CertEurope™
Forum IBM SAAS et Cloud Métiers
Club alliance IBM Dématérialisation
26 Novembre 2010
Page 2
CertEurope, l’entrepriseOpérateur de services de e-confiance leader de la certification électronique BtoB: Tiers de confiance sécurisant les échanges numériques Des solutions de certificats électroniques, de signature électronique et d’horodatage Opérateur de Certification Qualifiée Plus de 150 000 certificats délivrés, 5 millions de jetons d’horodatage en 2009
Pionnier technologique: 10 ans d’investissement en Recherche et Développement Label «entreprise innovante» Trophée de l’innovation des tiers de confiance en 2006 (CertSign) et 2003 (solution Opalexe)
Des clients dans tous les secteurs d’activité: Opérateur historique des professions du Droit et du Chiffre Clients prestigieux dans l’administration, le secteur bancaire et industriel Une importante base clients de PME/PMI (75.000 entreprises utilisent en 2009 un certificat numérique
opéré par CertEurope)
ASPeMarchand
EspaceCollaboratif
Archivage
Autoritéd’Enregistrement
Signature(Individuel/Serveur)
Horodatage
Page 3
Dématérialiser
Confiance et SAAS
S’authentifier avec un certificat électronique
Garantir la date des échanges avec de l’horodatage
Profiter du SAAS pour tout dématérialiser
Signer électroniquement ses documents
Profiter du mode SAAS pour échanger avec tous ses partenaires
Authentifier clients, fournisseurs, actionnaires ..
Page 4
Dématérialiser : les briques de la chaîne de confiance
Identifier Signer Dater Stocker et Echanger Archiver
Identifier la personne qui souscrit le contrat
Faire signer la personne qui
souscrit le contrat
Dater le contrat
Récupérer le contrat
Archiver le contrat
Les solutions utilisent une ou plusieurs briquesL’exemple du e-contrat, qui utilise toutes les briques de la chaîne :
Page 5
Une dématérialisation en toute e-confiance
La dématérialisation a des avantages
Mais elle comporte aussi des risques techniques et juridiques. CertEurope vous aide à y répondre.
Economie des frais d’impression et d’affranchissement
Un « geste vert » qui réduit les coûtsAméliorer le service grâce
au web
Réduction voire disparition des temps de saisie
Un service disponible 24h/24, 7j/7
Un délai commande + livraison écourté
Phishing et usurpation d’identité
Les documents usuels échangés par internet n’ont
pas de valeur légale
Tiers de confiance
Page 6
Le Tiers de Confiance
les maillons de la chaîne de confiance
Pourquoi faire appel à un Tiers de Confiance? Se prémunir de contestations (ne pas être
tiers et partie)
Bénéficier des meilleures technologies et garanties de respect des normes en vigueur
Déléguer à un expert les contraintes d’exploitation d’une Autorité de Certification
UtilisateursEntreprise
cliente
Les briques CertEurope s’intègrent en SAAS / ASP dans les applications clientes
Identifier Signer Dater Archiver
Tiers Certificateur Qualifié Tiers Horodateur Tiers Archiveur*
*En partenariat avec CDC Arkhineo
Tiers de confiance
Page 7
Le certificat électronique
Date de validité des certificats
Il contient:
Nom, raison sociale, numéro sirène, e-mail du porteur
Autorité de Certification
Autorité d’Enregistrement
Garantir l’intégrité de fichiers
Contrôler l’accès à un SI, aux extranet, intranet et sites Internet
Assurer la non répudiation
Chiffrer un échange
Il sert à:
Avec un module de signature
électronique
Véritable carte d’identité électronique, le certificat garantit l’identité de son titulaire, fichier logiciel ou sur support cryptographique
Sa légitimité est liée à l’Autorité de Certification qui le génère et à l’Autorité d’Enregistrement qui le délivre.
Identifier
Page 8
une signature électronique à valeur légaleLa signature électronique a aujourd’hui la même valeur légale qu’une signature manuscrite (loi n° 2000-230 du 13 mars 2000). Les services de signature opère les vérifications indispensables à la reconnaissance du niveau de confiance que l’on peut apporter à une signature électronique.
signer des contrats, bons de commande, formulaires, bons pour accord, conditions générales de vente…
En B2C, les prospects deviennent clients en quelques clics.
En B2B, on évite l’envoi du papier et on simplifie les process.
En B2A, dématérialisation et accélération des démarches administratives
Signer
Signature simple
Avec certificat logiciel mono-
usageBtoC
SignatureAvec certificat
logiciel téléchargeable
BtoB
SignatureAvec
certificats référencés par
l’Etat
BtoB, BtoA
Signature
en lot
Signature par une personne
morale
BtoB et BtoC (signature
du prestataire)
A chaque type de marché correspond un niveau de sécurité et donc un service adapté.
Page 9
La signature électronique, un impératif légal
Dans de nombreux cas la carte bancaire n’est pas suffisante. Toute vente de service par Internet qui risque d’être interrompue par l’impression d’un papier signé nécessite l’introduction d’une signature électronique.
Vente de produits financiers (Crédits, assurances vie…)
Vente de service à prélèvements récurrents (Téléphonie, internet, locations)
Vente supérieure à 1500€ (voyages: bijouterie, luxe)
Page 10
La signature électronique augmente les ventes. Parmi les raisons données par les clients figurent la réduction des délais et l’amélioration de la qualité de service induite par l’automatisation.
Process sans signature électronique
Process avec signature électronique
Signature électroniqueGain de temps, d’argent et
amélioration de la qualité de service
Souscription en ligne Impression du contrat Envoi du contrat signé
Validation de la commande Saisie des informations Réception du contrat
La signature électronique, un impératif commercial
Souscription en ligne
Validation de la commande
Page 11
L’horodatage Horodatage
L’horodatage scelle un fichier électronique, le date à la seconde et garantit son intégrité grâce à un jeton d’horodatage.
Le jeton faisant foi
Les jetons d’horodatage font foi sur le principe du "cachet de la poste" lorsqu’ils sont émis par un Tiers de Confiance qui respecte les protocoles techniques et juridiques normalisés.
Dater
• D’une archive, d’un contrat, d’un autre document devant légalement être conservé
Non altération
• De rétractation, de prise d’effet d’un contrat (assurance, crédit, abonnement,…)
Respect des délais légaux
• Dépôt de candidature à un appel d’offre, dépôt de brevet,…
Antériorité
•Mise en demeure, résiliation/reconduction d’un contrat…
Accusé de réception opposable
•Exigences réglementaires type Bâle 2, SOX
Traçabilité des actions
•En raison de l’obligation de pouvoir garantir l’authenticité et la pérennité de la facture électronique (Bulletin officiel des impôts,11/01/2007)
Facture électronique
Page 12
SSO et gestion des identités en SAASAuthentification unique et forte
L’utilisateur ne procède plus qu’à une seule authentification pour accéder plusieurs applications web sécurisées. Le service remplace le vulnérable login/mot de passe par de l’authentification forte avec certificat électroniques logiciel ou sur support cryptographique.
Gestion centralisée des identités
une interface centralisée et ergonomique de gestion des identités. Il permet aux utilisateurs de demander en un clic une autorisation d’accès.
Mode SAAS
CertIdentité fonctionne en mode SAAS. Il est non intrusif, fédère les identités, collecte les droits d’accès et les renforce. CertIdentité est compatible avec toutes les architectures techniques
CertIdentité, la sécurité sans contrainte
Identifier
• Un pin à 6 chiffres remplace une combinaison plus complexe
• Un seul code à retenir• Authentification unique évitant les
multiples saisies de login/mot de passe
• Elimination des frustrations liées aux blocages
• Opportunités de phishing et de hacking réduites
• Meilleure respect de la politique de sécurité (ex: non écriture des mots de passe)
• Réduit les risques d’oublis de modifications des droits (ex: suite au départ d’un collaborateur)
• Complémentarité avec les certificats électroniques à support
cryptographiques
Sécurité Confort
Page 13
Merci de votre attention
Nathalie Schlang
Tél : 01 45 26 72 00
34-36 rue de la Folie
Régnault 75011 Paris
www.certeurope.fr
Forum SaaSComment faire face aux enjeux juridiques
liés à la dématérialisation?Focus sur la signature électronique
Atelier Démat 2 – 15h-16h30
26 novembre 2010
Isabelle Renard
Docteur Ingénieur – Avocat Associée
Page 15
Il ne fut pas confondre :
La valeur probante d’un document
Et :
La signature électronique
Un document peut avoir une valeur probante sans être signé
Un document signé a une valeur probante forte
Page 16
LA VALEUR PROBANTE D’UN DOCUMENT ÉLECTRONIQUE
Page 17
Aux termes de l’article 1316 du Code civil :
« La preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient leurs supports et leurs modalités de transmission »
Désormais, la preuve n’est plus liée au support autrefois considéré comme seul valable : le papier
Page 18
Mais l’écrit électronique est très volatile. La question essentielle qui se pose est celle de sa valeur probante.
Art 1316-1 Code Civil :
« L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir
l’intégrité »
Page 19
Le critère d’intégrité
La loi ne donne pas de définition de la notion d’ « Intégrité ».
Le respect de cette exigence repose sur la fiabilité du processus mis en œuvre pour gérer le cycle de vie du document.
Page 20
Le critère d’imputabilité
Un document n’est générateur de droits et d’obligations que si l’on sait qui est « responsable » de l’exécution de ces obligations, ou qui peut se prévaloir de ces droits.
Ceci n’implique pas nécessairement que le document soit signé : la grande majorité des documents émis par une entreprise ou une administration n’est pas signée. Mais on sait les imputer à leur émetteur car il sont émis sur un support caractéristique de celui-ci : papier à en tête, comprenant le plus souvent un logo ou une marque.
Page 21
DONC, À QUOI SERT LA SIGNATURE ÉLECTRONIQUE ?
Page 22
Parfois elle est obligatoire
Et parfois elle n’est pas obligatoire, mais c’est un outil remarquable de sécurisation de la valeur probante du document numérique
Page 23
Quelques cas où la signature électronique est obligatoire
Les factures envoyées par voie électronique
Certaines télédéclarations
Les réponses aux appels d’offres publics
Les assignations et les conclusions rédigées par les avocats devant certaines juridictions
La conclusion d’actes avec un particulier au dessus de 1 500 € (décret application article 1341 Code Civil)
Page 24
En dehors de ces cas, pourquoi la signature est-elle un outil de sécurisation de la valeur probante du document numérique ?
Parce que la signature électronique remplit, par définition, les deux critères qui sont nécessaires pour assurer au document électronique la même valeur probante qu’au document papier :
Identification de l’émetteur
Garantie d’intégrité du document signé
Page 25
La définition juridique de la signature
Avant la Loi du 13 mars 2000, aucun texte législatif ne définissait la notion de signature. Selon la jurisprudence et la doctrine, la signature matérialisait l’engagement que prenait le signataire de respecter les obligations à sa charge contenues dans l’acte signé.
La Loi du 13 mars 2000 a formalisé cette définition dans l’article 1316-4 du Code Civil :
« La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte ».
Page 26
Reste à savoir comment transposer le concept dans le monde numérique. C’est ce qu’a réalisé la Loi du 13 mars 2000 avec la disposition suivante, portée à l’article 1316-4 du Code Civil :
«Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache »
Page 27
Telle que définie par les textes, c'est-à-dire délivrée par un Prestataire de Service de Certification Electronique, la SE assure de façon complète et fiable les fonctionnalités qui permettent d’accorder une valeur probante à un écrit numérique :
le document fait l’objet d’un calcul d’empreinte [donc son intégrité peut être vérifiée],
Il est signé en utilisant un certificat électronique délivré par un tiers qui vérifie l’identité de la personne à qui il est délivré [ce qui procure au document une garantie d’origine].
Page 28
La SE avec présomption de fiabilité
Certaines signatures électroniques ont une « présomption de fiabilité »
Ce sont des signatures « sécurisées » établies conformément au décret du 30 mars 2001 :
– avec un certificat électronique qualifié,
– et un dispositif sécurisé de création de signature électronique
Page 29
C.CASS, CIV1, 30 SEPTEMBRE 2010, N° POURVOI 09-68555
Que signifie la « présomption » ?
Page 30
Les protagonistes sont un propriétaire et sa locataire.
La locataire donne son congé au propriétaire par mail, le 28 août 2006.
Quelques jours plus tard, le 4 septembre 2006, elle double ce mail d’une LRAR, que le propriétaire déclare recevoir le 10 septembre 2006
Un différend survient alors entre le propriétaire et la locataire quant à la date de départ du préavis. Pour la locataire c’est le 28 août, date d’envoi du mail. Pour le propriétaire c’est le 10 septembre, date de réception de la LRAR
Page 31
La locataire produit un mail qui lui aurait été envoyé par le propriétaire le 13 octobre, dans lequel ce dernier confirmait avoir bien reçu le congé le 28 août 2006, et accepté de faire courir le délai de préavis à compter de cette date.
Le propriétaire dénie être l’auteur de ce mail du 13 octobre.
Page 32
La Cour d’appel de Dijon décrète que le mail litigieux bénéficiait d’une présomption de fiabilité. Dès lors, puisque le propriétaire ne communiquait aucun élément de nature à combattre cette présomption, il devait être reconnu comme l’auteur dudit mail
En l’espèce, il est bien évident que le mail dénié par le propriétaire ne pouvait prétendre à cette présomption.
C’était un simple mail, qui, comme tous les mails envoyés au travers des messageries couramment disponibles, n’était pas signé électroniquement. Et l’eût-il été, il n’aurait certainement pas bénéficié de la présomption édictée par l’article 1316-4 puisque les offres de signature sécurisées sont encore quasiment inexistantes sur le marché des particuliers
Page 33
Dès lors, le mail soi disant envoyé par le propriétaire ne bénéficiait d’aucune présomption de fiabilité. Dès lors que le propriétaire contestait en être l’auteur, il revenait à la locataire de démontrer la valeur probante de ce mail qu’elle produisait, bien opportunément, à l’appui de ses présentions. Conformément aux termes de l’article 1316-1 du Code Civil, cette démonstration passait par l’identification de son émetteur, et l’assurance que le mail n’avait pu subir aucune altération.
Cette démonstration est bien entendu impossible à rapporter, s’agissant d’un simple mail envoyé au travers d’une messagerie grand public.
Page 34
Conclusion :si un simple e-mail est contesté par son prétendu auteur, ce mail ne bénéficie d’aucune présomption de fiabilité.
Il ne sera donc pas recevable, dès lors que la partie qui s’en prévaut n’est pas capable d’apporter la preuve qu’il provient bien de cet auteur et n’a pu subir aucune altération.