Atelier DSI -Partage d'expertise et d'expérience sur les applications en mode SaaS au Service des DSI et de leur performance

1. CertEurope™
Forum IBM SAAS et Cloud Métiers
Club alliance IBM Dématérialisation
26 Novembre 2010

2. Page  2
CertEurope, l’entreprise
Opérateur de services de e-confiance leader de la certification électronique BtoB:
 Tiers de confiance sécurisant les échanges numériques
 Des solutions de certificats électroniques, de signature électronique et d’horodatage
 Opérateur de Certification Qualifiée
 Plus de 150 000 certificats délivrés, 5 millions de jetons d’horodatage en 2009
Pionnier technologique:
 10 ans d’investissement en Recherche et Développement
 Label «entreprise innovante»
 Trophée de l’innovation des tiers de confiance en 2006 (CertSign) et 2003 (solution Opalexe)
Des clients dans tous les secteurs d’activité:
 Opérateur historique des professions du Droit et du Chiffre
 Clients prestigieux dans l’administration, le secteur bancaire et industriel
 Une importante base clients de PME/PMI (75.000 entreprises utilisent en 2009 un certificat numérique
opéré par CertEurope)
ASP
eMarchand
Espace
Collaboratif
Archivage
Autorité
d’Enregistrement
Signature
(Individuel/Serveur)
Horodatage

3. Page  3
Dématérialiser
Confiance et SAAS
 S’authentifier avec un certificat électronique
 Garantir la date des échanges avec de l’horodatage
Profiter du SAAS pour tout dématérialiser
 Signer électroniquement ses documents
Profiter du mode SAAS pour échanger avec tous ses partenaires
Authentifier clients, fournisseurs, actionnaires ..

4. Page  4
Dématérialiser : les briques de la chaîne de
confiance
Identifier Signer Dater
Stocker et
Echanger
Archiver
Identifier la personne
qui souscrit le contrat
Faire signer la
personne qui
souscrit le
contrat
Dater le
contrat
Récupérer le
contrat
Archiver le
contrat
Les solutions utilisent une ou plusieurs briques
L’exemple du e-contrat, qui utilise toutes les briques de la chaîne :

5. Page  5
Une dématérialisation en toute e-confiance
La dématérialisation a des avantages
Mais elle comporte aussi des risques techniques et juridiques.
CertEurope vous aide à y répondre.
Economie des frais d’impression
et d’affranchissement
Un « geste vert » qui réduit les coûts
Améliorer le service grâce
au web
Réduction voire disparition des
temps de saisie
Un service disponible 24h/24,
7j/7
Un délai commande + livraison
écourté
Phishing et
usurpation
d’identité
Les documents
usuels échangés
par internet n’ont
pas de valeur
légale
Tiers de confiance

6. Page  6
Le Tiers de Confiance
les maillons de la chaîne de confiance
Pourquoi faire appel à un Tiers de
Confiance?
 Se prémunir de contestations (ne pas être
tiers et partie)
 Bénéficier des meilleures technologies et
garanties de respect des normes en vigueur
 Déléguer à un expert les contraintes
d’exploitation d’une Autorité de Certification
Utilisateurs
Entreprise
cliente
Les briques CertEurope s’intègrent en SAAS / ASP
dans les applications clientes
Identifier Signer Dater Archiver
Tiers Certificateur Qualifié Tiers Horodateur Tiers Archiveur*
*En partenariat avec CDC Arkhineo
Tiers de
confiance

7. Page  7
Le certificat électronique
Date de validité des certificats
Il contient:
Nom, raison sociale, numéro
sirène, e-mail du porteur
Autorité de Certification
Autorité d’Enregistrement
Garantir l’intégrité de fichiers
Contrôler l’accès à un SI, aux
extranet, intranet et sites Internet
Assurer la non répudiation
Chiffrer un échange
Il sert à:
Avec un
module de
signature
électronique
Véritable carte d’identité électronique, le certificat garantit l’identité
de son titulaire, fichier logiciel ou sur support cryptographique
Sa légitimité est liée à l’Autorité de Certification qui le
génère et à l’Autorité d’Enregistrement qui le délivre.
Identifier

8. Page  8
une signature électronique à valeur légale
La signature électronique a aujourd’hui la même valeur légale qu’une signature manuscrite (loi n°
2000-230 du 13 mars 2000). Les services de signature opère les vérifications indispensables à la
reconnaissance du niveau de confiance que l’on peut apporter à une signature électronique.
signer des contrats, bons de commande, formulaires, bons pour accord, conditions générales de
vente…
En B2C, les prospects deviennent clients en quelques clics.
En B2B, on évite l’envoi du papier et on simplifie les process.
En B2A, dématérialisation et accélération des démarches administratives
Signer
Signature
simple
Avec certificat
logiciel mono-
usage
BtoC
Signature
Avec certificat
logiciel
téléchargeable
BtoB
Signature
Avec
certificats
référencés par
l’Etat
BtoB, BtoA
Signature
en lot
Signature par
une personne
morale
BtoB et BtoC
(signature du
prestataire)
A chaque type de marché
correspond un niveau de
sécurité et donc un
service adapté.

9. Page  9
La signature électronique, un impératif légal
Dans de nombreux cas la carte bancaire n’est pas suffisante. Toute vente de service par
Internet qui risque d’être interrompue par l’impression d’un papier signé nécessite l’introduction
d’une signature électronique.
Vente de produits financiers
(Crédits, assurances vie…)
Vente de service à prélèvements
récurrents (Téléphonie, internet, locations)
Vente supérieure à 1500€
(voyages: bijouterie, luxe)

10. Page  10
La signature électronique augmente les ventes. Parmi les raisons données par les clients
figurent la réduction des délais et l’amélioration de la qualité de service induite par l’automatisation.
Process sans signature électronique
Process avec signature électronique
Signature électronique
Gain de temps, d’argent et
amélioration de la qualité de
service
Souscription en ligne Impression du contrat Envoi du contrat signé
Validation de la commande Saisie des informations Réception du contrat
La signature électronique, un impératif commercial
Souscription en ligne
Validation de la commande

11. Page  11
L’horodatage
Horodatage
L’horodatage scelle un fichier électronique, le date à la seconde et garantit son intégrité grâce à un jeton
d’horodatage.
Le jeton faisant foi
Les jetons d’horodatage font foi sur le principe du "cachet de la poste" lorsqu’ils sont émis par un Tiers de
Confiance qui respecte les protocoles techniques et juridiques normalisés.
Dater
• D’une archive, d’un contrat, d’un autre document devant légalement
être conservéNon altération
• De rétractation, de prise d’effet d’un contrat (assurance, crédit,
abonnement,…)Respect des délais légaux
• Dépôt de candidature à un appel d’offre, dépôt de brevet,…Antériorité
• Mise en demeure, résiliation/reconduction d’un contrat…Accusé de réception opposable
• Exigences réglementaires type Bâle 2, SOXTraçabilité des actions
• En raison de l’obligation de pouvoir garantir l’authenticité et la
pérennité de la facture électronique (Bulletin officiel des
impôts,11/01/2007)
Facture électronique

12. Page  12
SSO et gestion des identités en SAAS
Authentification unique et forte
L’utilisateur ne procède plus qu’à une seule authentification pour accéder plusieurs applications web
sécurisées. Le service remplace le vulnérable login/mot de passe par de l’authentification forte avec
certificat électroniques logiciel ou sur support cryptographique.
Gestion centralisée des identités
une interface centralisée et ergonomique de gestion des identités. Il permet aux utilisateurs de demander
en un clic une autorisation d’accès.
Mode SAAS
CertIdentité fonctionne en mode SAAS. Il est non intrusif, fédère les identités, collecte les droits d’accès et
les renforce. CertIdentité est compatible avec toutes les architectures techniques
CertIdentité, la sécurité sans contrainte
Identifier
• Un pin à 6 chiffres remplace une
combinaison plus complexe
• Un seul code à retenir
• Authentification unique évitant les
multiples saisies de login/mot de passe
• Elimination des frustrations liées aux
blocages
• Opportunités de phishing et de
hacking réduites
• Meilleure respect de la politique de
sécurité (ex: non écriture des mots de
passe)
• Réduit les risques d’oublis de
modifications des droits (ex: suite au
départ d’un collaborateur)
• Complémentarité avec les certificats
électroniques à support cryptographiques
Sécurité Confort

13. Page  13
Merci de votre attention
Nathalie Schlang
nschlang@certeurope.fr
Tél : 01 45 26 72 00
34-36 rue de la Folie
Régnault 75011 Paris
www.certeurope.fr

14. Forum SaaS
Comment faire face aux enjeux juridiques
liés à la dématérialisation?
Focus sur la signature électronique
Atelier Démat 2 – 15h-16h30
26 novembre 2010
Isabelle Renard
Docteur Ingénieur – Avocat Associée
irenard@racine.eu

15. Page  15
Il ne fut pas confondre :
 La valeur probante d’un document
Et :
 La signature électronique
Un document peut avoir une valeur probante sans être signé
Un document signé a une valeur probante forte

16. Page  16
LA VALEUR PROBANTE D’UN DOCUMENT
ÉLECTRONIQUE

17. Page  17
Aux termes de l’article 1316 du Code civil :
« La preuve littérale, ou preuve par écrit, résulte d’une suite de lettres, de
caractères, de chiffres ou de tous autres signes ou symboles dotés d’une
signification intelligible, quels que soient leurs supports et leurs modalités de
transmission »
Désormais, la preuve n’est plus liée au support autrefois considéré comme seul
valable : le papier

18. Page  18
Mais l’écrit électronique est très volatile. La question essentielle qui se pose est
celle de sa valeur probante.
Art 1316-1 Code Civil :
« L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur
support papier, sous réserve que puisse être dûment identifiée la personne dont il
émane et qu’il soit établi et conservé dans des conditions de nature à en garantir
l’intégrité »

19. Page  19
Le critère d’intégrité
 La loi ne donne pas de définition de la notion d’ « Intégrité ».
 Le respect de cette exigence repose sur la fiabilité du processus mis en œuvre
pour gérer le cycle de vie du document.

20. Page  20
Le critère d’imputabilité
 Un document n’est générateur de droits et d’obligations que si l’on sait qui est
« responsable » de l’exécution de ces obligations, ou qui peut se prévaloir de ces
droits.
 Ceci n’implique pas nécessairement que le document soit signé : la grande
majorité des documents émis par une entreprise ou une administration n’est pas
signée. Mais on sait les imputer à leur émetteur car il sont émis sur un support
caractéristique de celui-ci : papier à en tête, comprenant le plus souvent un logo
ou une marque.

21. Page  21
DONC, À QUOI SERT LA SIGNATURE
ÉLECTRONIQUE ?

22. Page  22
 Parfois elle est obligatoire
 Et parfois elle n’est pas obligatoire, mais c’est un outil remarquable de
sécurisation de la valeur probante du document numérique

23. Page  23
Quelques cas où la signature électronique est
obligatoire
 Les factures envoyées par voie électronique
 Certaines télédéclarations
 Les réponses aux appels d’offres publics
 Les assignations et les conclusions rédigées par les avocats devant certaines
juridictions
 La conclusion d’actes avec un particulier au dessus de 1 500 € (décret application
article 1341 Code Civil)

24. Page  24
En dehors de ces cas, pourquoi la signature est-
elle un outil de sécurisation de la valeur probante
du document numérique ?
Parce que la signature électronique remplit, par définition, les deux critères qui sont
nécessaires pour assurer au document électronique la même valeur probante qu’au
document papier :
 Identification de l’émetteur
 Garantie d’intégrité du document signé

25. Page  25
La définition juridique de la signature
 Avant la Loi du 13 mars 2000, aucun texte législatif ne définissait la notion de
signature. Selon la jurisprudence et la doctrine, la signature matérialisait
l’engagement que prenait le signataire de respecter les obligations à sa charge
contenues dans l’acte signé.
 La Loi du 13 mars 2000 a formalisé cette définition dans l’article 1316-4 du Code
Civil :
« La signature nécessaire à la perfection d’un acte juridique identifie celui qui
l’appose. Elle manifeste le consentement des parties aux obligations qui découlent
de cet acte ».

26. Page  26
Reste à savoir comment transposer le concept dans le monde numérique. C’est
ce qu’a réalisé la Loi du 13 mars 2000 avec la disposition suivante, portée à
l’article 1316-4 du Code Civil :
«Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable
d’identification garantissant son lien avec l’acte auquel elle s’attache »

27. Page  27
Telle que définie par les textes, c'est-à-dire délivrée par un Prestataire de Service
de Certification Electronique, la SE assure de façon complète et fiable les
fonctionnalités qui permettent d’accorder une valeur probante à un écrit numérique :
 le document fait l’objet d’un calcul d’empreinte [donc son intégrité peut être
vérifiée],
 Il est signé en utilisant un certificat électronique délivré par un tiers qui vérifie
l’identité de la personne à qui il est délivré [ce qui procure au document une
garantie d’origine].

28. Page  28
La SE avec présomption de fiabilité
 Certaines signatures électroniques ont une « présomption de fiabilité »
 Ce sont des signatures « sécurisées » établies conformément au décret du 30
mars 2001 :
– avec un certificat électronique qualifié,
– et un dispositif sécurisé de création de signature électronique

29. Page  29
C.CASS, CIV1, 30 SEPTEMBRE 2010,
N° POURVOI 09-68555
Que signifie la « présomption » ?

30. Page  30
 Les protagonistes sont un propriétaire et sa locataire.
 La locataire donne son congé au propriétaire par mail, le 28 août 2006.
 Quelques jours plus tard, le 4 septembre 2006, elle double ce mail d’une LRAR,
que le propriétaire déclare recevoir le 10 septembre 2006
 Un différend survient alors entre le propriétaire et la locataire quant à la date de
départ du préavis. Pour la locataire c’est le 28 août, date d’envoi du mail. Pour le
propriétaire c’est le 10 septembre, date de réception de la LRAR

31. Page  31
 La locataire produit un mail qui lui aurait été envoyé par le propriétaire le 13
octobre, dans lequel ce dernier confirmait avoir bien reçu le congé le 28 août
2006, et accepté de faire courir le délai de préavis à compter de cette date.
 Le propriétaire dénie être l’auteur de ce mail du 13 octobre.

32. Page  32
 La Cour d’appel de Dijon décrète que le mail litigieux bénéficiait d’une
présomption de fiabilité. Dès lors, puisque le propriétaire ne communiquait aucun
élément de nature à combattre cette présomption, il devait être reconnu comme
l’auteur dudit mail
 En l’espèce, il est bien évident que le mail dénié par le propriétaire ne pouvait
prétendre à cette présomption.
 C’était un simple mail, qui, comme tous les mails envoyés au travers des
messageries couramment disponibles, n’était pas signé électroniquement. Et l’eût-
il été, il n’aurait certainement pas bénéficié de la présomption édictée par l’article
1316-4 puisque les offres de signature sécurisées sont encore quasiment
inexistantes sur le marché des particuliers

33. Page  33
 Dès lors, le mail soi disant envoyé par le propriétaire ne bénéficiait d’aucune
présomption de fiabilité. Dès lors que le propriétaire contestait en être l’auteur, il
revenait à la locataire de démontrer la valeur probante de ce mail qu’elle
produisait, bien opportunément, à l’appui de ses présentions. Conformément aux
termes de l’article 1316-1 du Code Civil, cette démonstration passait par
l’identification de son émetteur, et l’assurance que le mail n’avait pu subir aucune
altération.
 Cette démonstration est bien entendu impossible à rapporter, s’agissant d’un
simple mail envoyé au travers d’une messagerie grand public.

34. Page  34
 Conclusion :si un simple e-mail est contesté par son prétendu auteur, ce
mail ne bénéficie d’aucune présomption de fiabilité.
 Il ne sera donc pas recevable, dès lors que la partie qui s’en prévaut n’est
pas capable d’apporter la preuve qu’il provient bien de cet auteur et n’a pu
subir aucune altération.