GUIDE DE LA SIGNATURE LECTRONIQUE

COLLECTION LES GUIDES DE LA CONFIANCE DE LA FNTC

Dans la collection les guides de la Conance de la FNTC

>> Vade-mecum juridique de la dmatrialisation des documents (mars 2008)

>> Guide de la dmatrialisation des marchs publics (dcembre 2006)

>> Guide de lhorodatage (octobre 2004)

Prochaines parutions
>> Guide de la facture lectronique >> Guide de le-vote lectronique

Copyright octobre 2008 Le prsent document est une oeuvre protge par les dispositions du Code de la Proprit Intellectuelle du 1er juillet 1992, notamment par celles relatives la proprit littraire et artistique et aux droits dauteur, ainsi que par toutes les conventions internationales applicables. Ces droits sont la proprit exclusive de la FNTC (Fdration Nationale des Tiers de Conance). La reproduction, la reprsentation (y compris la publication et la diffusion), intgrale ou partielle, par quelque moyen que ce soit (notamment, lectronique, mcanique, optique, photocopie, enregistrement informatique), non autorise pralablement par crit par la FNTC ou ses ayants droit, sont strictement interdites. Le Code de la Proprit Intellectuelle nautorise, aux termes de larticle L.122-5, dune part, que les copies ou reproductions strictement rserves lusage priv du copiste et non destins une utilisation collective et, dautre part, que les analyses et les courtes citations dans un but dexemple et dillustration, toute reprsentation ou reproduction intgrale ou partielle faite sans le consentement de lauteur ou de ses ayants droit ou ayants cause est illicite (article L.122-4 du Code de la Proprit Intellectuelle). Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait une contrefaon sanctionne notamment par les articles L. 335-2 et suivants du Code de la Proprit Intellectuelle.

Page 2 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Prface

Page 3 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Remerciements

Aux contributeurs
Dimitri Mouton et Stphane Drai (CertEurope) ; Sylvie Camus et Anne Gombert (France Telecom R & D) ; Eric Caprioli et Pascal Agosti (Cabinet Caprioli & Associs) ; Sabine Lipovetsky (Cabinet Kahn & Associs)

Et aux participants
Olivier Jury (Agysoft) ; Jean-Jacques Milhem (Atos WorldLine) ; Olivier Demilly (ChamberSign) ; Nicolas Catel (Compagnie Nationale des Commissaires aux Comptes) ; Jean-Franois Doucde (Conseil National des Grefers des Tribunaux de Commerce-Infogreffe) ; Stphane Gasch (Conseil Suprieur de lOrdre des Experts-Comptables) ; Olivier Arous (Cryptolog) ; Eric Laurent-Ricard (Ecosix) ; Peter Sylvester (Edelweb) ; Jean-Luc Fretard (Experian) ; Gabriel Gil (GLI Services) ; Herv Schauer (Cabinet HSC) ; Jean-Marie Pages (Inforsud) ; Pascal Colin (Keynectis) ; Frdric Galland (Locarchives) ; Loc Sineau (Orsid) ; Denis Bourdillon (Pitney Bowes Asterion) ; Stphanie Roussel (SR Dveloppement) ; Raymond de Bernis (TrustMission)

Page 4 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Sommaire

7 7 7 8 8/9

1/ Introduction 1.1 Introduction : le ncessaire essor de la signature lectronique 1.2 A qui sadresse ce guide ? 2/ F.A.Q 2.1 A quoi sert la signature lectronique ? Quest-ce que a apporte mon entreprise ou organisation, mon activit ? 2.2 Jai des projets qui impliquent des changes via Internet. Que va mapporter la signature lectronique ? 2.3 Quelle est la valeur de la signature lectronique ? 2.4 Je souhaite dployer la signature lectronique dans mon entreprise, mon organisation, ou au sein dun projet. Comment faire ? 3/ Les usages 3.1 La signature lectronique garante de la valeur juridique des changes
3.1.1 Les rgles applicables et la convention de preuve 3.1.2 Les deux rles juridiques de la signature 3.1.3 Exemple 1 : la signature des marchs publics (B to A) 3.1.4 Exemple 2 : la signature lectronique dans un contexte international (B to A)

10/12

12/13 14/14

16 16

17

3.2 La signature lectronique au service des processus mtier

3.2.1 Les apports fonctionnels de la signature lectronique 3.2.2 Exemple 3 : la signature de facture (B to B ou B to C) 3.2.3 Exemple 4 : lacquisition de clientle et la contractualisation sur Internet (B to C) 3.2.4 Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C)

18

3.3 La signature lectronique pour la conance dans les changes

3.3.1 La scurit au service de la conance 3.3.2 Exemple 6 : la transmission de documents professionnels (B to B) 3.3.3 Exemple 7 : la validation de demandes de formations (B to E)

19

3.4 La signature lectronique pour amliorer la productivit

3.4.1 Une brique de la dmatrialisation 3.4.2 Exemple 8 : limpt sur le revenu (C to A) 3.4.3 Exemple 9 : la demande dinjonction de payer (B to A)

Page 5 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

20 20 20

4/ Les bonnes pratiques 4.1 Introduction 4.2 La technique au service du projet

4.2.1 La signature lectronique : un domaine techniquement mr 4.2.2 Sentourer de professionnels comptents 4.2.3 Adapter le niveau de scurit aux besoins

20

4.3 Prendre en compte le facteur humain

4.3.1 Mettre lutilisateur au centre des usages 4.3.2 Penser les services du point de vue ergonomique 4.3.3 Formation des utilisateurs 4.3.4 Conduite du changement 4.3.5 Sensibilisation des utilisateurs

21/22

4.4 Raisonner long terme

4.4.1 Des projets structurants. 4.4.2 Organiser et planier le dploiement 4.4.3 Une ouverture sur lavenir

23 24

5/ Conclusion 6/ Annexe 1 - Liste des textes lgaux et normatifs Textes franais Textes communautaires Normes

25 25 25

7/ Annexe 2 - Le cycle de vie du certicat Le certicat LAutorit de Certication, lAutorit dEnregistrement, lOprateur de Certication, la Politique de Certication Le cycle de vie du certicat La qualit des certicats
7.1.1 La notion de classe de certicat 7.1.2 Le rfrencement PRIS 7.1.3 Les certicats qualis

26 26/27

28 28 28/29

8/ Annexe 3 - Elments techniques La cryptographie clef publique Complments la signature lectronique

8.1.1 Contrle de validit du certicat 8.1.2 Horodatage de la signature 8.1.3 Archivage du document sign 8.1.4 Autres usages du ceticat

30/32

9/ Annexe 4 Glossaire

Page 6 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

1/ Introduction
1.1 Introduction : le ncessaire essor de la signature lectronique
Ds 1987, le prix Nobel dconomie Robert Merton Solow annonait que loutil informatique napporterait pas daugmentation de la productivit si son adoption ntait pas accompagne par une refonte des processus mtier. Impts, relations ladministration, e-commerce, marchs publics, relations clients / fournisseurs / partenaires, intranet, vie prive : vingt ans aprs, la quasi intgralit des changes autrefois raliss en papier sont passs llectronique : la dmatrialisation est dnitivement entre dans les moeurs, et toutes les grandes structures se sont rorganises de manire irrversible pour sadapter cette volution. Pourtant, dans la Gaule occupe de la dmatrialisation, un petit village dirrductibles a longtemps rsist lenvahisseur : celui des ux sensibles, des documents engageant leur auteur, des changes valeur probatoire. Le frein longtemps identi la dmatrialisation de ces lments (contrats, factures, offres commerciales) tait la scurit : scurit juridique, intgrit, garantie de provenance La signature lectronique, fonction aujourdhui arrive maturit tant des points de vue lgislatif que technique et organisationnel, permet de dbloquer la situation, et de dpasser le paradoxe de Solow pour atteindre les vrais bnces de la dmatrialisation. Lusage de la signature lectronique peut se fonder sur des besoins diffrents, dordre juridique, fonctionnel, psychologique, sans que ces trois domaines soient exclusifs les uns des autres. Toutefois, la nalit relle est toujours dordre conomique.

1.2 A qui sadresse ce guide

Vous tes un dcideur et vous vous demandez ce que la signature lectronique peut apporter votre entreprise ? Vous tes responsable marketing et vous aimeriez ouvrir des services en ligne sur internet ? Vous tes responsable juridique et vous aimeriez allger la masse de papier qui entoure la gestion de lentreprise? Vous tes DSI et vous vous demandez par quel bout prendre le dploiement de la signature lectronique ? Alors ce guide sadresse vous! Constitue de professionnels reconnus des domaines de la scurit et de la conance, la FNTC sest donn pour objectif, au travers de ce guide, de vous aider aborder la signature lectronique de manire pragmatique, en se fondant sur des rponses concrtes des questions concrtes, et sur des exemples dutilisation tirs de la vie relle et qui correspondent vos centres dintrt. Ce guide, qui ne se veut pas technique, vous permettra de mesurer les apports possibles de la signature lectronique, dans votre contexte quotidien, sans vous encombrer lesprit de dtails inutiles ce stade de votre rexion. Vous pourrez ensuite vous rapprocher des experts du mtier avec une expression de besoin clarie qui vous permettra de mener votre projet dans les meilleures conditions. Pour les inconditionnels de la technique, on trouvera en annexe une synthse minimaliste (Annexe 3 - Elments techniques), et lon pourra se reporter aux nombreux ouvrages qui traitent du sujet, disponibles via Internet ou chez votre libraire habituel.

Page 7 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

2/ F.A.Q.

Aspects juridiques

Aspects techniques

Aspects nanciers et commerciaux

Aspects organisationnels

Conance et scurit

2.1 A quoi sert la signature lectronique ? Quest-ce que a apporte mon entreprise, mon organisation, mon activit ?
Cest compliqu ? Non ! La signature lectronique est simple dusage et dj trs rpandue.
La signature lectronique a dores et dj fait son entre dans lentreprise, dans ladministration et auprs des particuliers via les tldclarations sociales et scales : -TlTVA ; -TlIR ; -TlC@rteGrise ; -Tldclarations sociales (DUCS, DDS-U). Ces dmarches ont permis toutes les entreprises utilisant une tl-dclaration de constater, dune part la simplicit extrme de lusage de la signature lectronique, et dautre part les gains de productivit induits dans les procdures administratives. Exemple 8 : limpt sur le revenu (C to A)

Quelles conomies esprer en utilisant la signature lectronique ? La signature lectronique permet la dmatrialisation des processus et des documents.
La vie de lentreprise ou de toute organisation ncessite que certains documents soient signs par les employs, lemployeur, les partenaires, les clients et les fournisseurs. Il sagit par exemple du contrat de travail et de ses avenants, du rglement intrieur, de la charte informatique, mais aussi des contrats, accords de condentialit, partenariats, factures, etc. An de faire des conomies sur le papier, le stockage, le temps daccs aux documents, la recherche dinformation, lentreprise ou lorganisation peut dmatrialiser ces lments, cest--dire ne les produire quau format lectronique, sans dition papier. Ce nest pas la signature lectronique qui apporte directement une conomie, cest la dmatrialisation des documents et les nouveaux processus de gestion mis en oeuvre cette occasion. Mais il faut pour cela conserver ces documents leur valeur juridique, donc leur apposer une signature. Cest l le rle de la signature lectronique. La dmatrialisation ne peut donc pas se faire sans signature lectronique. Dautres processus peuvent galement tre dmatrialiss, comme les demandes de congs et leur validation, la gestion des notes de frais, les comptes-rendus dentretiens de carrire, les comptesrendus de runions, etc. Dans tous ces cas, la signature lectronique permet de formaliser laccord des parties et est un facilitateur la dmatrialisation. Cest en cela quelle donne conance dans le processus mis en oeuvre, puisquun document sign lectroniquement ne peut plus tre modi ou rfut. Exemple 7 : la validation de demandes de formations (B to E).
Page 8 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Quel gain peut mapporter la signature lectronique dans mon activit ? La signature lectronique facilite la signature des documents commerciaux tels que les contrats.
Grce la signature lectronique, un contrat peut tre pass sans rencontre physique et sans aucun change de papier, avec la mme valeur juridique. Cette possibilit offre un gain de temps considrable tant dans les relations entre professionnels que vis--vis du grand public : la contractualisation dmatrialise permet une entreprise dacqurir de nouveaux clients bien plus facilement. Exemple 4 : lacquisition de clientle et la contractualisation sur Internet (B to C). Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C).

Quel gain dimage mapporte la signature lectronique dans mes rapports avec mes clients et mes partenaires Modernit, innovation et cologie !
La signature lectronique et, avec elle, la dmatrialisation des processus de travail et dchange, offre une image de modernit et dinnovation, mais aussi dcologie grce au zro-papier . Un exemple prestigieux : le Ministre de lEconomie, depuis une dizaine dannes, mise sur ces procds pour amliorer son image. Exemple 6 : la transmission de documents professionnels (B to B).

Il va falloir y passer ? Naturellement !

Dans la sphre scale, lobligation est dj effective. Mais si les usages de la signature lectronique sont en pleine expansion, cest moins du fait dobligations rglementaires que pour les avantages quelle offre aux entreprises et organisations qui sen servent. Au fur et mesure que les grands groupes internationaux font ce choix pour scuriser leurs changes avec leur cosystme de partenaires, la dmatrialisation et la signature lectronique vont simposer tous comme un procd aussi incontournable quInternet et donner un levier supplmentaire de productivit.

Page 9 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

2.2 Jai des projets qui impliquent des changes via Internet. Que va mapporter la signature lectronique ?
Jchange dj par mail avec mes partenaires et clients, quoi bon ajouter une signature lectronique ? La signature lectronique scurise et formalise les changes.
Quel risque y a-t-il changer par simple mail sans signature lectronique ? > Un mail peut sans difcult tre envoy au nom dun tiers. La signature lectronique associe de manire inaltrable lidentit de lmetteur au mail envoy. Il est donc impossible denvoyer un mail sign lectroniquement la place de quelquun. Il est galement impossible la personne qui a envoy un mail sign lectroniquement de nier cet envoi. > Un mail peut tre modi aprs avoir t envoy. La signature lectronique permet de prouver lintgrit dun message : une fois le mail sign lectroniquement, toute modication ultrieure sera immdiatement dtecte louverture. > Un mail simple ne constitue quun commencement de preuve. La signature lectronique, de mme que la signature manuscrite sur un papier, porte lengagement du signataire sur le contenu du message. Ainsi, la signature lectronique apporte aux changes par mail une plus grande scurit et permet des changes formaliss en toute conance. La plupart des solutions de messagerie incluent les fonctions de signature lectronique. La vrication de signature se fait automatiquement la rception dun mail sign. Lusage du mail sign est donc en pratique dune grande simplicit. Exemple 6 : la transmission de documents professionnels (B to B).

Quels documents ncessitent une signature lectronique ? Tout ce que vous signez de manire manuscrite peut (doit) tre sign de manire lectronique.
Le Code civil, dans son article 1316-4, dnit la notion de signature. Cette dnition est commune la signature manuscrite et la signature lectronique. Le code civil donne ensuite des dtails sur la dnition technique de la signature lectronique, mais il est important de se rappeler quune signature lectronique est quivalente une signature manuscrite, et quelle doit donc tre utilise dans les mmes cas. Dnition de la signature : La dnition de la signature a t introduite par la loi du 13 mars 2000, lors de la conscration de la signature lectronique. Larticle 1316-4 du Code Civil nonce que la signature ncessaire la perfection dun acte juridique identie celui qui lappose. Elle manifeste le consentement des parties aux obligations qui dcoulent de cet acte. Quand elle est appose par un ofcier public, elle confre lauthenticit lacte. Il est noter que cette dnition concerne la signature au sens large, quelle soit manuscrite ou lectronique. Fonctions de la signature : - Perfection de lacte : dfaut de signature, lacte juridique ne constitue quun commencement de preuve par crit ; - Identication du signataire ; - Adhsion au contenu de lacte.
Page 10 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Dnition de la signature lectronique : Larticle 1316-4 alina 2 du Code Civil prcise que la signature, Lorsquelle est lectronique, consiste en lusage dun procd able didentication garantissant son lien avec lacte auquel elle sattache. La abilit de ce procd est prsume, jusqu preuve contraire, lorsque la signature lectronique est cre, lidentit du signataire assure et lintgrit de lacte garantie, dans les conditions xes par dcret en Conseil dEtat. Certains usages de la signature lectronique sont imposs par la loi. Par exemple la signature lectronique est obligatoire pour : la tldclaration de revenu : le certicat est fourni par ladministration scale ; le service Tlc@rtegrise qui permet dobtenir un certicat de situation administrative ; la prsentation dune offre pour les marchs publics (article 48 I Code des marchs publics, et arrt ad hoc). La signature doit tre conforme au rfrentiel intersectoriel de scurit (http://www.entreprises.mine.gouv.fr/certicats/); la tldclaration URSSAF. Celle-ci peut tre ralise par courrier lectronique ou bien en ligne sur un site scuris ; la tldclaration de TVA (TlTVA) : lors dune transmission EDI, cest le partenaire EDI dclar auprs de ladministration qui signe lenvoi, alors quen mode EFI, cest le dclarant lui mme qui signe ; les factures lectroniques, (article 289 V du Code gnral des impts). Exemple 3 : la signature de facture (B to B ou B to C). Exemple 8 : limpt sur le revenu (C to A). Mais la signature lectronique peut aussi tre employe pour les actes non rgis par des textes de loi : contrats ; constats ; formulaires internes dentreprises ou dorganisations ; documents de travail Exemple 4 : lacquisition de clientle et la contractualisation sur Internet (B to C). Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C) Exemple 6 : la transmission de documents professionnels (B to B). Exemple 9 : la demande dinjonction de payer (B to A).

Puis-je dlguer ma signature lectronique ? Bien entendu !

La signature est un acte personnel, qui lie lidentit du signataire au document sign (voir la dnition ci-dessus). Il nest donc pas possible de prter un tiers ses propres moyens de signature lectronique an quil signe en notre nom. En revanche, de la mme manire que pour une signature manuscrite, la dlgation est possible : un dlgu peut alors avoir le droit de signer la place du titulaire. La signature est bien ralise au nom du dlgu, avec ses propres moyens de signature. La dlgation passe par la rdaction dune attestation, qui indique : le dlgataire ; le dlgu ; lobjet de la dlgation ; la dure de la dlgation. Cette attestation peut tre lectronique. Selon les cas, elle devra tre fournie systmatiquement avec chaque document sign, ou simplement rester disponible en cas de vrication.

Page 11 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Quels formats de documents peut-on signer ? Tous les types de chiers peuvent tre signs. Mais attention
La signature lectronique peut porter sur tout type de document (.doc, .xls, .pdf, .jpg, .tiff, email, formulaire xml). Aucune contrainte technique nempche de raliser une signature lectronique et ce, quel que soit le format. Cependant, dans certains domaines, des contraintes sont imposes sur le format des donnes. Les formats XML (par exemple pour les changes scaux) et PDF (par exemple pour larchivage) sont ainsi souvent mis en avant. Il convient de noter que certains documents peuvent avoir un contenu dynamique : cest le cas des macros contenues notamment dans les documents bureautiques. La prsence de ces macros nempche pas de signer le document. Toutefois, une macro peut afcher un texte diffrent chaque ouverture du document, sans que cela invalide la signature lectronique. Ainsi, un champ dynamique contenant la date peut se mettre jour automatiquement, un montant de contrat pourrait tre modi selon une rgle prdnie Quelle valeur aurait alors le document sign ? Il est donc prfrable dapposer la signature lectronique sur des documents statiques, non susceptibles de changer, ou de vrier avant de signer lectroniquement labsence de champs dynamiques dans les documents. Voir chapitre : Les bonnes pratiques.

Puis-je imprimer un document sign lectroniquement ? Oui mais attention la valeur de cette impression.
Il est toujours possible dimprimer un document qui a t sign lectroniquement. De la mme manire, il est possible de scanner un document papier sign de manire manuscrite. Mais dans les deux cas, cest loriginal qui a une valeur juridique : cet original est le document lectronique dans le premier cas, et le document papier dans le second cas. An dimprimer la signature elle-mme, il convient de la rendre intelligible un tre humain, car une signature lectronique nest quun code informatique abscons. Cest le rle des logiciels de vrication de signature, qui permettront dimprimer un compte-rendu de vrication attestant de la validit de la signature lectronique.

2.3 Quelle est la valeur de la signature lectronique ?

Quelle est la diffrence entre une signature lectronique et une signature manuscrite ? Aucune diffrence, sauf la nature du document et le mode de ralisation.
La signature lectronique a la mme valeur que la signature manuscrite ds lors quelle permet lidentication de celui qui lappose ainsi que la manifestation du consentement des parties aux obligations qui dcoulent de cet acte (article 1316-4 du Code civil). Il est important de noter quen cas de litige, cest le juge qui apprciera souverainement le caractre probant de la signature et par l sa valeur juridique, et ce que la signature soit manuscrite ou lectronique (articles 285 et suivants du Code de procdure civile).

Page 12 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Jai scann ma signature manuelle et je lai insre dans le document, quelle valeur a-t-elle ? Limage dune signature manuscrite ne constitue pas une signature lectronique !
La signature scanne appose sur un document lectronique na pour les juristes que la valeur dun commencement de preuve au sens du Code civil. Cela signie que si la partie adverse dnie la valeur juridique du document contenant la signature scanne produit en justice, elle peut y parvenir au motif que le procd de signature nest pas able au sens du Code civil.

Quelle est la diffrence entre une signature lectronique et une signature lectronique scurise ? Toutes les signatures lectroniques ont la mme valeur juridique !
Rappelons que, dun point de vue strictement juridique, peu importe que les signatures lectroniques soient simples , scurises , ou quelles utilisent des certicats qualis : elles ont toutes la mme valeur juridique. On met souvent en avant la prsomption de abilit , attache aux signatures lectroniques scurises ralises selon le dispositif spci larticle 1316-4, al. 2 du Code civil et larticle 2 du dcret du 30 mars 2001. Il faut toutefois rappeler ce sujet deux lments : > Lapport juridique de la signature emportant prsomption de abilit est faible dans le cadre de relations B to B ou B to C. > Les exigences relatives la signature scurise sont contraignantes mettre en oeuvre, et ne concerneront dans la pratique quune population trs rduite, principalement les professions rglementes pour la perfection des actes authentiques.

Mes partenaires sont ltranger. Nos signatures lectroniques ont-elles la mme valeur ? La signature lectronique est dnie au niveau europen et dans tous les pays industrialiss.
Les signatures lectroniques ralises dans diffrents pays ont une valeur transfrontalire ds le moment o les dispositifs de signature lectronique utiliss sont reconnus comme tant quivalents entre eux (par voie contractuelle ou par reconnaissance tatique). Le cadre juridique dans les Etats membres de lUnion europenne dcoule de la transposition dune directive communautaire (directive 1999/93/CE). Il faut analyser au cas par cas les cadres lgislatifs locaux pour dterminer les modalits dtablissement dune quivalence des signatures lectroniques. Exemple 2 : la signature lectronique dans un contexte international (B to A)

Page 13 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

2.4 Je souhaite dployer la signature lectronique dans mon entreprise, mon organisation, ou au sein dun projet. Comment faire ?
On entend toujours parler de certicats Mais quest-ce que cest ? Le certicat est une carte didentit lectronique qui permet de raliser des signatures lectroniques.
La signature lectronique ncessite lutilisation dun certicat. Cest grce lui que se fera le lien entre le document sign et lidentit du signataire, un peu comme, dans le cas dune signature manuscrite, on pourra comparer la signature dune personne avec celle qui gure sur sa carte didentit ou au dos de sa carte bancaire. Annexe 2 - Le cycle de vie du certicat.

De quoi a-t-on besoin pour signer ? Pour signer, il faut un certicat (la carte didentit) et un logiciel de signature (le stylo).
Le signataire doit disposer : de son certicat lectronique : selon le contexte, ce certicat peut tre achet auprs dune Autorit de Certication du march, ou bien dlivr en interne par lentreprise ou lorganisation laquelle appartient le signataire ; dun outil de signature lectronique : la fonctionnalit de signature lectronique est en gnral directement intgre dans lapplication qui la ncessite (exemples : messagerie, plate-forme de marchs publics, tldclaration des impts et de la TVA). Dans le cas contraire, on emploiera un outil de signature du march, ddi ce seul usage.

Je nai pas de certicat, puis-je signer quand mme ? Le certicat est indispensable pour signer. Mais il peut tre produit au moment de la signature.
A ce jour, la lgislation ne permet pas de raliser de signature lectronique sans utilisation dun certicat faisant foi de lidentit du signataire. Certaines applications proposent la gnration du certicat au moment o son usage est ncessaire, avec une dure de validit trs courte (de lordre de quelques minutes). Dans ce cas, les dmarches pralables dobtention dun certicat et dinstallation sur le poste de travail ne sont pas ncessaires. Toutefois, les offreurs de tels services doivent disposer dinformations minimum relatives au signataire. Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C)

Page 14 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Quentend-on par vrication de signature ? Vrier une signature, cest sassurer de sa valeur !
La signature lectronique ne fournit pas, comme la signature manuscrite, un lment graphique immdiatement identiable et qui sufse reconnatre le signataire. La vrication de la signature lectronique ncessite lutilisation dun outil, qui analyse le code de la signature et afche de manire lisible les lments pertinents : validit de la signature ; identit du signataire ; date de la signature Cet outil de vrication est en gnral inclus dans lapplication dans laquelle le document sign est chang. Les informations de vrication sont alors prsentes lutilisateur sans action de sa part. Dans le cas contraire, on utilisera un outil de vrication de signature du march, ddi ce seul usage. NB 1 : La personne qui vrie une signature na pas besoin de disposer dun certicat son nom. NB 2 : Si la vrication de signature manuscrite ncessite de connatre lavance llment graphique et de le reconnatre, la signature lectronique sabstrait de tout contexte pralable. Il est ainsi bien plus difcile de forger une fausse signature lectronique, ou den fausser la vrication, que de falsier une signature manuscrite.

Page 15 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

3/ Les usages
Les cas dusage de la signature lectronique prsents ci-dessous, souhaitent illustrer la diversit des situations dans lesquelles ce procd sapplique, en empruntant des exemples tous les domaines : B to B (changes entre entreprises), B to A (changes entre entreprises et administration), B to C (changes entre entreprises et clients), C to A (changes entre citoyens et administration), B to E (changes entre lentreprise et ses employs), ou A to A (changes entre administrations).

3.1 La signature lectronique garante de la valeur juridique des changes

3.1.1 Les rgles applicables et la convention de preuve Certains secteurs dactivit bncient de rgles spciques xes par des textes juridiques et dterminant le cadre dans lequel la signature lectronique doit tre ralise. Parmi ces secteurs, on peut citer : les professions rglementes (ofciers publics et ministriels), les marchs publics, la facture lectronique, etc... Ces usages ne sont quune exception la rgle gnrale. Hors de ces cas particuliers, les rgles dterminant les moyens de preuve ou encore la charge de la preuve peuvent faire lobjet de conventions, cest--dire que les parties peuvent droger par contrat aux dispositions du Code civil en matire de preuve. Ces conventions vont permettre aux parties de rgler lavance la question de la force probante des contrats quelles concluent en ligne. Dans les contrats de consommation, il est possible dinsrer des clauses amnageant le systme de preuve sous rserve, pour le professionnel, de respecter la lgislation en matire de clauses abusives. En labsence de telles conventions, cest au juge que reviendra le soin de rgler les conits de preuve, spcialement entre deux preuves sur des supports diffrents (papier et numrique), conformment larticle 1316-2 du Code civil. Ainsi, il dterminera quelle est la preuve qui lui semble le plus vraisemblable. En matire de signature lectronique, la convention de preuve dcrira les procdures techniques suivre an dtablir, conserver et produire une signature reconnue comme valable entre les parties. Dans le cadre dune application ou dun contexte mtier prcis, une politique de signature pourra dnir qui est autoris signer, selon quels droits et autorisations, comment la signature sera ralise et comment elle sera ralise. Un tel document sert principalement rappeler, dans le cadre de la conduite du changement, les rgles souvent implicites lies au droit de signer dj en vigueur dans la socit. 3.1.2 Les deux rles juridiques de la signature Un document lectronique peut tre requis titre de preuve ds le moment ou conformment article 1316-1 du Code civil, la personne dont lcrit sous forme lectronique mane est dment dentie et quil est tabli et conserv dans des conditions de nature en garantir lintgrit. Lutilisation de la signature lectronique permet de sassurer que les deux fonctions mentionnes larticle 1316-1 du Code civil sont bien runies. Les articles 1108-1 et 1108-2 du Code civil traitent de la validit des actes juridiques conclus sous forme lectronique. Il pourra sagir, par exemple, de lcrit formalisant un cautionnement commercial, un contrat de bail, un contrat de crdit la consommation ou de crdit immobilier, un contrat de travail dure dtermine, les statuts de socit, etc. A dfaut dcrit, ces actes seraient juridiquement nuls. Dsormais, un crit sous forme lectronique constatant un de ces actes sera valable ds le moment o les conditions entourant son tablissement et sa conservation sont assures, savoir les mmes que celles prvues pour les fonctions probatoires de lcrit. Cest dire limportance de la signature lectronique qui doit tre considre comme llment central du dispositif juridique en matire dactes lectroniques.

Page 16 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

3.1.3 Exemple 1 : la signature des marchs publics (B to A) Lorsquune entreprise rpond par la voie lectronique une procdure de marchs publics, elle a lobligation de signer certains lments de son envoi, en particulier lacte dengagement. Cest cet acte dengagement, co-sign par la personne publique lors de lattribution du march, qui deviendra le contrat. Le mcanisme est donc semblable ltat de lart des procdures papier. Pour signer lectroniquement, lentreprise doit tre munie dun certicat rfrenc pour cet usage par le Ministre de lEconomie, des Finances et de lEmploi. Elle doit suivre la procdure de signature dcrite sur la plate-forme de marchs publics. Le signataire doit tre une personne habilite engager lentreprise, ou disposer dune dlgation lui donnant ce pouvoir. Des milliers dentreprises procdent dj de cette manire, sans aucune difcult, le processus tant dni par le Code des marchs publics, mis en oeuvre par les plates-formes de dmatrialisation, grce aux certicats de signature rfrencs par le Ministre de lEconomie, des Finances et de lEmploi.

La FNTC a publi en 2006 un Guide de la conance consacr la dmatrialisation des marchs publics 3.1.4 Exemple 2 : la signature lectronique dans un contexte international (B to A) Un groupe aronautique europen a rpondu un appel doffres de ladministration amricaine qui exigeait que les rponses soient exclusivement transmises par voie lectronique. De mme, tous les changes tels que accords de condentialit, documents administratifs entre cette administration et les industriels sont lectroniques. Pour tre en mesure dtre conforme ces exigences, le groupe europen sest squip de certicats lectroniques reconnus par les administrations europennes et amricaines de faon ce que les documents lectroniques signs aient une valeur lgale reconnue dans chacun des pays, via un mcanisme appel la certication croise (ou cross-certication). Grce ce procd mis en oeuvre par des tiers de conance reconnus par les administrations respectives, ce groupe europen a remport lappel doffres en question.

3.2 La signature lectronique au service des processus mtier

3.2.1 Les apports fonctionnels de la signature lectronique La signature lectronique garantit lorigine dun document et son intgrit. Ces aspects fonctionnels permettent de se protger dans les transactions quotidiennes sur internet ou sur un intranet. 3.2.2 Exemple 3 : la signature de facture (B to B ou B to C) Lorsquelle est dmatrialise scalement, la facture peut tre signe soit par une personne physique, soit par une personne morale. Dans ce second cas, loutil de signature se trouve sur le serveur du facturier et la signature est appose au nom de lentreprise ou de lorganisation mettant la facture. Si la signature lectronique des factures a une porte juridique, dans la mesure o elle est impose par les textes (cf Annexe 1 - Liste des textes lgaux et normatifs), elle rpond galement un autre besoin, plus fonctionnel : celui de garantir lintangibilit du document. En effet, une facture, une fois signe lectroniquement, ne peut plus tre modie. Enn, elle garantit sa provenance, remplaant ainsi le simple papier en-tte utilis dans le processus papier de facturation. En effet, la signature lectronique garantit le lien du document avec lidentit du signataire.

Page 17 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

3.2.3 Exemple 4 : lacquisition de clientle et la contractualisation sur Internet (B to C) Un groupe, spcialiste du crdit la consommation, a entirement dmatrialis son processus dacquisition de clientle : grce un enregistrement en ligne disponible 24h/24, le particulier peut remplir un formulaire, envoyer des copies de ses documents didentit et obtenir aprs validation par un agent un certicat lui permettant dapposer sa signature lectronique sur son contrat dadhsion. Les gains de productivit dun tel processus sont vidents : le client na pas besoin de se dplacer ni denvoyer ses documents, tout se fait en ligne, sans attente, et la valeur juridique du contrat demeure identique celle dun contrat papier. 3.2.4 Exemple 5 : la signature de contrat en ligne avec un certicat temporaire (B to C) Les banques offrent leurs clients sur internet une offre grandissante de produits et services bancaires. Pour souscrire certains de ces services, par exemple, pour un crdit la consommation, la signature dun contrat est lgalement obligatoire. Une quinzaine dtablissements nanciers proposent aujourdhui leurs clients particuliers de signer ces contrats en ligne. Ce service est assur 24h sur 24 par un oprateur agr qui dlivre des certicats temporaires selon les informations fournies par les banques. Ceci permet au client internaute de procder la signature de son contrat de crdit alors quil ntait pas en possession pralable dun certicat ; cette procdure ne ncessite donc aucun quipement pour le client. Cette application ouvre lusage de la signature de contrat en ligne tous les clients internautes des banques ou organismes de crdit la consommation.

3.3 La signature lectronique pour la conance dans les changes

3.3.1 La scurit au service de la conance Grce la signature lectronique, lmetteur dun document a une garantie de scurit sur la proprit et lintgrit de ses donnes. Cet acte, au-del de sa porte juridique, qui est toujours prsente, permet de donner du poids, de formaliser, de se rassurer. Tout ce que lon fait par mail en se demandant si cela vaut quelque chose, tout ce que lon ne fait pas par mail de peur que a ne vaille rien, tous les envois que lon nose pas faire sur Internet de peur de se faire spolier, tous ces actes sont facilits par la signature lectronique qui permet la traabilit des actions et lintangibilit des documents. Ces changes deviennent possibles, non par lapparition dun nouveau procd technique, mais par la disparition dun frein psychologique. Les exemples sont nombreux en B to B : courriers recommands, preuves et accuss de rception signs, factures, propositions commerciales, bons tirer, ux vido Lentreprise signe ces actes pour les formaliser et ainsi les rendre dmatrialisables. De mme, au sein de lentreprise, la signature des demandes de congs ou des demandes dachat permet une responsabilisation des individus et uidie les processus internes. 3.3.2 Exemple 6 : la transmission de documents professionnels (B to B) Une jeune entreprise de conseil en marketing a dvelopp le concept de ConsoRalit : elle lme les consommateurs chez eux ou dans les magasins, analyse leurs comportements et transmet ces tudes ses clients, grands noms du secteur agro-alimentaire. Pour une telle structure, lusage de la signature lectronique doit tre avant tout simple, tant pour lmetteur des donnes que pour le destinataire. La signature ne fait pas partie proprement parler du processus mtier. En revanche, elle permet une jeune entreprise innovante de se scuriser par rapport sa clientle en garantissant lintgrit du travail fourni et en protgeant loriginalit de la mthode de travail. Elle offre galement loccasion de donner de lentreprise une image de pointe , de dynamisme au sein des nouvelles technologies. Enn, non intrusive, elle permet au client de conserver la libert de copie, dimpression, dexploitation des tudes commandites.

Page 18 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

3.3.3 Exemple 7 : la validation de demandes de formations (B to E) Un grand groupe de tlcom a mis en place, sur son intranet, un processus tout lectronique de demande de formations : lemploy remplit en ligne un formulaire dcrivant la formation souhaite. Son suprieur hirarchique valide la demande et consent ainsi lengagement nancier correspondant en ralisant une signature lectronique du formulaire. Cet usage de la signature lectronique vient complter la gamme des fonctionnalits lies au dploiement des outils de scurit au sein du groupe.

3.4 La signature lectronique pour amliorer la productivit

3.4.1 Une brique de la dmatrialisation La notion de signature est ancienne et nest pas considre comme un lment crateur de valeur ou de processus. Par extension, la nalit de la signature lectronique demeure de transposer la notion de signature dans le monde lectronique an de rendre possible le processus global de dmatrialisation. A titre dexemple, la Commission europenne, travers la dmatrialisation des marchs publics europens, vise deux objectifs : laugmentation de la concurrence, qui amliorera lefcacit conomique de lacte dachat et entranera des conomies de fonds publics et la lutte contre la corruption, grce la transparence et la traabilit offertes par les processus lectroniques. 3.4.2 Exemple 8 : limpt sur le revenu (C to A) En 2007, 7,6 millions de dclarations de revenu transmises par voie lectronique ont permis aux services de lEtat une conomie de traitement importante. La signature lectronique, dans ce cas, est utilise des ns conomiques autant que juridiques, et apporte un service apprci par le dclarant. Cet exemple illustre que la signature lectronique amliore la productivit de lEtat tout en augmentant la qualit du service aux citoyens : au-del de la dclaration des revenus, le certicat dlivr permet daccder son compte scal et de bncier dinformations en temps rel sur le portail du gouvernement (http://www.impots.gouv.fr). 3.4.3 Exemple 9 : les dclarations au Registre du Commerce et la requte en injonction de payer (B to A) Les greffes de tribunaux de commerce grce leur portail www.infogreffe.fr permettent aux chefs dentreprise de procder en quelques clics leurs immatriculations et dclarations modicatives au Registre du Commerce et des Socits. Ces dclarations et pices annexes transitent sur la plate-forme Infogreffe puis sont archives sur le coffre-fort lectronique du Greffe comptent pour contrler la dclaration. Cette procdure dmatrialise scurise permet au chef dentreprise dobtenir son extrait de Registre du Commerce (K-bis) dans des dlais trs rduits aprs contrle de conformit des collaborateurs du Grefer. Dans la mme logique de e-services aux entreprises les greffes des tribunaux de commerce permettent aux entreprises dacclrer le recouvrement de leurs crances commerciales grce un service entirement dmatrialis de requte en injonction de payer. La requte et les pices justicatives sont transmises et signes lectroniquement par le crancier sur le portail dInfogreffe. La procdure est enclenche sans dlai et permet un rendu de dcision trs rapide. Dautres services sont en cours de livraison comme le dpt des comptes lectroniques, le placement lectronique des assignations, les demandes de renvoi en ligne, le bureau virtuel du juge. Ces exemples et projets illustrent que les tlprocdures dveloppes par les Greffes des Tribunaux de Commerce associes lusage dune signature lectronique scurise amliorent la mission de service public rendue aux entreprises et aux justiciables.

Page 19 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

4/ Les bonnes pratiques

4.1 Introduction
Tout projet informatique et, au-del, tout projet dentreprise ou dorganisation, est unique. Toutefois, un certain nombre de rgles permettent, si on les suit, dviter la majorit des cueils susceptibles de se prsenter. Nous les rappelons ici.

4.2 La technique au service du projet

4.2.1 La signature lectronique : un domaine techniquement mr La signature lectronique est trop souvent vue comme un domaine purement technique et dune grande complexit. Ce prjug provient de lhistoire de ce domaine : les outils techniques ont t mrs bien avant les aspects juridiques, ce qui a laiss la communication sur le sujet entre les mains des techniciens. Pour autant, cette avance de maturit technique est une trs bonne chose, puisque grce elle, la technique ne constitue justement plus le frein aux projets de signature lectronique. Les projets qui incluent lusage de la signature lectronique doivent donc tre mens du point de vue mtier et organisationnel, de mme que tout autre projet de lentreprise ou de lorganisation. 4.2.2 Sentourer de professionnels comptents La signature lectronique est la croise de plusieurs domaines : technique, juridique, organisationnel, ergonomique. Les comptences ncessaires la russite dun projet de signature lectronique sont rarement toutes prsentes dans lentreprise ou dans lorganisation, et encore plus rarement auprs dune mme population. Il est donc fondamental, pour russir son projet, dobtenir du conseil et de lassistance aussi bien que des prestations techniques, auprs de professionnels comptents ayant de lexprience dans le domaine. 4.2.3 Adapter le niveau de scurit aux besoins La signature lectronique appartient au domaine de la scurit informatique. Pour autant, ce nest pas en blindant les aspects scuritaires que lon assurera au mieux les chances de succs du projet. Il convient dadapter le niveau de scurit lobjectif poursuivi, notamment en termes juridiques. Il existe diffrents niveaux de scurit lis la signature et aux certicats, dont on trouvera la dnition en annexe (cf La qualit des certicats). Lessentiel est de dnir clairement ses objectifs en termes mtier, de procder une analyse de risque technique et juridique, et de conserver bon sens et esprit critique lors du choix de la solution dployer.

4.3 Prendre en compte le facteur humain

4.3.1 Mettre lutilisateur au centre des usages Quil sagisse dun client, dun employ, dun partenaire, cest toujours un tre humain qui sera lutilisateur nal du systme de signature lectronique mis en place. Etant donn lenjeu multiple du projet (juridique, conomique, etc.), il est fondamental dobtenir ladhsion de lutilisateur au systme dploy. 4.3.2 Penser les services du point de vue ergonomique Un produit complexe utiliser est un produit mal conu. La signature manuscrite est extrmement simple raliser : lutilisateur prend un stylo et crit son nom au bas de la feuille. La signature lectronique doit atteindre le mme niveau de simplicit. Lergonomie doit tre un des lments principaux du choix dune solution.

Page 20 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

4.3.3 Formation des utilisateurs Mme si les logiciels ou services web se veulent intuitifs , il est indispensable de fournir aux utilisateurs une formation adapte leurs besoins : cours et travaux pratiques, e-learning ou autoformation, manuel illustr, aide en ligne La formation doit tre adapte la cible : on napportera pas le mme niveau dexpertise un commercial devant signer quotidiennement ses rponses aux appels doffres et un prospect devant, une seule fois, signer en ligne son contrat dadhsion. Mais ces deux populations, pour des raisons diffrentes, ne peuvent tre laisses seules face un nouveau dispositif aussi important que la signature lectronique. 4.3.4 Conduite du changement Lorsque la signature lectronique vient modier les habitudes de travail dans lentreprise ou dans lorganisation, il faut anticiper ces modications et les accompagner : si les contrats reus sont dsormais lectroniques et non plus papier, faut-il un cran plus grand ? Comment ralise-t-on larchivage pour garantir la conservation long terme des documents lectroniques ? Comment lagent vrie-t-il la signature ? Comment le client obtient-il une copie de son contrat ? Tous les services devant traiter le document sign sont-ils prts le faire (services techniques, juridiques, commerciaux, ressources humaines, etc.) ? Il suft quun maillon de la chane de traitement nadhre pas au nouveau processus pour que lensemble du projet soit remis en cause. Il importe donc dexpliquer tous et chacun le pourquoi de la modication du processus, les changements que cela implique et les moyens mis leur disposition pour remplir leur mission. 4.3.5 Sensibilisation des utilisateurs La signature lectronique appartient au domaine de la scurit informatique. De ce fait, les utilisateurs seront amens manipuler des objets ou des chiers sensibles et quil faut protger : clefs USB, cartes puce, codes PIN ou mots de passe, etc. Chaque utilisateur doit tre sensibilis limportance de ces lments et lattention quil doit porter leur prservation, tant pour lentreprise ou lorganisation que pour lui-mme, puisquune signature lectronique engage la personne qui la ralise.

4.4 Raisonner long terme

4.4.1 Des projets structurants Les projets de signature lectronique sont en gnral structurants pour lentreprise ou lorganisation, car ils entranent des modications en profondeur des pratiques professionnelles. Il convient donc de mener ces projets avec une vision stratgique, et non de manire isole. La direction de projet devra ainsi prendre en compte : les implications juridiques ; la dimension humaine (modication des conditions de travail, des relations avec la clientle, etc.) ; laspect conomique (quels investissements, quel retour attendu ?) ; les implications long terme (gnralisation, volution progressive du Systme dInformation et des procdures de lentreprise ou de lorganisation, conservation des donnes, etc.)

Page 21 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

4.4.2 Organiser et planier le dploiement La signature lectronique se fait grce un certicat et un outil de signature. Chacun de ces lments a ses propres rgles de gestion. Le dploiement de loutil de signature se fait comme pour tout outil informatique, soit via la mise disposition dun service (sur lintranet ou sur internet), soit via le dploiement du logiciel sur chaque poste de travail. Cela ncessite bien entendu un plan de dploiement et une formation des utilisateurs. Les certicats sapparentent plus au dploiement de badges professionnels : ils sont personnels, souvent matrialiss par un objet physique (carte puce, clef USB). Leur dploiement dans lentreprise ou lorganisation, ou auprs de son cosystme (partenaires, fournisseurs, clients) reprsente un projet part entire. Un parc dploy de certicats est en effet un ensemble vivant quil faut grer de manire dynamique : que fait-on en cas de perte de la carte, doubli du code porteur, de vol, de dpart dun employ, darrive dun nouvel employ, dappel des prestataires en rgie auxquels il faut donner accs au service, dexpiration dun certicat ncessitant son renouvellement Le cycle de vie des certicats doit donc tre entirement dni, et la structure adapte sa gestion doit tre mise en place et dote de la formation, de la sensibilisation et des moyens adquats. Une annexe prsente le cycle de vie du certicat. cf Annexe 2 - Le cycle de vie du certicat. 4.4.3 Une ouverture sur lavenir Dployer un parc de certicats de signature dans lentreprise ou lorganisation est le premier pas qui permet louverture de nombreux services utilisant le certicat : contrle daccs des applications web, authentication forte, chiffrement de donnes, accs distant au Systme dInformation, etc. Un projet de signature lectronique doit prendre en compte cet aspect dinvestissement structurant.

Page 22 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

5/ Conclusion
A travers ses apports fonctionnels, juridiques et organisationnels, la signature lectronique est une brique incontournable des projets de dmatrialisation. Cest grce elle que se ralisera la modernisation des processus de travail des entreprises comme des administrations. Techniquement et organisationnellement mre, cette technologie vous tend les bras au travers de professionnels comptents et reconnus, regroups au sein de la Fdration Nationale des Tiers de Conance.

Page 23 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

6/ Annexe 1 - Liste des textes lgaux et normatifs

Textes franais
Loi n2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de linformation ; Dcret n 2001-272 du 30 mars 2001 pour lapplication de larticle 1316-4 du code civil et relatif la signature lectronique ; Dcret n 2002-535 du 18 avril 2002 relatif lvaluation et la certication de la scurit offerte par les produits et les systmes des technologies de linformation ; Arrt du 28 fvrier 2003 portant nomination au comit directeur de la certication en scurit des technologies de linformation ; Loi du 21 juin 2004 pour la conance dans lconomie numrique prvoyant le rgime de responsabilit applicable aux PSCE ; Arrt du 26 juillet 2004 relatif la reconnaissance de la qualication des PSCE et laccrditation des organismes qui procdent leur valuation ; Ordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives ; Ordonnance du 16 juin 2005 relative laccomplissement de certaines formalits contractuelles par voie lectronique prise en application de larticle 26 de la loi pour la conance dans lconomie numrique ; Bulletin ofciel des impts, numro spcial 3 C.A. N136 du 7 aot 2003 relatif la facture lectronique.

Textes communautaires
Directive europenne du 13 dcembre 1999 sur un cadre communautaire pour la signature lectronique ; Directive europenne du 8 juin 2000 commerce lectronique ; Dcision de la Commission du 14 juillet 2003 (2003/511/CE) relative la publication des numros de rfrence de normes gnralement admises pour les produits de signatures lectroniques conformment la directive 1999/93/CE du Parlement europen et du Conseil.

Normes
AFNOR Z74-400 exigences concernant la politique mise en oeuvre par les autorits de certication dlivrant des certicats qualis. et la spcication technique ETSI dont elle est la traduction : ETSI 101 456 - Policy requirements for Certicate Authorities issuing qualied certicates .

Page 24 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

7/ Annexe 2 - Le cycle de vie du certicat

Le certicat
La signature lectronique lie lidentit du signataire avec le document sign. Llment qui permet de faire ce lien est le certicat. Le certicat est une carte didentit lectronique, grce laquelle le destinataire du document sign pourra vrier la signature et savoir par qui elle a t ralise. An de pouvoir faire foi de lidentit dune personne, le certicat doit tre dlivr par un professionnel comptent : lAutorit de Certication. Le certicat contient diverses informations, parmi lesquelles on peut citer : lidentit du porteur ; des dates de dbut et de n de validit ; lAutorit de Certication mettrice ; la clef publique du porteur (lment technique servant faire les vrications de signature).

LAutorit de Certication, lAutorit dEnregistrement, lOprateur de Certication, la Politique de Certication

De la mme faon quune prfecture dlivre des cartes didentit aprs avoir vri cette identit grce des pices justicatives , une autorit de certication, ou AC, dlivre des certicats aprs une phase denregistrement. Lautorit de certication (AC) est lentit morale qui signera et dlivrera les certicats en son nom, la faon de la prfecture de police pour une carte didentit. Exemples dautorits de certication : une grande entreprise pour dlivrer des certicats ses employs ; un oprateur de services pour ses clients ; une banque pour ses clients particuliers ou professionnels ; une administration. Le porteur ne demande pas directement son certicat lAC, de mme quun individu ne va pas frapper la porte du prfet pour exiger sa carte didentit. Il va plutt sadresser un guichetier qui rassemblera les justicatifs, les vriera, et les transmettra an de dclencher lmission de la carte. Cest le rle jou par lautorit denregistrement (AE), qui vrie tous les lments requis pour la cration du certicat. Exemples dautorits denregistrement : une agence commerciale dune banque ou dun oprateur ; le correspondant RH dun employ dune entreprise ; un simple site web, condition que lAE dispose de moyens complmentaires pour vrier lidentit du sujet : adresse e-mail, authentiant et mots de passe transmis par une voie tierce telle que le courrier postal Une fois lenregistrement effectu, une requte de certication est mise lattention de lAC. Nanmoins, lAC tant une entit morale, la requte est reue et traite par un oprateur de certication (OC) qui agit au nom de lAC en appliquant les rgles quelle a dnies au sein de sa politique de certication (PC). LOC se charge danalyser la requte, de la vrier, de la traiter et de dlivrer le cas chant un certicat. Au-del de la dlivrance de certicats, il gre galement leur cycle de vie, comme leur publication, leur renouvellement aprs expiration ou leur rvocation.

Page 25 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Le cycle de vie du certicat

La qualit des certicats

Il existe plusieurs rfrentiels permettant de juger de la qualit dun certicat. Historiquement, on sest longtemps rfr la notion de classe. Puis, pour les besoins des tlprocdures en ligne, le Ministre des Finances a mis en place un rfrencement ofciel. Pour tous les changes avec ladministration, cest maintenant la Politique de Rfrencement Intersectoriel de Scurit (PRIS) qui fait foi. 7.1.1 La notion de classe de certicat Un standard dnit trois classes de certicats, selon le degr de vrication didentit. Classe 1 : lautorit denregistrement vrie juste ladresse mail du porteur ; Classe 2 : le porteur indique son identit lautorit denregistrement par lenvoi dune copie de pices justicatives ; Classe 3 : le porteur prouve son identit lautorit denregistrement par la prsentation des pices justicatives originales lors dun contrle en face en face. Plus la classe est leve, plus le niveau de garantie offert par le certicat est lev, et plus la procdure de dlivrance est contraignante. Toutefois, cette notion ne prend en compte que les contrles effectus lors de lenregistrement du porteur (rle de lAutorit dEnregistrement), et non les conditions dans lesquelles le service dmission de certicats est exploit (rle de lOprateur de Certication). Elle est donc largement insufsante pour qualier la qualit des certicats. 7.1.2 Le rfrencement PRIS La Politique de Rfrencement Intersectorielle de Scurit (PRIS), dnit une qualication des certicats en fonction du niveau de scurit attendu par les services qui les emploient. An de promouvoir lusage de la signature lectronique en France, le Ministre de lEconomie, des Finances et de lEmploi a mis en place ce rfrencement, qui permet aux Autorits de Certication de mettre en avant la qualit des certicats quelles mettent. Les certicats ainsi rfrencs sont utilisables dans de nombreux services ncessitant la signature lectronique, et notamment pour les tlprocdures de la sphre publique, les marchs publics, etc. Bien quinitialement conue pour les usages de la sphre publique, ce rfrencement est largement reconnu galement dans la sphre prive.

Page 26 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Deux normes se sont succds : PRIS V1 et PRIS V2. On trouve la liste des familles de certicats rfrencs PRIS sur : www.adele.gouv.fr/synergies/certicats

Politique de Rfrencement Intersectorielle de Scurit (PRISv2) PC type Signature

Dans le cadre dune application dchanges dmatrialiss avec lAdministration, le responsable de lapplication dcide quel niveau de scurit de la prsente PC Type est requis. Ce niveau de scurit dcoule des rsultats de lanalyse de risque quil doit mener sur son application, notamment le niveau de risque identi et les objectifs de scurit correspondants. Les certicats de signature objets de la prsente PC Type sont utiliss par des applications pour lesquelles les risques de tentative dusurpation didentit an de pouvoir signer indment des donnes sont trs forts (intrt pour les usurpateurs, effets de la signature, etc.). Les certicats de signature objets de la prsente PC Type sont utiliss par des applications pour lesquelles les risques de tentative dusurpation didentit an de pouvoir signer indment des donnes sont forts (intrt pour les usurpateurs, effets de la signature, etc.). Les certicats de signature objets de la prsente PC Type sont utiliss par des applications pour lesquelles les risques de tentative dusurpation didentit an de pouvoir signer indment des donnes existent mais sont moyens (intrt pour les usurpateurs, effets de la signature, etc.).

Niveau (***)

Niveau (**)

Niveau (*)

7.1.3 Les certicats qualis Plusieurs normes franaises et internationales permettent de garantir la qualit de lOprateur de Certication et de lAutorit de Certication. Les Oprateurs de Certication audits et reconnus conformes la norme AFNOR Z 74-400 / ETSI TS 101456 sont dits Oprateurs de Certication Qualis. Les Autorits de Certication audites et reconnues conformes larrt du 26 juillet 2004 sont aptes mettre des Certicats Qualis. La Qualication garantit un niveau trs lev de scurit et de qualit de service. La liste des acteurs qualis est disponible sur : http://www.lsti.fr Les certicats qualis, ncessaires la ralisation de signatures lectroniques scurises emportant prsomption de abilit (cf 2.3) rpondent aux exigences de larrt du 26 juillet 2004. Lorsquune telle signature est ralise, en cas de contentieux, larticle 1316-4 du Code civil prvoit que la charge de la preuve relative la validit de la signature incombe au plaignant.

Page 27 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

8/ Annexe 3 - Elments techniques

8.1 La cryptographie clef publique
Il existe de nombreux ouvrages qui traitent de la cryptographie clef publique. Le lecteur intress sy reportera. Les schmas ci-dessous illustrent le fonctionnement de la signature lectronique et de sa vrication.

Complments la signature lectronique

8.1.1 Contrle de validit du certicat Lorsque lon vrie la signature dun document, on doit vrier la validit du certicat du signataire. A cette n, lAutorit de Certication met disposition de tous la Liste des Certicats Rvoqus (LCR) (cf Le cycle de vie du certicat). Loutil qui ralise la vrication de la signature tlchargera automatiquement cette LCR et vriera que le certicat du signataire ny gure pas. Le service de contrle de rvocation peut galement tre rendu au moyen dun service en ligne, appel OCSP (Online Certicate Status Protocol). Un jeton de vrication OCSP ou une CRL peut tre inclus dans la signature au moment o elle est ralise. De cette manire, il ne sera pas ncessaire dinterroger le service de contrle des certicats au moment de la vrication.
Page 28 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

8.1.2 Horodatage de la signature Lorsque lon vrie la signature dun document, on doit vrier la validit du certicat du signataire. Le certicat du signataire peut tre expir au moment o lon ralise la vrication de signature (par exemple un an aprs). Mais ce qui compte est que le certicat du signataire nait pas t expir au moment o la signature a t ralise. An de le garantir, la signature peut comporter un horodatage : il sagit dun lment technique garantissant le jour et lheure auxquels la signature a t ralise. Cet horodatage peut prendre diffrentes formes : une date incluse manuellement dans le document sign ; une date incluse automatiquement dans la signature elle-mme ; un jeton dhorodatage certi dlivr par une Autorit dHorodatage ; une preuve de validit externe fournie par une Autorit de Gestion de Preuve, qui fait foi de la vrication de la signature lors de sa ralisation ou de sa rception.

Guide de lhorodatage

8.1.3 Archivage du document sign Un document sign lectroniquement a une valeur juridique : il est souvent important de le conserver de manire prenne pour les besoins ultrieurs de lentreprise ou de lorganisation. Cest le rle de larchivage lectronique. 8.1.4 Autres usages du certicat Lorsque lon dploie des certicats, ils peuvent avoir dautres usages que la signature lectronique. La multiplicit des usages du certicat, support indispensable de la signature lectronique, permet un retour sur investissement rapide lors de son dploiement dans lentreprise ou lorganisation. Authentication / contrle daccs : le certicat peut remplacer le classique couple identiant / mot de passe pour contrler laccs des utilisateurs un site, un service, ou mme au poste de travail. Lusage du certicat pour le contrle daccs augmente considrablement le niveau de scurit. Chiffrement (cryptage) de donnes : le certicat permet de raliser des changes de donnes condentielles, mais aussi la scurisation du disque dur de lordinateur par un cryptage systmatique des donnes.

Page 29 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

9/ Annexe 4 Glossaire
Archivage (lectronique) Ensemble des actions, outils et mthodes mis en oeuvre pour runir, identier, slectionner, classer et conserver des contenus lectroniques, sur un support scuris, dans le but de les exploiter et de les rendre accessibles dans le temps, que ce soit titre de preuve (en cas dobligations lgales notamment ou de litiges) ou titre informatif. Autorit de Certication (AC) Egalement appele Autorit Certiante (ou Certicate Authority en anglais). Entit responsable de lmission, de la dlivrance et de la gestion des certicats lectroniques. Lautorit de Certication est responsable des certicats mis en son nom. Autorit dEnregistrement (AE) Entit responsable de lidentication et de lauthentication des demandeurs de certicats lectroniques au prot dune Autorit de Certication. Autorit dHorodatage (AH) Entit responsable de la dlivrance des jetons dhorodatage, aussi appels contremarques de temps, sur des donnes qui lui sont prsentes. Elle garantit ainsi la date qui est appose sur tous les documents et signatures issus de lAutorit de Certication et de lAutorit dEnregistrement. Certicat lectronique quivalent dun passeport dans le monde physique, le certicat lectronique joue le rle de pice didentit lectronique. Lidentit de son propritaire est garantie par lAutorit de Certication qui lui a dlivr ce certicat. Le certicat est un document sous forme lectronique attestant du lien entre les donnes de vrication de signature (cls cryptographiques publiques) et lidentit du signataire. Certicat (lectronique) quali Certicat lectronique rpondant aux exigences de larticle 6 du Dcret du 30 mars 2001. Chiffrement Opration par laquelle une donne intelligible est rendue inintelligible an den protger la condentialit. Cl publique / cl prive / bi-cl La cl publique est un lment mathmatique qui peut tre rendu public et dont lusage est de vrier les signatures lectroniques ralises par la cl prive associe. Une cl publique peut aussi tre utilise pour chiffrer des donnes qui sont dchiffres par la cl prive associe. La cl publique et la cl prive forment ensemble la bi-cl. CRL ou LCR (Liste des Certicats Rvoqus) Liste des numros de srie des certicats qui ont fait lobjet dune rvocation. Cette liste est tenue jour et publie rgulirement par lAutorit de Certication et rendue disponible tous les utilisateurs de certicats. Cryptographie La cryptographie regroupe lensemble des techniques qui permettent la gestion de secrets. Il existe deux types de cryptographie : la cryptographie symtrique dite cl secrte et la cryptographie asymtrique dite cl publique . Le principe de la cryptographie cl secrte consiste utiliser un seul secret ou une mme cl pour chiffrer et dchiffrer les informations. Pour la cryptographie cl publique, il y a 2 cls diffrentes : une cl dite publique et une cl dite prive qui nest connue que de son utilisateur.
Page 30 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

Dmatrialisation Mcanisme consistant transformer lchange traditionnel des documents, sous forme papier, en un change lectronique, via Internet, tout en conservant la mme validit quun change sous forme papier. Dispositif Scuris de Cration de Signature (DSCS) Matriel ou logiciel destin mettre en application les donnes de cration de signature lectronique (cl cryptographique prive, propre au signataire) et certi par la DCSSI (Direction Centrale de la Scurit des Systmes dInformation) pour cette utilisation. Force probante Efcacit dun moyen de preuve. Horodatage Service qui associe de manire sre un vnement et une heure an dtablir de manire able lheure laquelle cet vnement sest ralis. Infrastructure Cls Publiques (ICP) galement appele IGC (Infrastructure de Gestion de Cls) ou PKI (Public Key Infrastructure) en anglais. Ensemble des moyens techniques, humains, documentaires et contractuels mis la disposition dutilisateurs pour assurer, avec des systmes de cryptographie asymtrique, un environnement scuris pour les changes lectroniques. Intranet Rseau utilis lintrieur dune entreprise ou de toute autre entit organisationnelle utilisant les techniques de communication dinternet (IP, serveur HTTP). LCEN Loi pour la Conance dans lconomie Numrique. Loi franaise sur le droit de lInternet, transposant la directive europenne 2000/31/CE. OCSP Online Certicate Status Protocol Protocole internet de vrication dun certicat lectronique dcrit dans la RFC 2560. Les communications OCSP tant de la forme requte/rponse, les serveurs OCSP sont appels rpondeurs OCSP. Oprateur de Certication (OC) Assure la fourniture et la gestion des certicats lectroniques. Son rle consiste mettre en oeuvre une plate-forme technique scurise dans le respect des exigences nonces dans la Politique de Certication. Politique de Certication (PC) galement appele Certicate Practice Statement (CPS) en anglais. Dnit les procdures selon lesquelles les certicats sont gnrs et grs. Elle permet de dnir le lien de conance entre lutilisateur nal et le porteur du certicat. Prsomption de abilit Les exigences lies la mise en place dune signature lectronique permettant de bncier de la prsomption de abilit du procd de signature lectronique sont les suivantes : la signature lectronique met en oeuvre une Signature lectronique Scurise (SES) ; cette SES est tablie grce un Dispositif Scuris de Cration de Signature lectronique (DSCS) ; la vrication de la Signature lectronique repose sur lutilisation dun certicat lectronique quali.

Page 31 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

PRIS Politique de Rfrencement Intersectorielle de Scurit. Il sagit du rfrentiel documentaire qui dnit des exigences pour diffrentes fonctions de scurit. Il concerne les produits de scurit et les prestataires de services de conance utiliss dans le cadre des changes dmatrialiss entre usagers et autorits administratives ainsi quentre autorits administratives. Les spcications techniques retenues dans la PRIS sont regroupes sous la forme de niveaux de scurit dexigences croissantes de * ***. Services de Certication (lectronique) Services dlivrs par un prestataire de services de certication (lectronique). Exemples : dlivrance de certicats lectroniques, service dannuaire de certication, fourniture de CRL, fourniture de jeton dhorodatage, archivage... Signature lectronique Donne sous forme lectronique, qui : - est jointe ou lie logiquement dautres donnes lectroniques (lacte sign) ; - identie le signataire ; - garantit le lien du signataire avec lacte sign. La signature lectronique est ralise laide de certicats en utilisant les mthodes de cryptographie asymtrique. Signature lectronique Scurise (SES) Il sagit dune signature lectronique qui satisfait aux trois exigences suivantes : - tre propre au signataire ; - tre cre par des moyens que le signataire puisse garder sous son contrle exclusif ; - garantir avec lacte auquel elle sattache un lien tel que toute modication ultrieure de lacte soit dtectable. Tiers de Conance Organisme habilit mettre en uvre des signatures lectroniques reposant sur des architectures dInfrastructure Cls Publiques

Page 32 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

La Fdration Nationale des Tiers de Conance

La Fdration Nationale des Tiers de Conance (FNTC) est aujourdhui reconnue comme un acteur essentiel de la scurisation des changes lectroniques et de la conservation des informations, maillons essentiels la matrise de lensemble de la vie du document lectronique. Elle compte aujourdhui prs de 70 membres regroupant des professionnels rpartis en 4 collges en fonction de leur activit professionnelle, tous concerns directement ou indirectement par la scurisation des changes lectroniques et la conservation des information. Elle regroupe les oprateurs et prestataires de services de conance (acteurs de larchivage lectronique, de la certication, de lhorodatage et des changes dmatrialiss ; les diteurs et intgrateurs de solutions de conance ; les experts et les reprsentants des utilisateurs ainsi que les institutionnels et les professions rglementes. La FNTC pour but dtablir la conance, de promouvoir la scurit et la qualit des services dans le monde de lconomie numrique, de garantir les utilisateurs et de dfendre les droits et intrts lis la profession des Tiers de Conance.

Ils sont membres de la FNTC

Accelya ; achatpublic.com ; Adap ; Agysoft ; Apeca ; Aproged ; ArchivAlpha ; Aspheria ; Atos WordLine ; Bruno Couderc Conseil ; Caprioli & Associs ; CDC CEE ; Cecurity.com ; Celtipharm ; CertEurope ; ChamberSign ; Chambre Nationale des Huissiers de Justice ; Click & Trust ; Compagnie Nationale des Commissaires aux Comptes ; CodaSystem ; Conseil National des Grefers de tribunaux de Commerce ; Conseil Suprieur de lOrdre des Experts-Comptables ; Cryptolog ; DARVA ; DHL Global Mail ; Digimedia ; Docubase Systems ; Ecosix ; Edelweb ; Ernst & Young ; Esker ; Esopica ; Experian ; Fedisa ; Forum Atena ; France Telecom R & D ; G.L.I. Services ; Greffe du TC de Bobigny ; Herv Schauer Consultants ; Imaterialis ; Info Service Europe ; Inforsud Editique ; interb@t ; Ip-label ; jedeclare.com ; Kahn & Associs ; Keynectis ; Lex Persona ; Locarchives ; Maileva ; Mailwatcher ; Micrographie Services ; Microlist ; MIPIH ; Neuize OBC ; Omnikles ; Orsid ; Pitney Bowes Asterion ; Quintess ; SafeNet ; Scala ; S.I.S. ; Socit Gnrale dArchives ; Sogelink/DICT.fr ; SR Dveloppement ; Stocomest ; Syrtals ; TrustMission ; Vaughan Avocats ; Voxaly

Page 33 / 34 - Fdration Nationale des Tiers de Conance (F.N.T.C) - www.fntc.org

www.fntc.org

Conception graphique et illustrations : www.idsg.fr