L’essor de la signature électronique s’est jusqu’à présent heurté à un cadre réglementaire incomplet, à la rareté des prestataires, à la complexité des procédures et à la difficulté de déployer une infrastructure. Chacun de ces freins se desserre lentement. Tout d’abord, le feuilleton juridique de la loi sur la signature électronique se termine. Après une directive européenne de décembre 1999, une loi française a été votée en mars 2000, suivie d’un décret en mars dernier. On attend maintenant un arrêté. Il précisera le processus de qualification des infrastructures permettant d’apposer puis de vérifier une signature infalsifiable sur un document lui-même inaltérable et entièrement lisible. L’arrêté décrira aussi le processus d’homologation des prestataires de services de certification (PSC), de plus en plus nombreux, qui délivreront les certificats. Ces derniers devront garantir l’association entre l’individu et sa clé publique. En pratique, l’individu devra, documents en main, venir montrer patte blanche dans l’une des autorités d’enregistrement que chaque PSC aura intérêt à répartir sur le territoire.L’arrêté n’est cependant nécessaire que si les parties veulent signer des documents ayant valeur juridique devant un tiers, par exemple l’administration fiscale. “Sinon, deux entreprises peuvent dès maintenant se mettre d’accord pour conférer une valeur légale à la signature”, affirme Jean-Yves Fauroix, directeur sécurité et qualité chez Certplus.Telle a été la démarche du ministère de l’Économie, des Finances et de l’Industrie, dans le cadre de la déclaration de TVA par Internet. De fait, il a signé un contrat avec chacune des entreprises dont le CA excède 100 millions de francs (15,25 millions d’euros), aux termes duquel il reconnaît la valeur de la signature électronique, dès lors qu’elle repose sur des certificats délivrés par des PSC qu’il a agréés (une douzaine le sont déjà). Le ministère maîtrise l’infrastructure technique (service sur le web et archivage des déclarations). Si bien que, côté entreprises, les outils requis pour l’opération se limitent à un navigateur.
Déployer une infrastructure applicative
Toutefois, dans la majorité des cas, un déploiement applicatif sera nécessaire. Des entreprises qui se transmettront des contrats et factures devront mettre en ?”uvre des logiciels (homologués par des organismes qui restent à désigner) capables de reconnaître les certificats, signer des fichiers (souvent XML) et vérifier les signatures. S’il s’agit de documents envoyés par la messagerie, elles devront acquérir des logiciels spécifiques, car les outils comme Outlook ou Eudora ne permettent de signer que le corps du texte. Les entreprises devront réunir et stocker les éléments de preuves nécessaires ?” documents signés, certificats correspondants, accusés de réception. Une tâche complexe qu’elles pourront ou devront (selon la nature des documents) déléguer à un tiers de confiance. Ce dernier sera, par exemple, une place de marché ou une banque du consortium Identrus. Le cas échéant, ces prestataires recourront eux-mêmes à des spécialistes de l’archivage, souvent incontournables, compte tenu des délais de conservation ?” identiques à ceux du papier ?” légalement imposés pour certains documents. Ce qui ne dispensera pas les entreprises de conserver des copies numériques. En revanche, aucune version papier ne devra plus être archivée ni même produite.
Les PSC se multiplient | ||||||
Société | Origine | Autorité d’enregistrement | Production des certifications | |||
CertiNomis | Filiale commune à La Poste et à la Sagem | Bureaux de pPoste | En interne | |||
ChamberSign | Eurochambre et 10 chambres de commerce | Chambres de commerce et d’industrie | Certplus | |||
Crédit Lyonnais | Banque | Agences bancaires | Certplus | |||
Identrus | GIE créé par 20 banques mondiales | Selon les banques et les applications | En interne (Identrus) | |||
Société Générale | Banque | Agences bancaires | Certplus | |||
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.