Sécurité du document, la nouvelle donne européenne – Dossier DOCaufutur, l’avenir du Document

Au 1er janvier 2016, la nouvelle réglementation européenne apportera plus de souplesse dans l’utilisation des technologies de sécurisation des documents et de signature électronique. 

flags-106806__180En matière de sécurité des documents, tout a changé cet été. La nouveauté vient de la Commission européenne et sous une forme assez inhabituelle. C’est en effet par un règlement que l’Europe décide de pousser à la création d’un système européen d’identification et d’authentification. Contrairement aux directives, un règlement s’applique sans avoir à être traduit dans la législation de chaque pays. Tous les membres de l’Union devront l’avoir mis en œuvre d’ici 2 ans, au 1er janvier 2016.

Pour se justifier, la Commission évoque le coût de la cybercriminalité. Celle-ci serait responsable d’un manque à gagner de 375 à 525 milliards de dollars par an pour l’économie mondiale (1). En France, l’impact est estimé à 0.11% du PIB soit très peu. L’Allemagne en revanche, serait affectée à hauteur de 1.6% de son PIB. Mais derrière les coûts, il y a un enjeu plus vaste, celui du développement de l’économie numérique, conditionné par la confiance des utilisateurs.

Lever un frein au business

Le débat serait bien au delà de la sécurité des achats sur Internet. A l’heure de la conversion généralisée des entreprises et des administrations au numérique, ce sont tous les domaines de l’activité économique qui sont concernés. « On n’en peut plus de continuer à signer des papiers. L’attente du marché est de plus en plus forte. Les banques et les assurances notamment sont toutes en train de réfléchir au moyen de franchir cette nouvelle étape de la transition numérique », analyse Bertrand Braud, directeur marketing de Cryptolog. Dans ce contexte, le nouveau règlement européen sonne comme une libération. Dans beaucoup d’entreprises, l’obligation de recourir aux échanges papier dès qu’il s’agit d’engager la responsabilité juridique des contractants est vécue comme un frein au business. Et pas question non plus de se contenter d’un document papier numérisé. L’inconvénient du numérique, c’est qu’il a rendu la falsification de documents plus simple qu’auparavant. Ce qui est vrai pour les documents que l’on signe est aussi vrai pour les relevés bancaires, fiches de paie et autres attestations qui permettent d’obtenir des droits, de vérifier la solvabilité, etc. La confiance numérique passe aussi par là.

Gymnastikübungen einer TänzerinPlus de souplesse

« Il y a en fait deux problématiques à prendre en compte simultanément, celle de l’identité du signataire ou de l’émetteur du document d’une part, et celle de l’intégrité du document lui-même d’autre part », averti Bertrand Braud. En la matière, l’industrie a d’abord avancé en ordre dispersé, principalement en raison de la rigidité de la directive européenne de 1999 pour un cadre communautaire de la signature électronique (n° 1999/93/CE). « La Commission avait mis la barre très haut en matière de sécurité, résultat, seules les professions réglementées s’en sont saisies. Les autres acteurs ont développé des solutions techniques moins exigeantes, mais qui ne constituent qu’un commencement de preuve sur le plan juridique », résume Bertrand Braud. Faute d’un soutien réglementaire sur le sujet de l’identité du signataire, les éditeurs se sont concentrés sur les enjeux d’intégrité du document numérique, mais sans pouvoir apporter la fameuse garantie d’identité du signataire. L’entrée en vigueur de l’espace européen de paiements SEPA a conduit l’exécutif européen a opter pour un système plus souple composé de 4 niveaux de sécurité (voir infographie).  Là où la directive de 1999 exigeait que les systèmes de signature électronique soient fondés sur une carte à puce physique, le règlement européen du 21 juillet admet que des cartes à puces virtuelles pourront avoir valeur de preuve.

Cartographie-SignatureElectronique

 

Légende ((( source : Cryptolog ))) : La nouvelle réglementation permet de mettre en œuvre une gamme plus large de solutions de sécurisation du document à valeur probante. L’utilisation de la carte à puce virtuelle autorise la sécurisation des documents sur toutes les plateformes (navigateur, mobile ou tablette).

Tous les outils techniques et juridiques

« Nous avons désormais tous les outils techniques et légaux pour dématérialiser sur une base juridique fiable », se réjouit Franck Leroy, Directeur Technique des Services de Confiance Numérique de DOCAPOST EBS-CERTINOMIS et membre du comité de normalisation OSEN de l’ETSI. Pour lui, le nouveau règlement constitue une avancée majeure, mais tous les problèmes ne sont pas résolus pour autant. « Il faut tirer les leçons de l’expérience », averti Franck Leroy en rappelant que la Direction Générale des Impôts en France, a fini par abandonner la signature électronique en raison de contraintes utilisateurs bien trop lourdes par rapport au résultat obtenu. Un autre point de vigilance, relève Franck Leroy, tient au fait que si le numérique progresse à tous les niveaux et a désormais pris le pas sur le papier, le tout numérique n’est pas pour demain. « En termes de sécurité et d’intégrité, le défi n’est pas tant celui du 100% électronique que celui du passage du papier au numérique et inversement », souligne l’expert.

qr-code-148732__180 Des règles de prudence à adopter

Dans ce domaine, les acteurs du marché sont encore en recherche tous azimuts. Parmi les pistes explorées, celles d’un QR Code qui protège l’intégrité du nom de la personne et de l’adresse postale pour un justificatif de domicile. Mais la technique, observe Franck Leroy, n’est applicable qu’à une petite portion du document. Dans les banques, la réflexion se concentrerait plus sur l’ajout de trames de fond qui rendent plus complexes la modification du fichier numérique, sur un principe proche du filigrane pour un document papier. « Pour l’instant, l’éventail des moyens reste relativement limité » observe Franck Leroy. La balle reste dans le camp des entreprises qui doivent mettre en place des bonnes pratiques pour s’assurer que les copies imprimées qui leur sont remises sont bien conformes aux originaux numériques. « Face au risque de falsification des documents numériques imprimés, chacun doit conduire sa propre analyse de risque sur les possibilités de fraude et leurs impacts », poursuit-il. La loi, pour sa part a déjà tranché : en justice, la reproduction imprimée d’un document numérique n’a pas de valeur. Qu’il s’agisse de juger de son intégrité ou de l’identité du signataire, lorsque le document original est sous forme électronique, c’est sous cette forme qu’il devra être présenté.

 

(1) CSIS MacAfee, Net Losses: Estimating the Global Cost of Cybercrime, 2014

 

PaulPhiliponPaul Philipon Dollet, journaliste pour DOCaufutur

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Sécurité du document, la nouvelle donne européenne – Dossier DOCaufutur, l’avenir du Document

2nd novembre, 2014

Au 1er janvier 2016, la nouvelle réglementation européenne apportera plus de souplesse dans l’utilisation des technologies de sécurisation des documents et de signature électronique. 

flags-106806__180En matière de sécurité des documents, tout a changé cet été. La nouveauté vient de la Commission européenne et sous une forme assez inhabituelle. C’est en effet par un règlement que l’Europe décide de pousser à la création d’un système européen d’identification et d’authentification. Contrairement aux directives, un règlement s’applique sans avoir à être traduit dans la législation de chaque pays. Tous les membres de l’Union devront l’avoir mis en œuvre d’ici 2 ans, au 1er janvier 2016.

Pour se justifier, la Commission évoque le coût de la cybercriminalité. Celle-ci serait responsable d’un manque à gagner de 375 à 525 milliards de dollars par an pour l’économie mondiale (1). En France, l’impact est estimé à 0.11% du PIB soit très peu. L’Allemagne en revanche, serait affectée à hauteur de 1.6% de son PIB. Mais derrière les coûts, il y a un enjeu plus vaste, celui du développement de l’économie numérique, conditionné par la confiance des utilisateurs.

Lever un frein au business

Le débat serait bien au delà de la sécurité des achats sur Internet. A l’heure de la conversion généralisée des entreprises et des administrations au numérique, ce sont tous les domaines de l’activité économique qui sont concernés. « On n’en peut plus de continuer à signer des papiers. L’attente du marché est de plus en plus forte. Les banques et les assurances notamment sont toutes en train de réfléchir au moyen de franchir cette nouvelle étape de la transition numérique », analyse Bertrand Braud, directeur marketing de Cryptolog. Dans ce contexte, le nouveau règlement européen sonne comme une libération. Dans beaucoup d’entreprises, l’obligation de recourir aux échanges papier dès qu’il s’agit d’engager la responsabilité juridique des contractants est vécue comme un frein au business. Et pas question non plus de se contenter d’un document papier numérisé. L’inconvénient du numérique, c’est qu’il a rendu la falsification de documents plus simple qu’auparavant. Ce qui est vrai pour les documents que l’on signe est aussi vrai pour les relevés bancaires, fiches de paie et autres attestations qui permettent d’obtenir des droits, de vérifier la solvabilité, etc. La confiance numérique passe aussi par là.

Gymnastikübungen einer TänzerinPlus de souplesse

« Il y a en fait deux problématiques à prendre en compte simultanément, celle de l’identité du signataire ou de l’émetteur du document d’une part, et celle de l’intégrité du document lui-même d’autre part », averti Bertrand Braud. En la matière, l’industrie a d’abord avancé en ordre dispersé, principalement en raison de la rigidité de la directive européenne de 1999 pour un cadre communautaire de la signature électronique (n° 1999/93/CE). « La Commission avait mis la barre très haut en matière de sécurité, résultat, seules les professions réglementées s’en sont saisies. Les autres acteurs ont développé des solutions techniques moins exigeantes, mais qui ne constituent qu’un commencement de preuve sur le plan juridique », résume Bertrand Braud. Faute d’un soutien réglementaire sur le sujet de l’identité du signataire, les éditeurs se sont concentrés sur les enjeux d’intégrité du document numérique, mais sans pouvoir apporter la fameuse garantie d’identité du signataire. L’entrée en vigueur de l’espace européen de paiements SEPA a conduit l’exécutif européen a opter pour un système plus souple composé de 4 niveaux de sécurité (voir infographie).  Là où la directive de 1999 exigeait que les systèmes de signature électronique soient fondés sur une carte à puce physique, le règlement européen du 21 juillet admet que des cartes à puces virtuelles pourront avoir valeur de preuve.

Cartographie-SignatureElectronique

 

Légende ((( source : Cryptolog ))) : La nouvelle réglementation permet de mettre en œuvre une gamme plus large de solutions de sécurisation du document à valeur probante. L’utilisation de la carte à puce virtuelle autorise la sécurisation des documents sur toutes les plateformes (navigateur, mobile ou tablette).

Tous les outils techniques et juridiques

« Nous avons désormais tous les outils techniques et légaux pour dématérialiser sur une base juridique fiable », se réjouit Franck Leroy, Directeur Technique des Services de Confiance Numérique de DOCAPOST EBS-CERTINOMIS et membre du comité de normalisation OSEN de l’ETSI. Pour lui, le nouveau règlement constitue une avancée majeure, mais tous les problèmes ne sont pas résolus pour autant. « Il faut tirer les leçons de l’expérience », averti Franck Leroy en rappelant que la Direction Générale des Impôts en France, a fini par abandonner la signature électronique en raison de contraintes utilisateurs bien trop lourdes par rapport au résultat obtenu. Un autre point de vigilance, relève Franck Leroy, tient au fait que si le numérique progresse à tous les niveaux et a désormais pris le pas sur le papier, le tout numérique n’est pas pour demain. « En termes de sécurité et d’intégrité, le défi n’est pas tant celui du 100% électronique que celui du passage du papier au numérique et inversement », souligne l’expert.

qr-code-148732__180 Des règles de prudence à adopter

Dans ce domaine, les acteurs du marché sont encore en recherche tous azimuts. Parmi les pistes explorées, celles d’un QR Code qui protège l’intégrité du nom de la personne et de l’adresse postale pour un justificatif de domicile. Mais la technique, observe Franck Leroy, n’est applicable qu’à une petite portion du document. Dans les banques, la réflexion se concentrerait plus sur l’ajout de trames de fond qui rendent plus complexes la modification du fichier numérique, sur un principe proche du filigrane pour un document papier. « Pour l’instant, l’éventail des moyens reste relativement limité » observe Franck Leroy. La balle reste dans le camp des entreprises qui doivent mettre en place des bonnes pratiques pour s’assurer que les copies imprimées qui leur sont remises sont bien conformes aux originaux numériques. « Face au risque de falsification des documents numériques imprimés, chacun doit conduire sa propre analyse de risque sur les possibilités de fraude et leurs impacts », poursuit-il. La loi, pour sa part a déjà tranché : en justice, la reproduction imprimée d’un document numérique n’a pas de valeur. Qu’il s’agisse de juger de son intégrité ou de l’identité du signataire, lorsque le document original est sous forme électronique, c’est sous cette forme qu’il devra être présenté.

 

(1) CSIS MacAfee, Net Losses: Estimating the Global Cost of Cybercrime, 2014

 

PaulPhiliponPaul Philipon Dollet, journaliste pour DOCaufutur

By
@coesteve1
backtotop