2. Page 2
CertEurope, l’entreprise
Opérateur de services de e-confiance leader de la certification électronique BtoB:
Tiers de confiance sécurisant les échanges numériques
Des solutions de certificats électroniques, de signature électronique et d’horodatage
Opérateur de Certification Qualifiée
Plus de 150 000 certificats délivrés, 5 millions de jetons d’horodatage en 2009
Pionnier technologique:
10 ans d’investissement en Recherche et Développement
Label «entreprise innovante»
Trophée de l’innovation des tiers de confiance en 2006 (CertSign) et 2003 (solution Opalexe)
Des clients dans tous les secteurs d’activité:
Opérateur historique des professions du Droit et du Chiffre
Clients prestigieux dans l’administration, le secteur bancaire et industriel
Une importante base clients de PME/PMI (75.000 entreprises utilisent en 2009 un certificat numérique
opéré par CertEurope)
Espace
Collaboratif
Autorité
d’Enregistrement
Horodatage
ASP Signature
eMarchand (Individuel/Serveur) Archivage
3. Page 3
Dématérialiser
Confiance et SAAS
S’authentifier avec un certificat électronique
Garantir la date des échanges avec de l’horodatage
Profiter du SAAS pour tout dématérialiser
Signer électroniquement ses documents
Profiter du mode SAAS pour échanger avec tous ses partenaires
Authentifier clients, fournisseurs, actionnaires ..
4. Page 4
Dématérialiser : les briques de la chaîne de
confiance
Stocker et
Identifier Signer Dater Archiver
Echanger
Les solutions utilisent une ou plusieurs briques
L’exemple du e-contrat, qui utilise toutes les briques de la chaîne :
Faire signer la
Identifier la personne personne qui Dater le Récupérer le Archiver le
qui souscrit le contrat souscrit le contrat contrat contrat
contrat
5. Page 5
Une dématérialisation en toute e-confiance
La dématérialisation a des avantages
Améliorer le service grâce
Un « geste vert » qui réduit les coûts au web
Réduction voire disparition des Un service disponible 24h/24,
temps de saisie 7j/7
Economie des frais d’impression Un délai commande + livraison
et d’affranchissement écourté
Mais elle comporte aussi des risques techniques et juridiques.
CertEurope vous aide à y répondre.
Les documents
Phishing et usuels échangés
usurpation Tiers de confiance par internet n’ont
d’identité pas de valeur
légale
6. Page 6
Le Tiers de Confiance
les maillons de la chaîne de confiance
Tiers Certificateur Qualifié Tiers Horodateur Tiers Archiveur*
Identifier Signer Dater Archiver
*En partenariat avec CDC Arkhineo
Tiers de Pourquoi faire appel à un Tiers de
confiance Confiance?
Se prémunir de contestations (ne pas être
tiers et partie)
Bénéficier des meilleures technologies et
Utilisateurs garanties de respect des normes en vigueur
Entreprise
cliente
Déléguer à un expert les contraintes
d’exploitation d’une Autorité de Certification
Les briques CertEurope s’intègrent en SAAS / ASP
dans les applications clientes
7. Page 7
Identifier Le certificat électronique
Véritable carte d’identité électronique, le certificat garantit l’identité
de son titulaire, fichier logiciel ou sur support cryptographique
Il contient: Il sert à:
Nom, raison sociale, numéro Contrôler l’accès à un SI, aux
sirène, e-mail du porteur extranet, intranet et sites Internet
Date de validité des certificats Garantir l’intégrité de fichiers Avec un
module de
signature
électronique
Autorité de Certification Assurer la non répudiation
Autorité d’Enregistrement Chiffrer un échange
Sa légitimité est liée à l’Autorité de Certification qui le
génère et à l’Autorité d’Enregistrement qui le délivre.
8. Page 8
Signer une signature électronique à valeur légale
La signature électronique a aujourd’hui la même valeur légale qu’une signature manuscrite (loi n
2000-230 du 13 mars 2000). Les services de signature opère les vérifications indispensables à la
reconnaissance du niveau de confiance que l’on peut apporter à une signature électronique.
signer des contrats, bons de commande, formulaires, bons pour accord, conditions générales de
vente…
En B2C, les prospects deviennent clients en quelques clics.
En B2B, on évite l’envoi du papier et on simplifie les process.
En B2A, dématérialisation et accélération des démarches administratives
Signature Avec certificat
logiciel mono- BtoC
simple usage
Avec certificat
Signature logiciel BtoB
téléchargeable A chaque type de marché
correspond un niveau de
Avec
sécurité et donc un
certificats service adapté.
Signature référencés par BtoB, BtoA
l’Etat
Signature Signature par BtoB et BtoC
une personne (signature du
en lot morale prestataire)
9. Page 9
La signature électronique, un impératif légal
Dans de nombreux cas la carte bancaire n’est pas suffisante. Toute vente de service par
Internet qui risque d’être interrompue par l’impression d’un papier signé nécessite l’introduction
d’une signature électronique.
Vente de produits financiers
(Crédits, assurances vie…)
Vente de service à prélèvements
récurrents (Téléphonie, internet, locations)
Vente supérieure à 1500€
(voyages: bijouterie, luxe)
10. Page 10
La signature électronique, un impératif commercial
La signature électronique augmente les ventes. Parmi les raisons données par les clients
figurent la réduction des délais et l’amélioration de la qualité de service induite par l’automatisation.
Process sans signature électronique
Souscription en ligne Impression du contrat Envoi du contrat signé
Validation de la commande Saisie des informations Réception du contrat
Process avec signature électronique
Souscription en ligne
Signature électronique
Gain de temps, d’argent et
amélioration de la qualité de
Validation de la commande service
11. Page 11
Dater L’horodatage
Horodatage
L’horodatage scelle un fichier électronique, le date à la seconde et garantit son intégrité grâce à un jeton
d’horodatage.
Le jeton faisant foi
Les jetons d’horodatage font foi sur le principe du "cachet de la poste" lorsqu’ils sont émis par un Tiers de
Confiance qui respecte les protocoles techniques et juridiques normalisés.
• D’une archive, d’un contrat, d’un autre document devant légalement
Non altération être conservé
• De rétractation, de prise d’effet d’un contrat (assurance, crédit,
Respect des délais légaux abonnement,…)
Antériorité • Dépôt de candidature à un appel d’offre, dépôt de brevet,…
Accusé de réception opposable • Mise en demeure, résiliation/reconduction d’un contrat…
Traçabilité des actions • Exigences réglementaires type Bâle 2, SOX
• En raison de l’obligation de pouvoir garantir l’authenticité et la
Facture électronique pérennité de la facture électronique (Bulletin officiel des
impôts,11/01/2007)
12. Page 12
Identifier SSO et gestion des identités en SAAS
Authentification unique et forte
L’utilisateur ne procède plus qu’à une seule authentification pour accéder plusieurs applications web
sécurisées. Le service remplace le vulnérable login/mot de passe par de l’authentification forte avec
certificat électroniques logiciel ou sur support cryptographique.
Gestion centralisée des identités
une interface centralisée et ergonomique de gestion des identités. Il permet aux utilisateurs de demander
en un clic une autorisation d’accès.
Mode SAAS
CertIdentité fonctionne en mode SAAS. Il est non intrusif, fédère les identités, collecte les droits d’accès et
les renforce. CertIdentité est compatible avec toutes les architectures techniques
CertIdentité, la sécurité sans contrainte
Sécurité Confort
• Opportunités de phishing et de • Un seul code à retenir
hacking réduites • Authentification unique évitant les
• Meilleure respect de la politique de multiples saisies de login/mot de passe
sécurité (ex: non écriture des mots de • Elimination des frustrations liées aux
passe) blocages
• Réduit les risques d’oublis de
modifications des droits (ex: suite au
départ d’un collaborateur)
• Complémentarité avec les certificats • Un pin à 6 chiffres remplace une
électroniques à support cryptographiques combinaison plus complexe
13. Page 13
Merci de votre attention
Nathalie Schlang
nschlang@certeurope.fr
Tél : 01 45 26 72 00
34-36 rue de la Folie
Régnault 75011 Paris
www.certeurope.fr
14. Forum SaaS
Comment faire face aux enjeux juridiques
liés à la dématérialisation?
Focus sur la signature électronique
Atelier Démat 2 – 15h-16h30
26 novembre 2010
Isabelle Renard
Docteur Ingénieur – Avocat Associée
irenard@racine.eu
15. Page 15
Il ne fut pas confondre :
La valeur probante d’un document
Et :
La signature électronique
Un document peut avoir une valeur probante sans être signé
Un document signé a une valeur probante forte
16. Page 16
LA VALEUR PROBANTE D’UN DOCUMENT
ÉLECTRONIQUE
17. Page 17
Aux termes de l’article 1316 du Code civil :
« La preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de
caractères, de chiffres ou de tous autres signes ou symboles dotés d’une
signification intelligible, quels que soient leurs supports et leurs modalités de
transmission »
Désormais, la preuve n’est plus liée au support autrefois considéré comme seul
valable : le papier
18. Page 18
Mais l’écrit électronique est très volatile. La question essentielle qui se pose est
celle de sa valeur probante.
Art 1316-1 Code Civil :
« L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur
support papier, sous réserve que puisse être dûment identifiée la personne dont il
émane et qu’il soit établi et conservé dans des conditions de nature à en garantir
l’intégrité »
19. Page 19
Le critère d’intégrité
La loi ne donne pas de définition de la notion d’ « Intégrité ».
Le respect de cette exigence repose sur la fiabilité du processus mis en œuvre
pour gérer le cycle de vie du document.
20. Page 20
Le critère d’imputabilité
Un document n’est générateur de droits et d’obligations que si l’on sait qui est
« responsable » de l’exécution de ces obligations, ou qui peut se prévaloir de ces
droits.
Ceci n’implique pas nécessairement que le document soit signé : la grande
majorité des documents émis par une entreprise ou une administration n’est pas
signée. Mais on sait les imputer à leur émetteur car il sont émis sur un support
caractéristique de celui-ci : papier à en tête, comprenant le plus souvent un logo
ou une marque.
21. Page 21
DONC, À QUOI SERT LA SIGNATURE
ÉLECTRONIQUE ?
22. Page 22
Parfois elle est obligatoire
Et parfois elle n’est pas obligatoire, mais c’est un outil remarquable de
sécurisation de la valeur probante du document numérique
23. Page 23
Quelques cas où la signature électronique est
obligatoire
Les factures envoyées par voie électronique
Certaines télédéclarations
Les réponses aux appels d’offres publics
Les assignations et les conclusions rédigées par les avocats devant certaines
juridictions
La conclusion d’actes avec un particulier au dessus de 1 500 € (décret application
article 1341 Code Civil)
24. Page 24
En dehors de ces cas, pourquoi la signature est-
elle un outil de sécurisation de la valeur probante
du document numérique ?
Parce que la signature électronique remplit, par définition, les deux critères qui sont
nécessaires pour assurer au document électronique la même valeur probante qu’au
document papier :
Identification de l’émetteur
Garantie d’intégrité du document signé
25. Page 25
La définition juridique de la signature
Avant la Loi du 13 mars 2000, aucun texte législatif ne définissait la notion de
signature. Selon la jurisprudence et la doctrine, la signature matérialisait
l’engagement que prenait le signataire de respecter les obligations à sa charge
contenues dans l’acte signé.
La Loi du 13 mars 2000 a formalisé cette définition dans l’article 1316-4 du Code
Civil :
« La signature nécessaire à la perfection d’un acte juridique identifie celui qui
l’appose. Elle manifeste le consentement des parties aux obligations qui découlent
de cet acte ».
26. Page 26
Reste à savoir comment transposer le concept dans le monde numérique. C’est
ce qu’a réalisé la Loi du 13 mars 2000 avec la disposition suivante, portée à
l’article 1316-4 du Code Civil :
«Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable
d’identification garantissant son lien avec l’acte auquel elle s’attache »
27. Page 27
Telle que définie par les textes, c'est-à-dire délivrée par un Prestataire de Service
de Certification Electronique, la SE assure de façon complète et fiable les
fonctionnalités qui permettent d’accorder une valeur probante à un écrit numérique :
le document fait l’objet d’un calcul d’empreinte [donc son intégrité peut être
vérifiée],
Il est signé en utilisant un certificat électronique délivré par un tiers qui vérifie
l’identité de la personne à qui il est délivré [ce qui procure au document une
garantie d’origine].
28. Page 28
La SE avec présomption de fiabilité
Certaines signatures électroniques ont une « présomption de fiabilité »
Ce sont des signatures « sécurisées » établies conformément au décret du 30
mars 2001 :
– avec un certificat électronique qualifié,
– et un dispositif sécurisé de création de signature électronique
29. Page 29
Que signifie la « présomption » ?
C.CASS, CIV1, 30 SEPTEMBRE 2010,
N POURVOI 09-68555
30. Page 30
Les protagonistes sont un propriétaire et sa locataire.
La locataire donne son congé au propriétaire par mail, le 28 août 2006.
Quelques jours plus tard, le 4 septembre 2006, elle double ce mail d’une LRAR,
que le propriétaire déclare recevoir le 10 septembre 2006
Un différend survient alors entre le propriétaire et la locataire quant à la date de
départ du préavis. Pour la locataire c’est le 28 août, date d’envoi du mail. Pour le
propriétaire c’est le 10 septembre, date de réception de la LRAR
31. Page 31
La locataire produit un mail qui lui aurait été envoyé par le propriétaire le 13
octobre, dans lequel ce dernier confirmait avoir bien reçu le congé le 28 août
2006, et accepté de faire courir le délai de préavis à compter de cette date.
Le propriétaire dénie être l’auteur de ce mail du 13 octobre.
32. Page 32
La Cour d’appel de Dijon décrète que le mail litigieux bénéficiait d’une
présomption de fiabilité. Dès lors, puisque le propriétaire ne communiquait aucun
élément de nature à combattre cette présomption, il devait être reconnu comme
l’auteur dudit mail
En l’espèce, il est bien évident que le mail dénié par le propriétaire ne pouvait
prétendre à cette présomption.
C’était un simple mail, qui, comme tous les mails envoyés au travers des
messageries couramment disponibles, n’était pas signé électroniquement. Et l’eût-
il été, il n’aurait certainement pas bénéficié de la présomption édictée par l’article
1316-4 puisque les offres de signature sécurisées sont encore quasiment
inexistantes sur le marché des particuliers
33. Page 33
Dès lors, le mail soi disant envoyé par le propriétaire ne bénéficiait d’aucune
présomption de fiabilité. Dès lors que le propriétaire contestait en être l’auteur, il
revenait à la locataire de démontrer la valeur probante de ce mail qu’elle
produisait, bien opportunément, à l’appui de ses présentions. Conformément aux
termes de l’article 1316-1 du Code Civil, cette démonstration passait par
l’identification de son émetteur, et l’assurance que le mail n’avait pu subir aucune
altération.
Cette démonstration est bien entendu impossible à rapporter, s’agissant d’un
simple mail envoyé au travers d’une messagerie grand public.
34. Page 34
Conclusion :si un simple e-mail est contesté par son prétendu auteur, ce
mail ne bénéficie d’aucune présomption de fiabilité.
Il ne sera donc pas recevable, dès lors que la partie qui s’en prévaut n’est
pas capable d’apporter la preuve qu’il provient bien de cet auteur et n’a pu
subir aucune altération.