Le 1er juillet 2016 est une date à marquer d’une pierre blanche dans l’histoire des transactions électroniques. Elle a, en effet, ouvert les portes d’un véritable marché européen des services de confiance numérique avec l’entrée en vigueur du règlement européen eIDAS. Si l’intention de départ est louable, une partie de ces nouvelles règles (le "Qualified preservation service" notamment) ont aussi créé une certaine confusion dans bon nombre d’organisations.
[TRIBUNE] Entré en vigueur le 1er juillet 2016 avec pour ambition d'accroître la confiance dans les transactions électroniques au sein de l’Union Européenne, le règlement eIDAS a donc permis d’instaurer un véritable marché européen de la signature électronique incluant 28 pays (au lieu des 28 marchés locaux avec chacun ses spécificités en la matière) et une reconnaissance mutuelle, ce qui résout les problèmes en cas de contentieux transfrontaliers.
Trust Service Provider et services de confiance
eIDAS a également introduit des “services de confiance” relatifs à la signature dont un service de conservation des signatures et cachets électroniques qualifiés (Qualified preservation service), ainsi qu’un service de validation des signatures et cachets électroniques qualifiés (Qualified validation service for qualified electronic signatures). Ceux-ci sont assurés par ce que l’on appelle désormais des Trust Service Provider (TSP) ou Prestataires de Services de Confiance (PSCo).
Le “Qualified preservation service” eIDAS sème le trouble
Si l’arrivée de ce règlement était nécessaire et permet d’ajouter une dimension de confiance complémentaire, elle génère cependant de la confusion dans un grand nombre d’organisations. Celles-ci ne doivent, en effet, pas confondre “archivage électronique des documents” et “conservation des signatures”. La conservation des signatures seules (eIDAS) ne suffit pas et ne peut se substituer à l'archivage électronique du document signé, qui demeure indispensable. Il nous semblait donc nécessaire d’apporter quelques éclaircissements sur ce sujet.
Pour l’archivage électronique, le sujet est clos
Concernant l’archivage électronique des documents, Bruxelles a considéré que la législation sur ce sujet relevait de chaque état membre et que le dispositif de « régulation » est déjà complet, et ce, pour trois raisons.
- Dans tous les pays de l’UE, les documents d’entreprises font déjà l’objet d’obligations légales d’archivage. Et ce qui est vrai pour les documents papier (contrats, factures, bons de livraison, bulletins de salaire, etc.), l’est évidemment aussi pour leurs équivalents électroniques. Les durées légales, parfois très longues, sont identiques. Ce qui soulève malgré tout quelques questions pour les documents électroniques, notamment au niveau du format utilisé pour l’archivage et de sa lisibilité dans le temps.
- L’introduction de la notion de document « original » électronique au tournant du siècle a été associée à une contrainte de maintien de l’intégrité du document électronique pendant toute la durée légale de conservation, cette intégrité étant gérée par le système d’archivage électronique (SAE), et non par le support du document.
- S’agissant des documents électroniques, il est de la responsabilité de chaque entreprise d’être en conformité avec les obligations d’archivage, comme elles le faisaient déjà pour les documents papier.
Validation & Préservation : 2 nouveaux services associés à la signature électronique
Concernant les services de confiance eIDAS, la donne est toute autre. Conçus pour permettre aux détenteurs d’un document électronique (confrontés à un contentieux) de démontrer que la signature apposée sur ce document signé de manière électronique (5, 10 ou 20 ans plus tôt) était bien valide au moment où les signataires ont manifesté leurs consentements, ces services se scindent en deux catégories :
- Qualified validation service for qualified electronic signatures
Ce service de confiance concernant la validation des signatures et cachets électroniques en préalable à leur conservation est indispensable, car la durée de validité d’un certificat de signature est limitée (2 ou 3 ans), tout comme la durée de vie technologiques des algorithmes utilisés (de l’ordre d’une dizaine année). Ce qui, dans certains cas, peut s’avérer inférieur à la durée de conservation légale du document ainsi signé.
Si un prestataire en charge de cette validation est « qualifié » au sens eIDAS, il doit également respecter la norme ETSI EN 319 401 relatives à la continuité de service et à l’arrêt d’activité. Il doit aussi conserver toutes les informations pertinentes transmises par le demandeur ou recueillies électroniquement pour la validation de la signature électronique ou du cachet électronique (notamment pour pouvoir fournir des preuves en justice), à savoir : la date et l’heure de la validation de la signature ou du cachet électronique qualifié ; les données fournies par le demandeur ; les données externes utilisées pour valider la signature ou le cachet (listes de confiance, listes de certificats révoqués, réponses OCSP, etc.) ; le rapport contenant le résultat de la validation de la signature ou du cachet électronique qualifié. Ce « rapport » doit d’ailleurs être ajouté aux « métadonnées » associées au document électronique au moment de son archivage, afin que le prestataire d’archivage puisse conserver à la fois le document signé, mais aussi sa signature électronique et les éléments de preuve de validité de la signature au moment de son apposition par le signataire.
- Qualified preservation service
Cet autre service de confiance concerne uniquement la conservation des signatures électroniques (et cachets) et non pas, à proprement parler, la conservation des documents signés de manière électronique eux-mêmes (qui font l’objet d’obligations légales propres à l’archivage des documents). Cette conservation des signatures peut être assurée par un prestataire d’archivage électronique, si celui-ci respecte la norme AFNOR NF Z42-013.
Si un prestataire est « qualifié » au sens eIDAS, il doit lui aussi respecter la norme EN 319 401 relatives à la continuité de service et à l’arrêt d’activité. Et s’il propose un service de conservation des signatures, il doit conserver non seulement les signatures et cachets électronique qualifiés, mais aussi les éléments de preuve associés afin de pouvoir les fournir à la justice (en cas de contentieux) ou à un autre prestataire de services de conservation qualifié. Ces éléments doivent par ailleurs être lisibles et intelligibles pour le destinataire. Ce point particulier met en évidence les difficultés que posent l’usage de certains formats de signature détachés du document, notamment le format ASIC, qui est un « conteneur » ZIP, alors que le format ZIP (ou équivalent) n’est pas recommandé par les normes en vigueur (NF Z42-013 et ISO 14641-1) en termes de conservation à long terme (pérennité, lisibilité, etc.).
Document & signature doivent être conservés ensemble
In fine, il est essentiel que le document objet de la signature soit conservé et archivé électroniquement car :
- conserver la signature seule, sans le document, n’aurait aucun sens. Il est, en effet, impossible, en cas d’absence du document, de le régénérer à partir de sa signature afin de vérifier la concordance entre les deux.
- l’entreprise ne satisferait pas à ses obligations légales d’archivage.
- cette pratique ne serait pas conforme aux normes d’application eIDAS qui préconisent de conserver ensemble le document et sa signature.
Bretelles et ceinture
De surcroît, la conservation du document dans des conditions de protection permettant de garantir son intégrité durant toute la durée légale de conservation (avec des contrôles périodiques) permet de pallier au risque d’affaiblissement de la fonction de calcul d’empreinte liant le document à sa signature, car une non-concordance à l’occasion d’un contrôle lié à un contentieux remettrait en cause sa recevabilité juridique.
Moralité : il est important de ne pas confondre “archivage électronique des documents” et “conservation de leur signature”. Ces deux services sont clairement complémentaires et indispensables.
Philippe Delahaye
Directeur Commercial & Marketing
CDC Arkhineo
Après avoir débuté sa carrière dans le secteur bancaire notamment comme responsable d’agence, puis dans le conseil en gestion financière et en organisation en France et en Espagne, il a exercé des fonctions de direction générale, commerciale et marketing dans différentes sociétés du secteur des NTIC, telles que Karibé, XRT et Concept. Titulaire d’un Executive MBA de l’ESSEC, Philippe Delahaye est, depuis 2006, Directeur Commercial & Marketing de CDC Arkhineo.