Source : La validation/conservation des signatures électroniques, Jean Marc Rietsch, FISAM Consulting Formation, janvier 2021
Signature électronique et valeur probatoire dans le temps – Dernier volet
- Solutions pratiques pour la validation des signatures électroniques
Classes de signatures
La norme ETSI EN 319 102-1, définit 4 classes de signatures :
- Classe 1, la signature basique : elle ne peut être validée par l’AC que tant que les certificats correspondants ne sont ni révoqués, ni expirés ;
- Classe 2, la signature horodatée : elle prouve la date et l’heure de la signature. Elle peut être validée par l’AC même après révocation ou expiration des certificats, et ce tant que le certificat d’horodatage reste valide ;
- Classe 3, la signature avec éléments de validation à long terme (ou signature LVT) : elle permet de valider la signature sur le long terme en y incorporant tous les éléments nécessaires à cette opération même si l’AC n’existe plus. Une condition toutefois : conserver la signature de façon à en garantir le niveau de confiance (Cf. ci plus-haut) ;
- Classe 4, la signature assurant la disponibilité et l’intégrité à long terme des éléments de validation : elle permet de valider la signature au-delà de l’expiration des données de validation et des algorithmes craqués en intégrant d’autres éléments techniques nécessaires à cette opération, et ce même si l’AC n’existe plus.
3 scénarii de validation parmi d’autres
Scenario 1 : Faire réaliser la validation de la signature au plus tôt. Conserver dans un environnement de confiance la signature, le fichier de preuve et le rapport de validation.
Ce scenario a l’avantage de ne plus se préoccuper de la classe de signature et convient donc aux signatures basiques.
Scenario 2 : Utiliser une signature de classe 3 et la conserver dans un environnement de confiance. La signature pourra être validée, si besoin, au moment opportun.
Scenario 3 : Utiliser une signature de classe 4 en réalisant des horodatages réguliers qui la protègera dans le temps.
Autres éléments de validité
Attention ! La validation de la signature n’affranchit pas pour autant de conserver avec le document signer :
- Le dossier de preuve qui sert à démontrer la qualité et la conformité du processus de signature mis en œuvre ;
- Le fichier (des éléments techniques) de preuve qui décrit le déroulé de l’action de signature.
- Importance de l’archivage électronique
Terminons, si vous le voulez bien, sur mon domaine d’expertise, l’archivage. Sa qualité sera la clé qui déterminera la fiabilité d’un point de vue légal et règlementaire des documents signés électroniquement.
Tout ce qui précède dans cet article s’appuie sur le règlement européen eIDAS. Si l’eIDAS indique clairement que son sujet est de garantir la fiabilité des signatures, à aucun moment il ne traite de la fiabilité du document signé en lui-même, ni de celle de ses dossier et fichier de preuve. La charge en revient aux état membres. Et en France, c’est la norme NF Z 42-013 qui fait foi. Son rôle est de décrire les exigences nécessaires et suffisantes pour un système d’archivage électronique (S.A.E.) afin qu’il garantisse la valeur probatoire (et donc la fiabilité) des documents qu’il héberge.
Ainsi donc, même si nous utilisons une signature de classe 4 qui permet de s’affranchir sous certaines conditions, nous l’avons vu, d’archivage, cela ne concerne que l’élément technique « signature ». L’archivage demeure une nécessité pour le document lui-même, son dossier de preuve et son fichier de preuve.
- Conclusion
Vous l’aurez compris, le choix de son AC est primordial pour assurer un bon niveau de confiance à nos signatures. Et se poser la question de leur validation tout autant. En effet, n’y songer que 4 ans après avoir signé, une fois devant le juge qui requiert la preuve de fiabilité serait des plus préjudiciables pour notre entreprise.
Or, force est de constater que le sujet de la validation est la plupart du temps évité car il complique le service rendu par les AC. A nous donc de prendre le taureau par les cornes pour nous protéger. Un bon outil pour cela, la liste européenne officielle des AC qualifiées : https://webgate.ec.europa.eu/tl-browser//#/.
Enfin, le règlement eIDAS, s’il pose les exigences quant à la validation des signatures électroniques qualifiées, ne dit rien quant à la signature électronique avancée. Qu’en est-il donc pour ce niveau de signature ? Eh bien, bonne nouvelle ! Le CR2PA et la FnTC travaille actuellement de concert pour vous livrer des fascicules d’ici au début de l’été afin de vulgariser le sujet de la signature électronique, de sa validation et de sa conservation. Alors, je vous dis à très bientôt avec de beaux livrables à partager.
François Delion
