Pour qu’un document nativement électronique soit recevable juridiquement, les conditions de signature sont essentielles. Toute signature électronique est, en effet, associée à un cerficat électronique dont la durée de validité est en général de 2 à 3 ans maximum. Si, au moment de la signature, on sait que le certificat utilisé pour signer est valide (non échu et non révoqué par son propriétaire), cette vérification n’est plus possible lorsque l’on dépasse la durée de validité du certificat. Ce qui peut s’avérer gênant en cas de contentieux concernant un document signé de manière électronique intervenant ultérieurment à l’échéance du certificat.
Un service de confiance qualifié
Pour faire face à cette difficulté, le règlement européen eIDAS a donc introduit un service de confiance dédié à la validation des signatures électroniques qualifiées* opéré par certains prestataires estampillés “Prestataire de Services de Confiance Qualifié” (PSCQ ou QTSP en anglais). CDC Arkhineo en fait partie et assure donc une validation de la signature associée au document archivé afin de s’assurer, au moment du versement, que la signature électronique (ou le cachet) est bien valide.
Le circuit de validation
CDC Arkhineo peut ainsi s’assurer de la présence de la signature et de l’intégrité du document transmis, mais aussi vérifier que le certificat utilisé était bien valide (non échu et non révoqué) au moment de la signature, identifier le signataire et interroger les services externes nécessaires (« Trusted-list » européenne, jetons OCSP, listes de certificats révoqués etc.).
Au rapport !
Un rapport de validation est ensuite généré au format XaDES (XML signé) et ajouté aux éléments de l’enveloppe d’archive, au même titre que l’objet d’archive et le fichier de métadonnées. Il est intégré dans le scellement de l’archive, ce qui permet d’apporter ultérieurement la preuve de la validité de la signature, au moment du versement en archivage du document signé de manière électronique.
Niveau 2 : la préservation
Par ailleurs, pour faire face à l’obsolescence des algorithmes cryptographiques utilisés dans les signatures électroniques, le règlement eIDAS a aussi introduit un service de confiance spécialement dédié à la préservation des signatures électroniques qualifiées. Car avec le temps, la probabilité que les algorithmes utilisés puissent être corrompus ou hackés augmente. Pour remédier à ce second problème, la préservation des signatures consiste à réaliser une sur-signature du document à l’aide d’un algorithme plus récent et plus robuste empêchant ainsi de compromettre le document signé. Ce service est aussi opéré par des prestataires habilités (PSCQ ou QTSP en anglais) dont CDC Arkhineo fait partie. Ce qui permet à toute entreprise utilisant un service d’archivage électronique à valeur probatoire, de disposer de documents recevables juridiquement en cas de litige mais aussi de se protéger d’éventuelles cyber-attaques et d’éviter le vol de données.
*Notez que ce service « qualifié » de validation, prévu au reglement européen eIDAS, concerne initialement les signatures électroniques qualifiées. Il peut toutefois être utilisé pour les signatures de type avancée afin de renforcer la qualité du dossier de preuve. Car dans le cas de signatures avancées, en cas de contentieux, la charge de la preuve incombe à celui qui a proposé la signature électronique à l’autre partie (et implique le fournisseur du service/logiciel de signature).
Commentaires (1)