Archivage et horodatage électronique Loi du 15 mai 2007

La possibilité d’apposer une signature électronique constitue un grand progrès dans le monde numérique. Mais ce progrès a aussi généré des problèmes : la confiance dans les relations humaines est souvent basée sur des rencontres physiques, des obligations écrites et signées par écrit, le cas échéant expédiées par recommandé et remises par le facteur à la personne en question. Il était donc nécessaire d’instaurer un climat de confiance dans le monde virtuel dans lequel les parties ne s’entendent ou ne se voient plus. Ce climat a été créé par les prestataires de services de confiance (tiers de confiance) pour des services comme la certification, l’horodatage électronique (horodatage), l’archivage, etc.

Depuis quelques années, il y avait déjà une demande pour un cadre juridique en vue de garantir la fiabilité de ces services de confiance. La loi de 2001 relative à la signature électronique était trop limitée quant au terrain applicatif, parce que le terrain applicatif ne comprend que l’intervention de la personne tiers de confiance dans le cadre de l’utilisation des signatures électroniques et des

2 La loi du 9/7/2001 ne définit pas la signature qualifiée en tant que telle, mais par abus de langage et dans un souci de concision, cette appelation désigne une signature avancée créée par un dispositif sécurisé, basée sur un certificat qualifié et délivré par un prestataire de service de certification répondant aux conditions de l’annexe II de la loi.

29

certificats d’identité. Si la conclusion, la cession et la conservation d’un acte juridique sont visées dans un cadre électronique global, il faut alors aussi réfléchir dans un contexte plus large aux conditions auxquelles d’autres services de confiance doivent satisfaire (par exemple : l’impartialité, l’obligation de confidentialité,…).

La loi du 15 mai 2007 fixant un cadre juridique pour certains prestataires de services de confiance se rapporte particulièrement à quatre services : l’archivage, l’horodatage électronique (horodatage), les envois recommandés et le blocage transitoire de sommes versées. Pour ces services, un certain nombre d’exigences qualitatives minimales est déterminé qui sont communes pour les quatre services de confiance et un système de contrôle et de sanctions pénales y est rattaché. Avec cette loi, en Belgique, le premier fondement d’un cadre juridique a été posé provisoirement pour les prestataires de services de confiance.

Dans l’exposé des motifs, nous retrouvons le point de départ du législateur : « Le marché des services de confiance est actuellement en avance, mais ceci est accompagné de difficultés et d’un niveau de qualité fluctuant. L’absence d’un cadre juridique donne lieu à des obstacles. En premier lieu, il y a le fait que certains prestataires de service peu consciencieux offrent des services qui sont techniquement et aussi juridiquement insuffisamment fiables. Ensuite, il y a le manque de normes minimales ; les clients des services peuvent donc difficilement vérifier en quel prestataire de service ils peuvent avoir confiance, et donc aussi quel service peut couvrir leurs besoins au maximum.

Finalement il y a le risque que les juges risquent d’être confrontés à des problèmes juridiques préoccupants en ce qui concerne de tels services, pour lesquels le droit commun apparaît insuffisant. ».

Archivage électronique

La possibilité d’un archivage électronique des documents constitue un grand progrès :

x Beaucoup moins d’archives physiques sont nécessaires : il peut donc être meilleur marché sur le long terme.

x La signature électronique des documents qui sont archivés implique que le contenu de ces documents ne peut pas être changé.

x Les backups se font beaucoup plus rapidement et plus facilement.

x On peut facilement vérifier quels documents ont été consultés et qui a copié ou imprimé certaines données (fraude).

x On peut retrouver des documents de façon beaucoup plus rapide grâce à un index ou à la recherche sur des mots-clés.

x On peut transmettre les documents de façon beaucoup plus rapide depuis les archives électroniques.

Il y a toutefois aussi quelques problèmes/challenges :

x Techniquement : la garantie à long terme de stabilité et de lisibilité numérique des données.

x Juridiquement : la confusion sur ce qui peut/doit être archivé électroniquement. On discutera de ce sujet ci-après.

La question de savoir si l’archivage électronique est autorisé se pose auprès de nombreuses administrations, d’entreprises et de particuliers. La question de savoir si l’on peut archiver ou non dépend de deux éléments :

x Est-ce que la version numérique du document est un document légal ?

30

Si la loi détermine expressément la validité d’un document sous forme numérique, alors il n’y a aucun problème. En général, la loi se tait toutefois à ce sujet et le contexte doit renseigner si un certain document peut être établi de façon valable sous forme numérique. La théorie de l’équivalence fonctionnelle donne le cadre pour effectuer une analyse semblable. On examinera plus tard si l’objectif de la condition est atteint. Quand une condition ne peut pas être implémentée de façon numérique ou que le but n’est pas atteint, la version numérique d’un document n’a alors pas de valeur légale (ou en tout cas pas la même que le document analogique).

x Le document peut-il être sauvegardé uniquement sous forme numérique ?

Dans des cas très exceptionnels, la loi impose expressément sous quelle forme les documents doivent être sauvegardés. En général, la loi se tait à ce sujet. Comme point de départ, les documents sont sauvegardés sous leur forme originale. Le législateur a instauré lui-même plusieurs exceptions à ce principe ; par exemple, plusieurs services publics ont obtenu le droit de convertir leurs pièces papier en photocopies ou microphotocopies, copies magnétiques, électroniques ou optiques. Il s’agit entre autres de pièces qui ne peuvent être créées de manière valable que sous forme papier. Les dispositions d’exception mentionnent à chaque fois que la photocopie a la même valeur de preuve que la pièce originale. En général, les pièces originales sont détruites.

En dehors de ces exceptions, il apparaît que la législation n’est pas toujours cohérente. Il peut arriver que l’archivage sous forme originale ne suffise pas pour une raison quelconque. Ainsi la comptabilité peut être établie sous forme numérique, mais selon la loi comptable, le grand livre et le livre d’inventaire doivent être sauvegardés dans des registres papier. Le fisc accepte bien la version numérique, aussi longtemps que l’immuabilité des imputations est garantie.

Du texte ci-dessus, on peut de nouveau constater que le cadre légal est imprécis et compliqué. Cela conduira indubitablement à beaucoup de questions et de doutes chez des entrepreneurs ou particuliers qui veulent garder et archiver leurs documents de manière électronique.

Horodatage électronique (e-timestamping)

Les services pour l’horodatage électronique sont un élément important pour la protection des services de télécommunications modernes comme par exemple pour la conclusion de contrats électroniques, EDI (Electronic Data Interchange), la protection des IPR (Intellectual Property Rights), les services multimédia, etc.

L’horodatage électronique est une technique cryptographique qui permet de lier les informations du temps aux documents électroniques. Ainsi, on peut par exemple vérifier quand un document a été créé et contrôler qu’il n’a plus été modifié entre-temps. Pour connecter le temps correct à un document (signé) électronique, on ne peut pas simplement utiliser l’horloge du PC parce que celle-ci peut être adaptée manuellement, ce qui permet la fraude.

En général, une telle technique est basée sur le concept d’un tiers de confiance (trusted third party) qui exploite le service d’une façon impartiale. En plus, on utilise aussi des primitifs de protection comme les signatures électroniques et les fonctions de hachage cryptographique pour assurer qu’un horodatage ne peut pas être falsifié. La manière dont fonctionne l’horodatage est décrite dans la figure ci-dessus.

31

Source : Wikipedia Certipost est un exemple d’un tiers de confiance qui offre un service d’horodatage électronique. Une date et un temps de référence sont joints aux données électroniques à l’aide d’une signature électronique du prestataire d’horodatage. Il y a trois caractéristiques :

x Interface communication : l’horodatage électronique est offert via une simple interface web.

L’utilisateur peut s’authentifier à l’aide de cette interface et commander des e-Timestamps. Tout ceci se déroule via https (c’est comme un simple site Web mais avec une couche en dessous qui code les données expédiées d’une façon sécurisée, de manière à ce que ces données entre votre ordinateur et le serveur web ne puissent pas être interceptées), ce qui garantit la confidentialité de la communication.

x Serveurs pour l’horodatage électronique : les serveurs créent les timestamps et les signent de façon numérique. Après la réception d’une demande d’horodatage, le serveur d’horodatage délivrera une réponse qui contient l’horodatage marqué (timestamp token).

x Source de temps universel : on fait appel à une horloge de temps très précise, fiable et incontestablement correcte. Les serveurs d’horodatage sont synchronisés régulièrement avec cette source de temps universel.

Les avantages possibles³ de l’horodatage sont :

x Valeur probante : l’horodatage électronique fournit la preuve (juris tantum⁴) que les données existaient à un certain moment et que depuis ce moment-là le contenu n’a pas été modifié.

3 Certains de ces avantages ne seront acquis que si certaines conditions légales sont respectées.

4 juris tantum: c’est-à-dire est admissible comme preuve par défaut mais dont la valeur est contestable/renversable à condition de démontrer le peu de crédit à accorder à cette preuve. On parle aussi dans ce cas de preuve réfragable par opposition à la preuve irréfragable qui qualifie une situation non démonstrative, mais présentant l’aspect d’une présomption absolue c’est-à-dire qu’elle ne peut être

32

x Gestion des risques : les entreprises peuvent s’assurer contre les risques de confiance et d’intégrité. À l’aide de l’horodatage électronique, on peut prouver l’intégrité des enregistrements électroniques.

x Signature électronique : la technologie de l’horodatage est connectée à une signature électronique. Pour cette raison, la dimension complémentaire d’irréfutabilité est ajoutée.

Certains de ces avantages ne seront acquis que si certaines conditions légales sont respectées.

La loi du 15 mai 2007 donne comme ci-dessus le cadre légal des conditions auxquelles doit satisfaire un prestataire de services d’horodatage électronique.

Ce qui n’est pas réglementé toutefois :

x Une définition de critères précis auxquels un processus d’horodatage doit répondre pour pouvoir être légalement reconnu, notamment au niveau des serveurs de temps

x Quelles sont les entreprises qui sont certifiées pour offrir de tels services ?

x Comment l’eID doit-elle être utilisée ?

Ceci peut conduire à une certaine réticence chez les gens à l’égard de l’usage d’un tel ‘horodatage’.

S’il n’y a aucun standard - et qu’on n’est donc pas certain de la valeur juridique du procédé - les gens ne considéreront pas ceci comme une sécurité supplémentaire lors de l’apposition d’une signature électronique ou lors de l’archivage de leurs documents.

Le problème de standardisation constitue aussi un problème lors de l’apposition de la signature électronique et des certificats y afférents. Au niveau européen, on est conscient de cette problématique. Pour plus d’informations, nous vous renvoyons à l’étude relative à la standardisation effectuée par SEALED (http://www.esstandardisation.eu/).

Actuellement, il n’est pas encore possible de signer un document avec l’eID et de l’horodater en même temps. Certipost travaille cependant à solutionner cette problématique.

Mandat

L’eID a un caractère intuitu personae, ce qui signifie qu’elle est toujours associée à une personne physique. Il n’existe pas d’eID au nom d’une société.

Conclure un contrat avec une entité se fait en signant le contrat avec la personne déléguée par la société. Ce dernier signe au nom et pour le compte de la personne morale. Dans ce cas, il est en soi moins important de savoir qui est cette personne qui signe, mais bien, en vue de la validité du contrat, de savoir en quelle qualité cette personne signe et si elle dispose des procurations nécessaires.

Quand les partenaires du contrat sont physiquement présents lors de la signature d’un contrat, on peut confirmer leur qualité (avec les compétences y liées) à l’aide des documents prévus lors de la signature écrite. Bien qu’assez compliqué, ce système a prouvé sa fiabilité.

Quand les parties veulent toutefois s’engager à distance, on se trouve dans une autre situation. À côté du nom de la personne qui peut être prouvé par l’utilisation de l’eID, nous n’avons pas d’informations sur la relation de cette personne X avec son entreprise. Des documents éventuels qui

contrecarrée par une preuve contraire (la présomption irréfragable est parfois désignée par l’expression latine

« juris et de jure »).

33

démontrent que quelqu’un est administrateur délégué d’une société peuvent être envoyés.

Eventuellement on peut penser à une photocopie électronique de l’acte de fondation avec la signature électronique qualifiée du notaire. La question qui se pose automatiquement est de savoir si le notaire peut être identifié en tant que notaire à l’aide de son eID. Nous pouvons nous poser encore plus de questions sur la personne qui signe : quelle est sa compétence ? Peut-elle engager légalement l’entité dans n’importe quelle situation ? Son mandat est-il assez large? Le mandat a-t-il été limité dans le temps ?

Tant qu’une solution globale n’a pas été trouvée pour cette problématique, l’eID ne sera pas utilisée comme dispositif pour la signature électronique dans le monde des entreprises. Dans ce contexte, on doit indiquer que d’autres solutions existent déjà pour l’apposition d’une signature électronique au nom de la société. Une entité peut être ici le détenteur d’un certificat. Le prestataire de service de certification tient un registre avec l’identité et la qualité de la personne physique qui représente l’entité et qui utilise la signature attachée au certificat, de telle façon que lors de chaque utilisation de cette signature, l’identité de la personne physique puisse être retrouvée (Art. 8§3 la loi 9 juillet 2001). Cette solution a toutefois des désavantages, à savoir une procédure compliquée, un coût pour l’utilisateur ; il faut aussi tenir compte des aspects techniques lors de l’utilisation.

Pour cette raison deux solutions possibles sont à envisager avec l’eID : x eID relié aux bases de données (tiers de confiance)

Le système visé par l’UNIZO comporte trois volets : le système doit permettre de vérifier les mandats quand on fait appel aux services électroniques. Ensuite, le système doit offrir un support lors de l’enregistrement des mandats. Enfin, le système doit être capable de fournir une aide lors de la gestion des mandats à travers le temps.

Vérification de mandats (voir ci-dessous pour une illustration graphique) : quand une personne X utilise l’eID pour, par exemple, la conclusion d’un contrat avec une personne Y qui agit au nom d’une société, la personne X doit pouvoir vérifier si la personne Y est mandatée à cette fin dans la base de données. La personne X pose la question à la base de données et la base de données répond. L’accès à cette base de données est accordé via une plate-forme, à l’aide d’un portail. La base de données des mandats peut être consultée librement par chaque citoyen. Dès que des personnes externes sont mandatées (p.ex. des comptables), par exemple à l’aide d’une procuration, il n’est pas évident que le grand public puisse consulter ces informations dans la base de données, mais bien la partie qui souhaite établir un acte juridique avec la personne concernée. Quant aux administrateurs et directeurs étrangers, l’eID ne peut pas jouer un rôle à l’heure actuelle.

34

Enregistrement des mandats : logiquement les mandats doivent être enregistrés préalablement dans cette base de données. Ceci peut se faire en principe par le fournisseur de mandat lui-même (sur base de l’acte qui lui accorde le mandat pour mandater lui-lui-même), et ceci à l’aide de sa carte d’identité électronique. Actuellement, on travaille dans les systèmes existants (p.ex. la BCSS) avec un ou plusieurs ‘administrateurs locaux’, une personne physique au sein d’une société est mandatée en tant que personne de contact avec la base de données.

Gestions des mandats : il est évident que le système qui est utilisé comme `source authentique’, doit être cohérent (pas éparpillé) et par conséquent être géré et exploité au sein de l’administration fédérale afin de garantir la continuité et l’évolution des services de base.

Finalement, le système doit veiller à ce que l’opération effectuée obtienne un horodatage à l’aide d’une date fixe. Le document électronique qui se présente, est oblitéré en quelque sorte au même moment que l’apposition de la signature. Ceci est nécessaire parce que de cette façon une référence est apposée, ce qui permet de vérifier la validité du mandat.

x Créer des certificats de mandat

Une autre solution possible peut consister en la création de mandats avec l’eID. Avec l’eID, une procédure est initialisée qui crée un certificat de mandat (la nouvelle signature électronique). Ce nouveau certificat a les mêmes fonctionnalités que le certificat original sur l’eID. La nouveauté de ce certificat dérivé est qu’il contient les informations sur le mandat donné. Dans ce système, la sécurité incorporée reste toutefois l’eID. L’activation du certificat dérivé se fait à l’aide de l’eID originale. Le nouveau certificat n’est pas viable sans l’eID qui l’a créé.

Ce système ne fonctionne pas avec une base de données gérée centralement. Ceci est à déplorer car la création de certificats complémentaires se traduit bien entendu par un coût élevé pour l’entrepreneur. L’avantage est que cette méthode de travail peut être appliquée directement car il ne faut pas attendre l’administration pour une quelconque mise en œuvre (source : Unizo).

Personne X Personne Y (au nom

d’une société) contrat

La base de données des mandats trusted third party Vérification mandat /

Confirmation mandat

35