Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

3è congrès FedISA : la certification du SAE… un « créateur de confiance »

février 2010 par Emmanuelle Lamandé

« Le droit de la preuve a avancé en France depuis la loi n°2000-230 du 13 mars 2000 », souligne Maître Isabelle Renard, Avocat associée du Cabinet Racine. Toutefois, 10 ans plus tard, la portée de cette réforme est décevante. De nombreux professionnels restent dubitatifs face à la valeur probante de la preuve numérique. Celle-ci repose sur 2 facteurs : l’identification de l’émetteur et son intégrité. Cependant, comment prouver au juge que l’écrit répond bien à ces deux arguments ? Quel rôle joue la norme ? Quel est l’impact de la certification ?

En droit, la norme va être rattachée à des règles de l’art, qui représentent le standard d’appréciation de la faute. En matière d’archivage numérique, un SAE (Système d’Archivage Electronique) qui ne répond pas aux règles de l’art serait considéré comme non viable. Il faut, cependant, bien tenir compte de l’évolutivité de ces règles. De plus, le SAE est un projet. Il est donc nécessaire d’y associer un chef de projet et une maîtrise d’ouvrage.

La certification… un « créateur de confiance »

La certification est attribuée par un tiers mais n’aura aucun effet si elle n’est pas prévue dans les textes de loi. La certification du SAE reste, à l’heure actuelle, une démarche volontaire. Il n’existe pas de texte qui l’impose pour le moment. Toutefois, elle représente un enjeu majeur en termes de « créateur de confiance ».

Les principes de la certification reposent sur le Code de la consommation Art L115-27, souligne Armelle Trotin, Présidente de LSTI : « Constitue une certification de produit ou de service soumise aux dispositions de la présente section l’activité par laquelle un organisme, distinct du fabricant, de l’importateur, du vendeur, du prestataire ou du client, atteste qu’un produit, un service ou une combinaison de produits et de services est conforme à des caractéristiques décrites dans un référentiel de certification.

Le référentiel de certification est un document technique définissant les caractéristiques que doit présenter un produit, un service ou une combinaison de produits et de services, et les modalités de contrôle de la conformité à ces caractéristiques.L’élaboration du référentiel de certification incombe à l’organisme certificateur qui recueille le point de vue des parties intéressées . »

« Cen’est pas la certification qui coûte cher, mais la mise en place de la conformité »

Un référentiel de certification doit être accepté par les acteurs du métier, être connu du public et diffusé. Un organisme certificateur se doit d’être indépendant, compétent et impartial. Il engage sa responsabilité et peut aussi être appelé devant les tribunaux pour se défendre ou défendre ses clients. Il existe quatre types de certification de conformité :
- de produits
- de services
- d’entreprises ou systèmes de management
- de personnels.

En soit, tout organisme peut devenir un organisme certificateur. Néanmoins, la preuve de ses compétences repose sur la preuve de l’accréditation. Dans le cadre de la signature électronique, le législateur a imposé que l’organisme certificateur soit accrédité par le COFRAC en France. Le logo COFRAC vise à établir la confiance vis-à-vis des clients et permettre une reconnaissance internationale de leur certification.

Parmi les principaux avantages d’une telle démarche pour les clients, Armelle Trotin note la confiance assurée à un tiers et la simplification des appels d’offre. L’entreprise certifiée représente un avantage concurrentiel, limite la responsabilité du dirigeant et pourra servir de preuve devant la justice. En outre, il faut avoir conscience que « ce qui coûte cher pour l’entreprise n’est pas la certification en soi, mais la mise en place de la conformité », conclut-elle.

Il faut décorréler les rôles de stockage et de « gestion de la preuve »

L’archivage et la signature électronique vont de paire, souligne Julien Stern, Directeur Général de Cryptolog. La valeur d’une signature diminue avec le temps, elle a donc besoin d’archivage. Selon l’article 1316.1 du Code Civil, il faut pouvoir identifier la personne dont le document émane et en garantir l’intégrité. Concernant l’intégrité, l’outil utilisé est l’horodatage. Pour ce qui est de la provenance, l’outil a besoin de signature électronique. La signature a donc besoin d’archivage et vice versa.

Il conseille de décorréler les rôles de stockage et de « gestion de la preuve ». La transférabilité et la réversibilité permettent de changer si besoin le module d’archivage, aussi bien que celui de gestion de la preuve. Les preuves deviennent donc démontrables « hors contexte ». Il recommande également la séparation des rôles de confiance et de maintenance cryptographique, mais aussi de la (re)validation des signatures. Il faut pouvoir traiter les documents signés de manière générique.

Vers une uniformisation européenne ?

En conclusion de cette troisième édition, Cyril Pierre-Beausse, Président de FedISA Luxembourg, a rappelé que les problèmes inhérents à l’archivage électronqiue restent les mêmes pour tous les pays. Il observe un foisonnement et un dynamisme en France comme au Luxembourg, néanmoins, le constat est similaire pour tous : « Pour le moment, on balbutie et on en reste à l’état de projet ». Pourtant, au Luxembourg, un dispositif permettant de garder uniquement un support numérique a été mis en place dès 1986. Cependant, rares sont les personnes qui y ont recourent, car le doute dans la valeur de la preuve devant un juge persiste… à tort. « Pour lancer le marché de l’archivage électronique, nous avons besoin d’un renversement de la charge de la preuve » souligne-t-il.

En matière d’archivage électronique, les législations sont relativement disparates selon les pays, et nécessiteraient de se diriger vers une « uniformisation européenne, d’où l’intérêt du développement de FedISA International », conclut Jean-Marc Rietsch, Président de FedISA.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants