Download - 2010.11.26 – Partage d'expertise et d'expérience sur les applications en mode SaaS au service des DSI et de leur performance–N.Schlang_I.Renard– Forum SaaS et Cloud métier

CertEurope™

Forum IBM SAAS et Cloud Métiers

Club alliance IBM Dématérialisation

26 Novembre 2010

CertEurope, l’entrepriseOpérateur de services de e-confiance leader de la certification électronique BtoB: Tiers de confiance sécurisant les échanges numériques Des solutions de certificats électroniques, de signature électronique et d’horodatage Opérateur de Certification Qualifiée Plus de 150 000 certificats délivrés, 5 millions de jetons d’horodatage en 2009

Pionnier technologique: 10 ans d’investissement en Recherche et Développement Label «entreprise innovante» Trophée de l’innovation des tiers de confiance en 2006 (CertSign) et 2003 (solution Opalexe)

Des clients dans tous les secteurs d’activité: Opérateur historique des professions du Droit et du Chiffre Clients prestigieux dans l’administration, le secteur bancaire et industriel Une importante base clients de PME/PMI (75.000 entreprises utilisent en 2009 un certificat numérique

opéré par CertEurope)

ASPeMarchand

EspaceCollaboratif

Archivage

Autoritéd’Enregistrement

Signature(Individuel/Serveur)

Horodatage

http://www.huissier-justice.fr/

http://www.bravosolution.fr/




http://www.legademat.fr/

http://www.adoc-solutions.fr/

http://www.recall-france.com/index.htm

http://www.infogreffe.fr/infogreffe/reset.do

















Dématérialiser

Confiance et SAAS

S’authentifier avec un certificat électronique

Garantir la date des échanges avec de l’horodatage

Profiter du SAAS pour tout dématérialiser

Signer électroniquement ses documents

Profiter du mode SAAS pour échanger avec tous ses partenaires

Authentifier clients, fournisseurs, actionnaires ..

Dématérialiser : les briques de la chaîne de confiance

Identifier Signer Dater Stocker et Echanger Archiver

Identifier la personne qui souscrit le contrat

Faire signer la personne qui

souscrit le contrat

Dater le contrat

Récupérer le contrat

Archiver le contrat

Les solutions utilisent une ou plusieurs briquesL’exemple du e-contrat, qui utilise toutes les briques de la chaîne :

Une dématérialisation en toute e-confiance

La dématérialisation a des avantages

Mais elle comporte aussi des risques techniques et juridiques. CertEurope vous aide à y répondre.

Economie des frais d’impression et d’affranchissement

Un « geste vert » qui réduit les coûtsAméliorer le service grâce

au web

Réduction voire disparition des temps de saisie

Un service disponible 24h/24, 7j/7

Un délai commande + livraison écourté

Phishing et usurpation d’identité

Les documents usuels échangés par internet n’ont

pas de valeur légale

Tiers de confiance

Le Tiers de Confiance

les maillons de la chaîne de confiance

Pourquoi faire appel à un Tiers de Confiance? Se prémunir de contestations (ne pas être

tiers et partie)

Bénéficier des meilleures technologies et garanties de respect des normes en vigueur

Déléguer à un expert les contraintes d’exploitation d’une Autorité de Certification

UtilisateursEntreprise

cliente

Les briques CertEurope s’intègrent en SAAS / ASP dans les applications clientes

Identifier Signer Dater Archiver

Tiers Certificateur Qualifié Tiers Horodateur Tiers Archiveur*

*En partenariat avec CDC Arkhineo

Tiers de confiance

Le certificat électronique

Date de validité des certificats

Il contient:

Nom, raison sociale, numéro sirène, e-mail du porteur

Autorité de Certification

Autorité d’Enregistrement

Garantir l’intégrité de fichiers

Contrôler l’accès à un SI, aux extranet, intranet et sites Internet

Assurer la non répudiation

Chiffrer un échange

Il sert à:

Avec un module de signature

électronique

Véritable carte d’identité électronique, le certificat garantit l’identité de son titulaire, fichier logiciel ou sur support cryptographique

Sa légitimité est liée à l’Autorité de Certification qui le génère et à l’Autorité d’Enregistrement qui le délivre.

Identifier

une signature électronique à valeur légaleLa signature électronique a aujourd’hui la même valeur légale qu’une signature manuscrite (loi n° 2000-230 du 13 mars 2000). Les services de signature opère les vérifications indispensables à la reconnaissance du niveau de confiance que l’on peut apporter à une signature électronique.

signer des contrats, bons de commande, formulaires, bons pour accord, conditions générales de vente…

En B2C, les prospects deviennent clients en quelques clics.

En B2B, on évite l’envoi du papier et on simplifie les process.

En B2A, dématérialisation et accélération des démarches administratives

Signer

Signature simple

Avec certificat logiciel mono-

usageBtoC

SignatureAvec certificat

logiciel téléchargeable

BtoB

SignatureAvec

certificats référencés par

l’Etat

BtoB, BtoA

Signature

en lot

Signature par une personne

morale

BtoB et BtoC (signature

du prestataire)

A chaque type de marché correspond un niveau de sécurité et donc un service adapté.

La signature électronique, un impératif légal

Dans de nombreux cas la carte bancaire n’est pas suffisante. Toute vente de service par Internet qui risque d’être interrompue par l’impression d’un papier signé nécessite l’introduction d’une signature électronique.

Vente de produits financiers (Crédits, assurances vie…)

Vente de service à prélèvements récurrents (Téléphonie, internet, locations)

Vente supérieure à 1500€ (voyages: bijouterie, luxe)

La signature électronique augmente les ventes. Parmi les raisons données par les clients figurent la réduction des délais et l’amélioration de la qualité de service induite par l’automatisation.

Process sans signature électronique

Process avec signature électronique

Signature électroniqueGain de temps, d’argent et

amélioration de la qualité de service

Souscription en ligne Impression du contrat Envoi du contrat signé

Validation de la commande Saisie des informations Réception du contrat

La signature électronique, un impératif commercial

Souscription en ligne

Validation de la commande

L’horodatage Horodatage

L’horodatage scelle un fichier électronique, le date à la seconde et garantit son intégrité grâce à un jeton d’horodatage.

Le jeton faisant foi

Les jetons d’horodatage font foi sur le principe du "cachet de la poste" lorsqu’ils sont émis par un Tiers de Confiance qui respecte les protocoles techniques et juridiques normalisés.

Dater

• D’une archive, d’un contrat, d’un autre document devant légalement être conservé

Non altération

• De rétractation, de prise d’effet d’un contrat (assurance, crédit, abonnement,…)

Respect des délais légaux

• Dépôt de candidature à un appel d’offre, dépôt de brevet,…

Antériorité

•Mise en demeure, résiliation/reconduction d’un contrat…

Accusé de réception opposable

•Exigences réglementaires type Bâle 2, SOX

Traçabilité des actions

•En raison de l’obligation de pouvoir garantir l’authenticité et la pérennité de la facture électronique (Bulletin officiel des impôts,11/01/2007)

Facture électronique

SSO et gestion des identités en SAASAuthentification unique et forte

L’utilisateur ne procède plus qu’à une seule authentification pour accéder plusieurs applications web sécurisées. Le service remplace le vulnérable login/mot de passe par de l’authentification forte avec certificat électroniques logiciel ou sur support cryptographique.

Gestion centralisée des identités

une interface centralisée et ergonomique de gestion des identités. Il permet aux utilisateurs de demander en un clic une autorisation d’accès.

Mode SAAS

CertIdentité fonctionne en mode SAAS. Il est non intrusif, fédère les identités, collecte les droits d’accès et les renforce. CertIdentité est compatible avec toutes les architectures techniques

CertIdentité, la sécurité sans contrainte

Identifier

• Un pin à 6 chiffres remplace une combinaison plus complexe

• Un seul code à retenir• Authentification unique évitant les

multiples saisies de login/mot de passe

• Elimination des frustrations liées aux blocages

• Opportunités de phishing et de hacking réduites

• Meilleure respect de la politique de sécurité (ex: non écriture des mots de passe)

• Réduit les risques d’oublis de modifications des droits (ex: suite au départ d’un collaborateur)

• Complémentarité avec les certificats électroniques à support

cryptographiques

Sécurité Confort

Merci de votre attention

Nathalie Schlang

[email protected]

Tél : 01 45 26 72 00

34-36 rue de la Folie

Régnault 75011 Paris

www.certeurope.fr

Forum SaaSComment faire face aux enjeux juridiques

liés à la dématérialisation?Focus sur la signature électronique

Atelier Démat 2 – 15h-16h30

26 novembre 2010

Isabelle Renard

Docteur Ingénieur – Avocat Associée

[email protected]

Il ne fut pas confondre :

La valeur probante d’un document

Et :

La signature électronique

Un document peut avoir une valeur probante sans être signé

Un document signé a une valeur probante forte

LA VALEUR PROBANTE D’UN DOCUMENT ÉLECTRONIQUE

Aux termes de l’article 1316 du Code civil :

« La preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d’une signification intelligible, quels que soient leurs supports et leurs modalités de transmission »

Désormais, la preuve n’est plus liée au support autrefois considéré comme seul valable : le papier

Mais l’écrit électronique est très volatile. La question essentielle qui se pose est celle de sa valeur probante.

Art 1316-1 Code Civil :

« L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir

l’intégrité »

Le critère d’intégrité

La loi ne donne pas de définition de la notion d’ « Intégrité ».

Le respect de cette exigence repose sur la fiabilité du processus mis en œuvre pour gérer le cycle de vie du document.

Le critère d’imputabilité

Un document n’est générateur de droits et d’obligations que si l’on sait qui est « responsable » de l’exécution de ces obligations, ou qui peut se prévaloir de ces droits.

Ceci n’implique pas nécessairement que le document soit signé : la grande majorité des documents émis par une entreprise ou une administration n’est pas signée. Mais on sait les imputer à leur émetteur car il sont émis sur un support caractéristique de celui-ci : papier à en tête, comprenant le plus souvent un logo ou une marque.

DONC, À QUOI SERT LA SIGNATURE ÉLECTRONIQUE ?

Parfois elle est obligatoire

Et parfois elle n’est pas obligatoire, mais c’est un outil remarquable de sécurisation de la valeur probante du document numérique

Quelques cas où la signature électronique est obligatoire

Les factures envoyées par voie électronique

Certaines télédéclarations

Les réponses aux appels d’offres publics

Les assignations et les conclusions rédigées par les avocats devant certaines juridictions

La conclusion d’actes avec un particulier au dessus de 1 500 € (décret application article 1341 Code Civil)

En dehors de ces cas, pourquoi la signature est-elle un outil de sécurisation de la valeur probante du document numérique ?

Parce que la signature électronique remplit, par définition, les deux critères qui sont nécessaires pour assurer au document électronique la même valeur probante qu’au document papier :

Identification de l’émetteur

Garantie d’intégrité du document signé

La définition juridique de la signature

Avant la Loi du 13 mars 2000, aucun texte législatif ne définissait la notion de signature. Selon la jurisprudence et la doctrine, la signature matérialisait l’engagement que prenait le signataire de respecter les obligations à sa charge contenues dans l’acte signé.

La Loi du 13 mars 2000 a formalisé cette définition dans l’article 1316-4 du Code Civil :

« La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte ».

Reste à savoir comment transposer le concept dans le monde numérique. C’est ce qu’a réalisé la Loi du 13 mars 2000 avec la disposition suivante, portée à l’article 1316-4 du Code Civil :

«Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache »

Telle que définie par les textes, c'est-à-dire délivrée par un Prestataire de Service de Certification Electronique, la SE assure de façon complète et fiable les fonctionnalités qui permettent d’accorder une valeur probante à un écrit numérique :

le document fait l’objet d’un calcul d’empreinte [donc son intégrité peut être vérifiée],

Il est signé en utilisant un certificat électronique délivré par un tiers qui vérifie l’identité de la personne à qui il est délivré [ce qui procure au document une garantie d’origine].

La SE avec présomption de fiabilité

Certaines signatures électroniques ont une « présomption de fiabilité »

Ce sont des signatures « sécurisées » établies conformément au décret du 30 mars 2001 :

– avec un certificat électronique qualifié,

– et un dispositif sécurisé de création de signature électronique

C.CASS, CIV1, 30 SEPTEMBRE 2010, N° POURVOI 09-68555

Que signifie la « présomption » ?

Les protagonistes sont un propriétaire et sa locataire.

La locataire donne son congé au propriétaire par mail, le 28 août 2006.

Quelques jours plus tard, le 4 septembre 2006, elle double ce mail d’une LRAR, que le propriétaire déclare recevoir le 10 septembre 2006

Un différend survient alors entre le propriétaire et la locataire quant à la date de départ du préavis. Pour la locataire c’est le 28 août, date d’envoi du mail. Pour le propriétaire c’est le 10 septembre, date de réception de la LRAR

La locataire produit un mail qui lui aurait été envoyé par le propriétaire le 13 octobre, dans lequel ce dernier confirmait avoir bien reçu le congé le 28 août 2006, et accepté de faire courir le délai de préavis à compter de cette date.

Le propriétaire dénie être l’auteur de ce mail du 13 octobre.

La Cour d’appel de Dijon décrète que le mail litigieux bénéficiait d’une présomption de fiabilité. Dès lors, puisque le propriétaire ne communiquait aucun élément de nature à combattre cette présomption, il devait être reconnu comme l’auteur dudit mail

En l’espèce, il est bien évident que le mail dénié par le propriétaire ne pouvait prétendre à cette présomption.

C’était un simple mail, qui, comme tous les mails envoyés au travers des messageries couramment disponibles, n’était pas signé électroniquement. Et l’eût-il été, il n’aurait certainement pas bénéficié de la présomption édictée par l’article 1316-4 puisque les offres de signature sécurisées sont encore quasiment inexistantes sur le marché des particuliers

Dès lors, le mail soi disant envoyé par le propriétaire ne bénéficiait d’aucune présomption de fiabilité. Dès lors que le propriétaire contestait en être l’auteur, il revenait à la locataire de démontrer la valeur probante de ce mail qu’elle produisait, bien opportunément, à l’appui de ses présentions. Conformément aux termes de l’article 1316-1 du Code Civil, cette démonstration passait par l’identification de son émetteur, et l’assurance que le mail n’avait pu subir aucune altération.

Cette démonstration est bien entendu impossible à rapporter, s’agissant d’un simple mail envoyé au travers d’une messagerie grand public.

Conclusion :si un simple e-mail est contesté par son prétendu auteur, ce mail ne bénéficie d’aucune présomption de fiabilité.

Il ne sera donc pas recevable, dès lors que la partie qui s’en prévaut n’est pas capable d’apporter la preuve qu’il provient bien de cet auteur et n’a pu subir aucune altération.