Découvrez Le Brief de la Démat, la newsletter thématique gratuite dédiée aux professionnels de la transformation numérique et de la dématérialisation !
Rappelons que, selon la législation européenne, pour être recevables juridiquement, en cas de contrôle de l’administration ou de contentieux judiciaire, les documents électroniques doivent impérativement être archivés dans des conditions de nature à garantir leur intégrité.
Une grande partie des documents d’une organisation (contrats, bons de commande, PV de recette ou réception de chantier, etc.) étant susceptibles de constituer des preuves en cas de contentieux, il convient donc de s’assurer qu’ils ne puissent pas être altérés, volontairement ou non, pendant toute la durée des obligations de conservation.
Sans compter que l’organisation doit pouvoir en disposer à tout moment et les utiliser jusqu’à leur date de prescription.
> Lire aussi : Comment prouver la validité de la signature électronique ?
La signature électronique et son dossier de preuve
En cas de contentieux impliquant un document, notamment contractuel, ayant fait l’objet d’une signature électronique, il conviendra également de fournir le dossier de preuve et de traçabilité démontrant :
- Les processus mis en place ;
- Le lien entre le document et la personne dont il émane ;
- Le consentement donné par le signataire ;
- Les contrôles d’intégrité effectués (modalités, périodicité, etc.) ;
- L’algorithme utilisé pour cette gestion de l’intégrité ;
- La validité de la signature électronique (et du certificat associé) au moment de son apposition sur le document ;
- La non-compromission de l’algorithme de signature utilisé.
Ainsi, en cas de litige, l’expert nommé par le tribunal pourra réaliser des contrôles techniques (vérification de l’empreinte du document, comparaison avec l’empreinte dans la signature, vérification du rapport de validation de la signature, etc.) et fournir au juge les éléments lui permettant de décider s’il peut ou non admettre ces documents électroniques comme preuves.
> Lire aussi : Signature électronique : une sécurité renforcée grâce au service de validation certifié de LuxTrust
Avez-vous vérifié la validité des certificats de vos signatures électroniques ?
En effet, la signature électronique est associée à l’utilisation d’un certificat dont la durée de validité est, en général, de 2 ou 3 ans.
Si, au moment de la signature, on sait pertinemment que le certificat utilisé pour signer est valide (non échu et non révoqué par son propriétaire) et s’il est aisé de le vérifier pendant sa durée de vie, il n’est cependant plus possible de le faire au-delà de ces 2 à 3 ans. Ce qui peut s’avérer préjudiciable en cas de contentieux.
Aussi est-il très important de « valider » cette signature dès son apposition sur le document.
Les étapes de la vérification/validation
Pour apporter une réponse au marché et rassurer les utilisateurs, le règlement européen eIDAS, entré en vigueur le 1er juillet 2016, a introduit plusieurs services de confiance spécifiques. L’un d’entre eux est justement dédié à la validation des signatures électroniques qualifiées et est assuré par des prestataires de services de confiance qualifiés eIDAS (PSCQ). En proposant ce service, ce fameux PSCQ va :
- s’assurer de la présence de la signature et de l’intégrité du document transmis ;
- vérifier que le certificat utilisé était valide au moment de la signature ;
- identifier le signataire ;
- interroger les services externes nécessaires (trusted-list européenne, jetons OCSP, listes des certificats révoqués).
> Lire aussi : Signature électronique : faut-il tout signer ?
Le précieux rapport de validation
Une fois ces vérifications faites, un rapport de validation est généré au format Xades (XML signé) et ajouté aux éléments de l’enveloppe d’archive, au même titre que l’objet d’archive (le document signé et archivé) et le fichier de métadonnées. Ce rapport est intégré dans le scellement de l’archive. Ce qui permettra d’apporter ultérieurement la preuve de la validité de la signature au moment du versement du document à archiver et de consolider le dossier de preuve.
In fine, lorsqu’une organisation voudra consulter son document, elle pourra aussi consulter le rapport de validation et disposer de tous les éléments nécessaires.
> Lire aussi : Signature électronique : comment faire le bon choix ?
Signatures qualifiées et avancées
Si ce service de validation concerne initialement les signatures électroniques « qualifiées », il peut aussi être utilisé pour renforcer la qualité du dossier de preuve dans le cas de signatures électroniques de type « avancées ».
Car, avec ce type de signature, en cas de contentieux, la charge de la preuve incombe à celui qui a proposé la signature électronique à l’autre partie, et par conséquent au fournisseur du service/logiciel de signature.
> Lire aussi : Signature électronique à la volée : quelle conformité ?
Après la validation, la préservation
L’autre sujet sensible concernant la conservation à long terme de documents dotés d’une signature électronique est lié au fait que cette signature électronique est associée à l’utilisation d’algorithmes cryptographiques. Or, ceux-ci sont susceptibles d’évoluer en fonction des risques de piratage ou d’obsolescence technologique.
Pour y voir plus clair, le règlement eIDAS a donc également introduit un service de confiance dédié à la préservation des signatures électroniques. Ainsi, en cas d’alerte par les autorités en charge de la sécurité des systèmes d'information (en France, l’Anssi) liée à une éventuelle compromission de l’algorithme utilisé, ce service de préservation effectuera une sur-signature du document avec un nouvel algorithme plus récent et plus robuste. Ce qui empêchera toute modification de l’algorithme de signature et potentiellement toute « appropriation » de la signature par une personne ou organisation « malfaisante ».
> Lire aussi : Signature électronique : plusieurs niveaux de sécurité pour les documents engageants
Protection renforcée
Cette protection permet aux organisations utilisant un service d’archivage électronique à valeur probatoire pour la conservation de documents dotés d’une signature électronique, de disposer de documents recevables juridiquement en cas de contentieux, mais aussi de se protéger d’éventuelles cyberattaques, d’éviter le vol de données et de se prémunir contre l’obsolescence technologique ou la compromission des algorithmes utilisés pour la signature.
Sachez enfin que ces deux services sont utilisables dans toute l’Union européenne et qu’ils n’ont d’autre vocation que de renforcer la confiance des organisations dans la signature électronique.