COMMENT INSTAURER LA CONFIANCE SUR INTERNET ?
Même si un grand nombre de documents sont échangés par Internet au quotidien, le réseau des réseaux peine à passer du concept d'espace de communication et d'information sans limitation géographique à celui de négoce. Tout laisse à penser qu'il y a aujourd'hui un déficit de confiance dans un contexte où les médias renvoient l'image d'un Internet à la cybercriminalité grandissante.
Mais d'où vient ce déficit de confiance ? Il est vrai que plusieurs difficultés existent. Comment s'assurer de l'identité de l'émetteur d'un message électronique ? Comment vérifier que le document numérique n'a pas été altéré ? Quelle est la date exacte du document numérique envoyé ? Comment l'archiver électroniquement ?
Signature électronique
Conscient de ces obstacles, le législateur français a donné un cadre légal à la signature électronique par la loi du 13 mars 2000 et ses décrets d'application. Les écrits sous forme électronique signés sont désormais reconnus en droit français. La signature électronique consiste "en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle se s'attache. ". Elle apporte donc une garantie sur l'identité de l'émetteur et sur l'intégrité du message.
Toutefois, la fiabilité de ce procédé d'identification doit être prouvée. Afin de faciliter la preuve de la fiabilité du procédé, une présomption légale de fiabilité a été instituée qui repose sur la signature électronique dite sécurisée. Cette signature est fondée sur la technique de la cryptographie à clé asymétrique. Deux clés sont utilisées : la première (clé privée) permet à l'émetteur de signer électroniquement le message, la deuxième clé (clé publique) permet au destinataire de vérifier la signature électronique de l'émetteur. Cette vérification repose sur l'utilisation d'un certificat électronique qualifié qui constitue une sorte de "passeport numérique". Ce document atteste du lien entre la clé publique et l'identité du signataire.
C'est un tiers, le Prestataire de Services de Certification (PSC), qui émet les certificats électroniques qualifiés. Plusieurs PSC existent à ce jour sur le marché français, et sont soumis à un certain nombre d'exigences, de contrôles et de qualifications fixés par décrets, et par deux arrêtés à paraître. Aujourd'hui, la signature électronique peut être valablement utilisée, il suffit d'apporter la preuve de sa fiabilité. La parution imminente des futurs arrêtés simplifiera encore son usage.
En dépit de cette avancée majeure du droit de la preuve, les entreprises restent réticentes à utiliser largement l'écrit sous forme électronique pour conclure des transactions dématérialisées. Certaines d'entre elles font valoir que la chaîne complète de traitement de l'écrit électronique n'est pas encore dotée d'un cadre légal en particulier pour l'horodatage et l'archivage électronique.
Faut-il s'arrêter là, alors que des offres technologiques complémentaires à la signature électronique existent ? Répondre par la négative à cette question reviendrait à oublier le rôle du contrat et notamment de la convention de preuve récemment consacrée par le législateur. Les entreprises peuvent aujourd'hui compléter le cadre légal de la signature électronique par une convention de preuve portant notamment sur l'horodatage et l'archivage électronique.
Horodatage et archivage électronique
La certification de la date, voire de l'heure précise, d'un document sous forme électronique peut-être réalisée par un prestataire d'horodatage qui présente les garanties d'indépendance et de compétence nécessaires. De tels services reposent sur des systèmes fiables fondés sur la cryptographie asymétrique, l'ajout de la date certifiée au document étant signé électroniquement par le prestataire d'horodatage.
L'archivage électronique permet de conserver les écrits électroniques de façon à les utiliser comme preuve ultérieurement ou dans le but de constituer un patrimoine informationnel de l'entreprise. Cette fonction, compte tenu de sa complexité, est souvent confiée à un tiers archiveur dans le cadre d'un contrat spécifique. Les données archivées, protégées contre les risques majeurs, sont restituées dans l'état technique d'origine où celles-ci ont été reçues.
Si la procédure d'archivage électronique n'est pas définie juridiquement, elle fait l'objet d'une norme technique NF Z 42-013 à laquelle un certain nombre de contrats et conventions peuvent renvoyer. La technologie d'archivage électronique utilise les disques optiques "WORM" (1).
Tiers de confiance et contrat
Après ce rapide tour d'horizon, il apparaît que le rôle des tiers de confiance (2) est fondamental tant pour la signature électronique et l'horodatage que pour l'archivage électronique. Chacun de ces tiers concourt à sécuriser les échanges numériques en apportant des garanties de compétence et d'indépendance même en l'absence d'un cadre légal. Chaque catégorie de ces prestataires (PSC, tiers horodateur, tiers archiveur) est présente sur le marché français et propose une offre mature.
L'expérience montre que l'unité de temps d'élaboration législative est beaucoup plus longue que l'unité de temps technologique. Il appartient en conséquence aux entreprises de parfaire le cadre légal de la signature électronique par un cadre contractuel adapté incluant l'horodatage et l'archivage électronique. Alors s'établira une véritable chaîne de confiance du traitement de l'écrit électronique ce dont le commerce électronique a tant besoin pour se développer.
(1) Disque WORM (Write Once Read Many) : support optique sur lequel l'écriture codant les données se fait par transformation irréversible des constituants de ce support [retour].
(2) Conscients de leur rôle prépondérant, ces professionnels se sont regroupés au sein de la Fédération Nationale des Tiers de Confiance (FNTC) chargée de faire connaître ces différents métiers et de mettre en place un label de qualité. [retour]
© Frédéric Mascré - mai 2002
