lmetteur au mail envoy. Il est donc impossible denvoyer un mail sign lectroniquement la place de quelquun. Il est galement impossible la personne qui a envoy un mail sign lectroniquement de nier cet envoi. > Un mail peut tre modi aprs avoir t envoy. La signature lectronique permet de prouver lintgrit dun message : une fois le mail sign lectroniquement, toute modication ultrieure sera immdiatement dtecte louverture. > Un mail simple ne constitue quun commencement de preuve. La signature lectronique, de mme que la signature manuscrite sur un papier, porte lengagement du signataire sur le contenu du message. Ainsi, la signature lectronique apporte aux changes par mail une plus grande scurit et permet des changes formaliss en toute conance. La plupart des solutions de messagerie incluent les fonctions de signature lectronique. La vrication de signature se fait automatiquement la rception dun mail sign. Lusage du mail sign est donc en pratique dune grande simplicit. Exemple 6 : la transmission de documents professionnels (B to B).
Quels documents ncessitent une signature lectronique ? Tout ce que vous signez de manire manuscrite peut (doit) tre sign de manire lectronique.
Le Code civil, dans son article 1316-4, dnit la notion de signature. Cette dnition est commune la signature manuscrite et la signature lectronique. Le code civil donne ensuite des dtails sur la dnition technique de la signature lectronique, mais il est important de se rappeler quune signature lectronique est quivalente une signature manuscrite, et quelle doit donc tre utilise dans les mmes cas. Dnition de la signature : La dnition de la signature a t introduite par la loi du 13 mars 2000, lors de la conscration de la signature lectronique. Larticle 1316-4 du Code Civil nonce que la signature ncessaire la perfection dun acte juridique identie celui qui lappose. Elle manifeste le consentement des parties aux obligations qui dcoulent de cet acte. Quand elle est appose par un ofcier public, elle confre lauthenticit lacte. Il est noter que cette dnition concerne la signature au sens large, quelle soit manuscrite ou lectronique. Fonctions de la signature : - Perfection de lacte : dfaut de signature, lacte juridique ne constitue quun commencement de preuve par crit ; - Identication du signataire ; - Adhsion au contenu de lacte.
Page 10 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org
Dnition de la signature lectronique : Larticle 1316-4 alina 2 du Code Civil prcise que la signature, Lorsquelle est lectronique, consiste en lusage dun procd able didentication garantissant son lien avec lacte auquel elle sattache. La abilit de ce procd est prsume, jusqu preuve contraire, lorsque la signature lectronique est cre, lidentit du signataire assure et lintgrit de lacte garantie, dans les conditions xes par dcret en Conseil dEtat. Certains usages de la signature lectronique sont imposs par la loi. Par exemple la signature lectronique est obligatoire pour : la tldclaration de revenu : le certicat est fourni par ladministration scale ; le service Tlc@rtegrise qui permet dobtenir un certicat de situation administrative ; la prsentation dune offre pour les marchs publics (article 48 I Code des marchs publics, et arrt ad hoc). La signature doit tre conforme au rfrentiel intersectoriel de scurit (http://www.entreprises.mine.gouv.fr/certicats/); la tldclaration URSSAF. Celle-ci peut tre ralise par courrier lectronique ou bien en ligne sur un site scuris ; la tldclaration de TVA (TlTVA) : lors dune transmission EDI, cest le partenaire EDI dclar auprs de ladministration qui signe lenvoi, alors quen mode EFI, cest le dclarant lui mme qui signe ; les factures lectroniques, (article 289 V du Code gnral des impts). Exemple 3 : la signature de facture (B to B ou B to C). Exemple 8 : limpt sur le revenu (C to A). Mais la signature lectronique peut aussi tre employe pour les actes non rgis par des textes de loi : contrats ; constats ; formulaires internes dentreprises ou dorganisations ; documents de travail Exemple 4 : lacquisition de clientle et la contractualisation sur Internet (B to C). Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C) Exemple 6 : la transmission de documents professionnels (B to B). Exemple 9 : la demande dinjonction de payer (B to A).
Quels formats de documents peut-on signer ? Tous les types de chiers peuvent tre signs. Mais attention
La signature lectronique peut porter sur tout type de document (.doc, .xls, .pdf, .jpg, .tiff, email, formulaire xml). Aucune contrainte technique nempche de raliser une signature lectronique et ce, quel que soit le format. Cependant, dans certains domaines, des contraintes sont imposes sur le format des donnes. Les formats XML (par exemple pour les changes scaux) et PDF (par exemple pour larchivage) sont ainsi souvent mis en avant. Il convient de noter que certains documents peuvent avoir un contenu dynamique : cest le cas des macros contenues notamment dans les documents bureautiques. La prsence de ces macros nempche pas de signer le document. Toutefois, une macro peut afcher un texte diffrent chaque ouverture du document, sans que cela invalide la signature lectronique. Ainsi, un champ dynamique contenant la date peut se mettre jour automatiquement, un montant de contrat pourrait tre modi selon une rgle prdnie Quelle valeur aurait alors le document sign ? Il est donc prfrable dapposer la signature lectronique sur des documents statiques, non susceptibles de changer, ou de vrier avant de signer lectroniquement labsence de champs dynamiques dans les documents. Voir chapitre : Les bonnes pratiques.
Puis-je imprimer un document sign lectroniquement ? Oui mais attention la valeur de cette impression.
Il est toujours possible dimprimer un document qui a t sign lectroniquement. De la mme manire, il est possible de scanner un document papier sign de manire manuscrite. Mais dans les deux cas, cest loriginal qui a une valeur juridique : cet original est le document lectronique dans le premier cas, et le document papier dans le second cas. An dimprimer la signature elle-mme, il convient de la rendre intelligible un tre humain, car une signature lectronique nest quun code informatique abscons. Cest le rle des logiciels de vrication de signature, qui permettront dimprimer un compte-rendu de vrication attestant de la validit de la signature lectronique.
Jai scann ma signature manuelle et je lai insre dans le document, quelle valeur a-t-elle ? Limage dune signature manuscrite ne constitue pas une signature lectronique !
La signature scanne appose sur un document lectronique na pour les juristes que la valeur dun commencement de preuve au sens du Code civil. Cela signie que si la partie adverse dnie la valeur juridique du document contenant la signature scanne produit en justice, elle peut y parvenir au motif que le procd de signature nest pas able au sens du Code civil.
Quelle est la diffrence entre une signature lectronique et une signature lectronique scurise ? Toutes les signatures lectroniques ont la mme valeur juridique !
Rappelons que, dun point de vue strictement juridique, peu importe que les signatures lectroniques soient simples , scurises , ou quelles utilisent des certicats qualis : elles ont toutes la mme valeur juridique. On met souvent en avant la prsomption de abilit , attache aux signatures lectroniques scurises ralises selon le dispositif spci larticle 1316-4, al. 2 du Code civil et larticle 2 du dcret du 30 mars 2001. Il faut toutefois rappeler ce sujet deux lments : > Lapport juridique de la signature emportant prsomption de abilit est faible dans le cadre de relations B to B ou B to C. > Les exigences relatives la signature scurise sont contraignantes mettre en oeuvre, et ne concerneront dans la pratique quune population trs rduite, principalement les professions rglementes pour la perfection des actes authentiques.
Mes partenaires sont ltranger. Nos signatures lectroniques ont-elles la mme valeur ? La signature lectronique est dnie au niveau europen et dans tous les pays industrialiss.
Les signatures lectroniques ralises dans diffrents pays ont une valeur transfrontalire ds le moment o les dispositifs de signature lectronique utiliss sont reconnus comme tant quivalents entre eux (par voie contractuelle ou par reconnaissance tatique). Le cadre juridique dans les Etats membres de lUnion europenne dcoule de la transposition dune directive communautaire (directive 1999/93/CE). Il faut analyser au cas par cas les cadres lgislatifs locaux pour dterminer les modalits dtablissement dune quivalence des signatures lectroniques. Exemple 2 : la signature lectronique dans un contexte international (B to A)
2.4 Je souhaite dployer la signature lectronique dans mon entreprise, mon organisation, ou au sein dun projet. Comment faire ?
On entend toujours parler de certicats Mais quest-ce que cest ? Le certicat est une carte didentit lectronique qui permet de raliser des signatures lectroniques.
La signature lectronique ncessite lutilisation dun certicat. Cest grce lui que se fera le lien entre le document sign et lidentit du signataire, un peu comme, dans le cas dune signature manuscrite, on pourra comparer la signature dune personne avec celle qui gure sur sa carte didentit ou au dos de sa carte bancaire. Annexe 2 - Le cycle de vie du certicat.
De quoi a-t-on besoin pour signer ? Pour signer, il faut un certicat (la carte didentit) et un logiciel de signature (le stylo).
Le signataire doit disposer : de son certicat lectronique : selon le contexte, ce certicat peut tre achet auprs dune Autorit de Certication du march, ou bien dlivr en interne par lentreprise ou lorganisation laquelle appartient le signataire ; dun outil de signature lectronique : la fonctionnalit de signature lectronique est en gnral directement intgre dans lapplication qui la ncessite (exemples : messagerie, plate-forme de marchs publics, tldclaration des impts et de la TVA). Dans le cas contraire, on emploiera un outil de signature du march, ddi ce seul usage.
Je nai pas de certicat, puis-je signer quand mme ? Le certicat est indispensable pour signer. Mais il peut tre produit au moment de la signature.
A ce jour, la lgislation ne permet pas de raliser de signature lectronique sans utilisation dun certicat faisant foi de lidentit du signataire. Certaines applications proposent la gnration du certicat au moment o son usage est ncessaire, avec une dure de validit trs courte (de lordre de quelques minutes). Dans ce cas, les dmarches pralables dobtention dun certicat et dinstallation sur le poste de travail ne sont pas ncessaires. Toutefois, les offreurs de tels services doivent disposer dinformations minimum relatives au signataire. Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C)
Quentend-on par vrication de signature ? Vrier une signature, cest sassurer de sa valeur !
La signature lectronique ne fournit pas, comme la signature manuscrite, un lment graphique immdiatement identiable et qui sufse reconnatre le signataire. La vrication de la signature lectronique ncessite lutilisation dun outil, qui analyse le code de la signature et afche de manire lisible les lments pertinents : validit de la signature ; identit du signataire ; date de la signature Cet outil de vrication est en gnral inclus dans lapplication dans laquelle le document sign est chang. Les informations de vrication sont alors prsentes lutilisateur sans action de sa part. Dans le cas contraire, on utilisera un outil de vrication de signature du march, ddi ce seul usage. NB 1 : La personne qui vrie une signature na pas besoin de disposer dun certicat son nom. NB 2 : Si la vrication de signature manuscrite ncessite de connatre lavance llment graphique et de le reconnatre, la signature lectronique sabstrait de tout contexte pralable. Il est ainsi bien plus difcile de forger une fausse signature lectronique, ou den fausser la vrication, que de falsier une signature manuscrite.
3/ Les usages
Les cas dusage de la signature lectronique prsents ci-dessous, souhaitent illustrer la diversit des situations dans lesquelles ce procd sapplique, en empruntant des exemples tous les domaines : B to B (changes entre entreprises), B to A (changes entre entreprises et administration), B to C (changes entre entreprises et clients), C to A (changes entre citoyens et administration), B to E (changes entre lentreprise et ses employs), ou A to A (changes entre administrations).
3.1.3 Exemple 1 : la signature des marchs publics (B to A) Lorsquune entreprise rpond par la voie lectronique une procdure de marchs publics, elle a lobligation de signer certains lments de son envoi, en particulier lacte dengagement. Cest cet acte dengagement, co-sign par la personne publique lors de lattribution du march, qui deviendra le contrat. Le mcanisme est donc semblable ltat de lart des procdures papier. Pour signer lectroniquement, lentreprise doit tre munie dun certicat rfrenc pour cet usage par le Ministre de lEconomie, des Finances et de lEmploi. Elle doit suivre la procdure de signature dcrite sur la plate-forme de marchs publics. Le signataire doit tre une personne habilite engager lentreprise, ou disposer dune dlgation lui donnant ce pouvoir. Des milliers dentreprises procdent dj de cette manire, sans aucune difcult, le processus tant dni par le Code des marchs publics, mis en oeuvre par les plates-formes de dmatrialisation, grce aux certicats de signature rfrencs par le Ministre de lEconomie, des Finances et de lEmploi.
La FNTC a publi en 2006 un Guide de la conance consacr la dmatrialisation des marchs publics 3.1.4 Exemple 2 : la signature lectronique dans un contexte international (B to A) Un groupe aronautique europen a rpondu un appel doffres de ladministration amricaine qui exigeait que les rponses soient exclusivement transmises par voie lectronique. De mme, tous les changes tels que accords de condentialit, documents administratifs entre cette administration et les industriels sont lectroniques. Pour tre en mesure dtre conforme ces exigences, le groupe europen sest squip de certicats lectroniques reconnus par les administrations europennes et amricaines de faon ce que les documents lectroniques signs aient une valeur lgale reconnue dans chacun des pays, via un mcanisme appel la certication croise (ou cross-certication). Grce ce procd mis en oeuvre par des tiers de conance reconnus par les administrations respectives, ce groupe europen a remport lappel doffres en question.
3.2.3 Exemple 4 : lacquisition de clientle et la contractualisation sur Internet (B to C) Un groupe, spcialiste du crdit la consommation, a entirement dmatrialis son processus dacquisition de clientle : grce un enregistrement en ligne disponible 24h/24, le particulier peut remplir un formulaire, envoyer des copies de ses documents didentit et obtenir aprs validation par un agent un certicat lui permettant dapposer sa signature lectronique sur son contrat dadhsion. Les gains de productivit dun tel processus sont vidents : le client na pas besoin de se dplacer ni denvoyer ses documents, tout se fait en ligne, sans attente, et la valeur juridique du contrat demeure identique celle dun contrat papier. 3.2.4 Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C) Les banques offrent leurs clients sur internet une offre grandissante de produits et services bancaires. Pour souscrire certains de ces services, par exemple, pour un crdit la consommation, la signature dun contrat est lgalement obligatoire. Une quinzaine dtablissements nanciers proposent aujourdhui leurs clients particuliers de signer ces contrats en ligne. Ce service est assur 24h sur 24 par un oprateur agr qui dlivre des certicats temporaires selon les informations fournies par les banques. Ceci permet au client internaute de procder la signature de son contrat de crdit alors quil ntait pas en possession pralable dun certicat ; cette procdure ne ncessite donc aucun quipement pour le client. Cette application ouvre lusage de la signature de contrat en ligne tous les clients internautes des banques ou organismes de crdit la consommation.
3.3.3 Exemple 7 : la validation de demandes de formations (B to E) Un grand groupe de tlcom a mis en place, sur son intranet, un processus tout lectronique de demande de formations : lemploy remplit en ligne un formulaire dcrivant la formation souhaite. Son suprieur hirarchique valide la demande et consent ainsi lengagement nancier correspondant en ralisant une signature lectronique du formulaire. Cet usage de la signature lectronique vient complter la gamme des fonctionnalits lies au dploiement des outils de scurit au sein du groupe.
4.3.3 Formation des utilisateurs Mme si les logiciels ou services web se veulent intuitifs , il est indispensable de fournir aux utilisateurs une formation adapte leurs besoins : cours et travaux pratiques, e-learning ou autoformation, manuel illustr, aide en ligne La formation doit tre adapte la cible : on napportera pas le mme niveau dexpertise un commercial devant signer quotidiennement ses rponses aux appels doffres et un prospect devant, une seule fois, signer en ligne son contrat dadhsion. Mais ces deux populations, pour des raisons diffrentes, ne peuvent tre laisses seules face un nouveau dispositif aussi important que la signature lectronique. 4.3.4 Conduite du changement Lorsque la signature lectronique vient modier les habitudes de travail dans lentreprise ou dans lorganisation, il faut anticiper ces modications et les accompagner : si les contrats reus sont dsormais lectroniques et non plus papier, faut-il un cran plus grand ? Comment ralise-t-on larchivage pour garantir la conservation long terme des documents lectroniques ? Comment lagent vrie-t-il la signature ? Comment le client obtient-il une copie de son contrat ? Tous les services devant traiter le document sign sont-ils prts le faire (services techniques, juridiques, commerciaux, ressources humaines, etc.) ? Il suft quun maillon de la chane de traitement nadhre pas au nouveau processus pour que lensemble du projet soit remis en cause. Il importe donc dexpliquer tous et chacun le pourquoi de la modication du processus, les changements que cela implique et les moyens mis leur disposition pour remplir leur mission. 4.3.5 Sensibilisation des utilisateurs La signature lectronique appartient au domaine de la scurit informatique. De ce fait, les utilisateurs seront amens manipuler des objets ou des chiers sensibles et quil faut protger : clefs USB, cartes puce, codes PIN ou mots de passe, etc. Chaque utilisateur doit tre sensibilis limportance de ces lments et lattention quil doit porter leur prservation, tant pour lentreprise ou lorganisation que pour lui-mme, puisquune signature lectronique engage la personne qui la ralise.
4.4.2 Organiser et planier le dploiement La signature lectronique se fait grce un certicat et un outil de signature. Chacun de ces lments a ses propres rgles de gestion. Le dploiement de loutil de signature se fait comme pour tout outil informatique, soit via la mise disposition dun service (sur lintranet ou sur internet), soit via le dploiement du logiciel sur chaque poste de travail. Cela ncessite bien entendu un plan de dploiement et une formation des utilisateurs. Les certicats sapparentent plus au dploiement de badges professionnels : ils sont personnels, souvent matrialiss par un objet physique (carte puce, clef USB). Leur dploiement dans lentreprise ou lorganisation, ou auprs de son cosystme (partenaires, fournisseurs, clients) reprsente un projet part entire. Un parc dploy de certicats est en effet un ensemble vivant quil faut grer de manire dynamique : que fait-on en cas de perte de la carte, doubli du code porteur, de vol, de dpart dun employ, darrive dun nouvel employ, dappel des prestataires en rgie auxquels il faut donner accs au service, dexpiration dun certicat ncessitant son renouvellement Le cycle de vie des certicats doit donc tre entirement dni, et la structure adapte sa gestion doit tre mise en place et dote de la formation, de la sensibilisation et des moyens adquats. Une annexe prsente le cycle de vie du certicat. cf Annexe 2 - Le cycle de vie du certicat. 4.4.3 Une ouverture sur lavenir Dployer un parc de certicats de signature dans lentreprise ou lorganisation est le premier pas qui permet louverture de nombreux services utilisant le certicat : contrle daccs des applications web, authentication forte, chiffrement de donnes, accs distant au Systme dInformation, etc. Un projet de signature lectronique doit prendre en compte cet aspect dinvestissement structurant.
5/ Conclusion
A travers ses apports fonctionnels, juridiques et organisationnels, la signature lectronique est une brique incontournable des projets de dmatrialisation. Cest grce elle que se ralisera la modernisation des processus de travail des entreprises comme des administrations. Techniquement et organisationnellement mre, cette technologie vous tend les bras au travers de professionnels comptents et reconnus, regroups au sein de la Fdration Nationale des Tiers de Conance.
Textes communautaires
Directive europenne du 13 dcembre 1999 sur un cadre communautaire pour la signature lectronique ; Directive europenne du 8 juin 2000 commerce lectronique ; Dcision de la Commission du 14 juillet 2003 (2003/511/CE) relative la publication des numros de rfrence de normes gnralement admises pour les produits de signatures lectroniques conformment la directive 1999/93/CE du Parlement europen et du Conseil.
Normes
AFNOR Z74-400 exigences concernant la politique mise en oeuvre par les autorits de certication dlivrant des certicats qualis. et la spcication technique ETSI dont elle est la traduction : ETSI 101 456 - Policy requirements for Certicate Authorities issuing qualied certicates .
Deux normes se sont succds : PRIS V1 et PRIS V2. On trouve la liste des familles de certicats rfrencs PRIS sur : www.adele.gouv.fr/synergies/certicats
Niveau (***)
Niveau (**)
Niveau (*)
7.1.3 Les certicats qualis Plusieurs normes franaises et internationales permettent de garantir la qualit de lOprateur de Certication et de lAutorit de Certication. Les Oprateurs de Certication audits et reconnus conformes la norme AFNOR Z 74-400 / ETSI TS 101456 sont dits Oprateurs de Certication Qualis. Les Autorits de Certication audites et reconnues conformes larrt du 26 juillet 2004 sont aptes mettre des Certicats Qualis. La Qualication garantit un niveau trs lev de scurit et de qualit de service. La liste des acteurs qualis est disponible sur : http://www.lsti.fr Les certicats qualis, ncessaires la ralisation de signatures lectroniques scurises emportant prsomption de abilit (cf 2.3) rpondent aux exigences de larrt du 26 juillet 2004. Lorsquune telle signature est ralise, en cas de contentieux, larticle 1316-4 du Code civil prvoit que la charge de la preuve relative la validit de la signature incombe au plaignant.
8.1.2 Horodatage de la signature Lorsque lon vrie la signature dun document, on doit vrier la validit du certicat du signataire. Le certicat du signataire peut tre expir au moment o lon ralise la vrication de signature (par exemple un an aprs). Mais ce qui compte est que le certicat du signataire nait pas t expir au moment o la signature a t ralise. An de le garantir, la signature peut comporter un horodatage : il sagit dun lment technique garantissant le jour et lheure auxquels la signature a t ralise. Cet horodatage peut prendre diffrentes formes : une date incluse manuellement dans le document sign ; une date incluse automatiquement dans la signature elle-mme ; un jeton dhorodatage certi dlivr par une Autorit dHorodatage ; une preuve de validit externe fournie par une Autorit de Gestion de Preuve, qui fait foi de la vrication de la signature lors de sa ralisation ou de sa rception.
Guide de lhorodatage
8.1.3 Archivage du document sign Un document sign lectroniquement a une valeur juridique : il est souvent important de le conserver de manire prenne pour les besoins ultrieurs de lentreprise ou de lorganisation. Cest le rle de larchivage lectronique. 8.1.4 Autres usages du certicat Lorsque lon dploie des certicats, ils peuvent avoir dautres usages que la signature lectronique. La multiplicit des usages du certicat, support indispensable de la signature lectronique, permet un retour sur investissement rapide lors de son dploiement dans lentreprise ou lorganisation. Authentication / contrle daccs : le certicat peut remplacer le classique couple identiant / mot de passe pour contrler laccs des utilisateurs un site, un service, ou mme au poste de travail. Lusage du certicat pour le contrle daccs augmente considrablement le niveau de scurit. Chiffrement (cryptage) de donnes : le certicat permet de raliser des changes de donnes condentielles, mais aussi la scurisation du disque dur de lordinateur par un cryptage systmatique des donnes.
9/ Annexe 4 Glossaire
Archivage (lectronique) Ensemble des actions, outils et mthodes mis en oeuvre pour runir, identier, slectionner, classer et conserver des contenus lectroniques, sur un support scuris, dans le but de les exploiter et de les rendre accessibles dans le temps, que ce soit titre de preuve (en cas dobligations lgales notamment ou de litiges) ou titre informatif. Autorit de Certication (AC) Egalement appele Autorit Certiante (ou Certicate Authority en anglais). Entit responsable de lmission, de la dlivrance et de la gestion des certicats lectroniques. Lautorit de Certication est responsable des certicats mis en son nom. Autorit dEnregistrement (AE) Entit responsable de lidentication et de lauthentication des demandeurs de certicats lectroniques au prot dune Autorit de Certication. Autorit dHorodatage (AH) Entit responsable de la dlivrance des jetons dhorodatage, aussi appels contremarques de temps, sur des donnes qui lui sont prsentes. Elle garantit ainsi la date qui est appose sur tous les documents et signatures issus de lAutorit de Certication et de lAutorit dEnregistrement. Certicat lectronique quivalent dun passeport dans le monde physique, le certicat lectronique joue le rle de pice didentit lectronique. Lidentit de son propritaire est garantie par lAutorit de Certication qui lui a dlivr ce certicat. Le certicat est un document sous forme lectronique attestant du lien entre les donnes de vrication de signature (cls cryptographiques publiques) et lidentit du signataire. Certicat (lectronique) quali Certicat lectronique rpondant aux exigences de larticle 6 du Dcret du 30 mars 2001. Chiffrement Opration par laquelle une donne intelligible est rendue inintelligible an den protger la condentialit. Cl publique / cl prive / bi-cl La cl publique est un lment mathmatique qui peut tre rendu public et dont lusage est de vrier les signatures lectroniques ralises par la cl prive associe. Une cl publique peut aussi tre utilise pour chiffrer des donnes qui sont dchiffres par la cl prive associe. La cl publique et la cl prive forment ensemble la bi-cl. CRL ou LCR (Liste des Certicats Rvoqus) Liste des numros de srie des certicats qui ont fait lobjet dune rvocation. Cette liste est tenue jour et publie rgulirement par lAutorit de Certication et rendue disponible tous les utilisateurs de certicats. Cryptographie La cryptographie regroupe lensemble des techniques qui permettent la gestion de secrets. Il existe deux types de cryptographie : la cryptographie symtrique dite cl secrte et la cryptographie asymtrique dite cl publique . Le principe de la cryptographie cl secrte consiste utiliser un seul secret ou une mme cl pour chiffrer et dchiffrer les informations. Pour la cryptographie cl publique, il y a 2 cls diffrentes : une cl dite publique et une cl dite prive qui nest connue que de son utilisateur.
Page 30 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org
Dmatrialisation Mcanisme consistant transformer lchange traditionnel des documents, sous forme papier, en un change lectronique, via Internet, tout en conservant la mme validit quun change sous forme papier. Dispositif Scuris de Cration de Signature (DSCS) Matriel ou logiciel destin mettre en application les donnes de cration de signature lectronique (cl cryptographique prive, propre au signataire) et certi par la DCSSI (Direction Centrale de la Scurit des Systmes dInformation) pour cette utilisation. Force probante Efcacit dun moyen de preuve. Horodatage Service qui associe de manire sre un vnement et une heure an dtablir de manire able lheure laquelle cet vnement sest ralis. Infrastructure Cls Publiques (ICP) galement appele IGC (Infrastructure de Gestion de Cls) ou PKI (Public Key Infrastructure) en anglais. Ensemble des moyens techniques, humains, documentaires et contractuels mis la disposition dutilisateurs pour assurer, avec des systmes de cryptographie asymtrique, un environnement scuris pour les changes lectroniques. Intranet Rseau utilis lintrieur dune entreprise ou de toute autre entit organisationnelle utilisant les techniques de communication dinternet (IP, serveur HTTP). LCEN Loi pour la Conance dans lconomie Numrique. Loi franaise sur le droit de lInternet, transposant la directive europenne 2000/31/CE. OCSP Online Certicate Status Protocol Protocole internet de vrication dun certicat lectronique dcrit dans la RFC 2560. Les communications OCSP tant de la forme requte/rponse, les serveurs OCSP sont appels rpondeurs OCSP. Oprateur de Certication (OC) Assure la fourniture et la gestion des certicats lectroniques. Son rle consiste mettre en oeuvre une plate-forme technique scurise dans le respect des exigences nonces dans la Politique de Certication. Politique de Certication (PC) galement appele Certicate Practice Statement (CPS) en anglais. Dnit les procdures selon lesquelles les certicats sont gnrs et grs. Elle permet de dnir le lien de conance entre lutilisateur nal et le porteur du certicat. Prsomption de abilit Les exigences lies la mise en place dune signature lectronique permettant de bncier de la prsomption de abilit du procd de signature lectronique sont les suivantes : la signature lectronique met en oeuvre une Signature lectronique Scurise (SES) ; cette SES est tablie grce un Dispositif Scuris de Cration de Signature lectronique (DSCS) ; la vrication de la Signature lectronique repose sur lutilisation dun certicat lectronique quali.
PRIS Politique de Rfrencement Intersectorielle de Scurit. Il sagit du rfrentiel documentaire qui dnit des exigences pour diffrentes fonctions de scurit. Il concerne les produits de scurit et les prestataires de services de conance utiliss dans le cadre des changes dmatrialiss entre usagers et autorits administratives ainsi quentre autorits administratives. Les spcications techniques retenues dans la PRIS sont regroupes sous la forme de niveaux de scurit dexigences croissantes de * ***. Services de Certication (lectronique) Services dlivrs par un prestataire de services de certication (lectronique). Exemples : dlivrance de certicats lectroniques, service dannuaire de certication, fourniture de CRL, fourniture de jeton dhorodatage, archivage... Signature lectronique Donne sous forme lectronique, qui : - est jointe ou lie logiquement dautres donnes lectroniques (lacte sign) ; - identie le signataire ; - garantit le lien du signataire avec lacte sign. La signature lectronique est ralise laide de certicats en utilisant les mthodes de cryptographie asymtrique. Signature lectronique Scurise (SES) Il sagit dune signature lectronique qui satisfait aux trois exigences suivantes : - tre propre au signataire ; - tre cre par des moyens que le signataire puisse garder sous son contrle exclusif ; - garantir avec lacte auquel elle sattache un lien tel que toute modication ultrieure de lacte soit dtectable. Tiers de Conance Organisme habilit mettre en uvre des signatures lectroniques reposant sur des architectures dInfrastructure Cls Publiques
www.fntc.org