La signature électronique

Par Régis DABO le 31 janvier 2007

L'échange de données professionnelles par voie électronique connaît une forte croissance, que ce soit pour communiquer avec des partenaires ou réaliser des démarches administratives par exemple. Mais les risques existant peuvent freiner les PME (altération du contenu, absence de traces de l'échange, valeur juridique). Pour cela, une solution efficace existe : la signature électronique.

La signature électronique consiste en un dispositif technique assimilé au cryptage. Elle permet d'authentifier l'auteur d'un document électronique et de garantir l'intégrité de son  contenu. Concrètement cela veut dire qu'une personne recevant un message avec une signature électronique aura la certitude de l'identité de l'émetteur.

Les lois du 29 février et 13 mars 2000 ont donné un cadre juridique à la signature électronique. Ainsi son usage dans un cadre précis permet de donner à un document électronique la même valeur juridique qu'un document papier.

Cette signature consiste à chiffrer le message afin de le rendre illisible pour toute personne ne possédant pas le code pour le lire. Elle repose sur 5 « règles » qui garantissent sa fiabilité :
- L'authentification de l'émetteur du message : ce dernier doit s'être identifié avec certitude.
- La confidentialité : seul l'émetteur et le destinataire de l'échange peuvent lire le message.
- L'intégrité : le destinataire va pouvoir voir si le message a été lu ou modifié avant sa réception.
- La non-répudiation : l'émetteur ne peut pas nier avoir envoyer le message.
- L'horodatage et l'archivage : la datation du document va permettre sa pérennité et son archivage.

Le principe repose sur un système de doubles clés, une privée et une publique. Le document va être crypté avec la première et sera lu grâce à la deuxième.

Concrètement, cela signifie que la personne qui envoie le message va utiliser une clé privée (un code) que lui seul connaît. Cette identification permet de garantir l'authenticité de l'auteur du document ou du message. A l'autre bout de la chaîne, le destinataire va utiliser une clé publique pour pouvoir lire le message. Cette clé publique est accessible  sur des annuaires spécifiques, contrairement à la clé privée qui est unique et qui correspond à une personne précise.
Dès lors, le message ne peut pas être modifié par le biais de la clé publique, ce qui garantit son intégrité.

Pour être valide, la signature électronique doit être associée à un certificat électronique. Ces certificats sont délivrés par des autorités de certification.

 Toute entreprise souhaitant utiliser ce procédé doit faire la demande de ce certificat auprès d'un de ces organismes. Ce dernier se positionne alors comme le garant de la validité des clés et donc des échanges (c'est le tiers de confiance). Pour cela, l'entreprise demandeuse doit fournir plusieurs documents : formulaire Kbis de moins de 3 mois, une copie des statuts, une photocopie des pièces d'identité des bénéficiaires des clés ainsi que de leurs représentants légaux, un avis Siren ainsi qu'une obligation de face à face entre le détenteur de la certification et l'organisme qui le lui délivre, pour le cas de certifications les plus sûres.

Trois types de certificats peuvent être délivrés :
- Le certificat de classe I : il ne garantit pas l'identité du titulaire du certificat mais seulement l'existence de son adresse mail.
- Le certificat de classe II : Une autorité de certification va pouvoir contrôler les informations du titulaire d'un certificat ainsi que de son entreprise. Pour cela, il utilise des documents justificatifs que l'entreprise lui a obligatoirement envoyés.
- Le certificat de classe III : c'est le même fonctionnement que pour le type II mais il existe un contrôle supplémentaire : un agent de l'autorité de certification va contrôler physiquement l'identité du titulaire du certificat. C'est la garantie maximale de la fiabilité des informations données.

Ce sont également ces autorités de certification qui gèrent les annuaires de clés publiques indispensables pour que le destinataire d'une information puisse la consulter. Ces annuaires fournissent de nombreuses informations indispensables pour la fiabilité comme l'identité du titulaire de la clé ou la date de validité du certificat.

La signature électronique tend à se généraliser aujourd'hui. Sa portée légale renforce encore   son intérêt. Les usages concernant son utilisation par les PME sont nombreux et présentent un réel intérêt. Cela leur permet d'apporter une sécurité supplémentaire à de nombreuses démarches administratives (déclaration de TVA, de cotisations...). Elle permet également de sécuriser les échanges électroniques avec les salariés, clients ou fournisseurs (email, envoi de factures, contrats). De plus, ce système garantit une sécurité nettement supérieure à un simple login et mot de passe pour accéder à des sites sécurisés.

Avec ce procédé, les PME peuvent réduire raisonnablement leurs coûts d'envoi de courrier, gagner en productivité et en réactivité, réduire leur quantité de documents papier et surtout établir une relation de confiance avec leurs différents partenaires.

http://blog.netpme.fr/2007/01/31/la-signature-electronique/