Avec la Directive 1999/93/CE du Parlement [...]]]> Les nouvelles infrastructures de communication numériques sont l’un des enjeux majeurs du 21e siècle. Sous l’impulsion du réseau Internet, on assiste à une véritable mutation du secteur de la distribution, à une modification des modes de commercialisation et une évolution des rapports entre l’Etat, les citoyens et les entreprises.

Avec la Directive 1999/93/CE du Parlement européen et du Conseil (Journal officiel n° L 013 du 19/01/2000 p. 0012 – 0020), le 13 décembre 1999, le Parlement européen et le Conseil définissent un cadre communautaire pour les signatures électroniques.

L’objectif est de permettre la mise en oeuvre d’une signature électronique pouvant se substituer à la signature manuscrite.

Cette directive européenne institue un cadre juridique communautaire pour la signature électronique et les services de certification associés.

La Directive 2001/115/CE du Conseil du 20 décembre 2001 (Journal officiel n° L 015 du 17/01/2002 p. 0024 – 0028) a pour objectif de simplifier, moderniser et harmoniser les conditions imposées à la facturation en matière de taxe sur la valeur ajoutée.

Directive 1999/93/CE du Parlement européen et du Conseil Directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, sur un cadre communautaire pour les signatures électroniques.
Journal officiel n° L 013 du 19/01/2000 p. 0012 – 0020

http://eur-lex.europa.eu

Directive 2001/115/CE du Conseil du 20 décembre 2001 Directive 2001/115/CE du Conseil du 20 décembre 2001 modifiant la directive 77/388/CEE en vue de simplifier, moderniser et harmoniser les conditions imposées à la facturation en matière de taxe sur la valeur ajoutée.
Journal officiel n° L 015 du 17/01/2002 p. 0024 – 0028

Directive 2010/45/UE du Conseil du 13 juillet 2010 modifiant la directive 2006/112/CE relative au système commun de taxe sur la valeur ajoutée en ce qui concerne les règles de facturation

http://eur-lex.europa.eu

“… depuis toujours la confiance est le fondement de l’économie et de ce fait, comme hier et quelles que soient les technologies de demain, elle sera à la base des échanges commerciaux et administratifs sur Internet …”

“… Dans le monde “physique” la confiance est très souvent [...]]]> La confiance, une nécessité dans un monde virtuel

“… depuis toujours la confiance est le fondement de l’économie et de ce fait, comme hier et quelles que soient les technologies de demain, elle sera à la base des échanges commerciaux et administratifs sur Internet …”

“… Dans le monde “physique” la confiance est très souvent liée à des notions comme la proximité, la réputation, la fréquentation, l’expérience, l’amitié …”

La confiance, une nécessité dans un monde virtuel
Depuis toujours, la confiance ne se décrète pas, elle s’acquière. Le problème auquel nous sommes aujourd’hui de plus en plus confronté réside dans le fait que nous échangeons, communiquons et commerçons de plus en plus de façon dématérialisée, c’est-à-dire dans un monde virtuel.

La confiance dans le monde réel.
Dans le monde des ” échanges physiques”, bons nombres de mécanismes et de procédures, nous permettent de pouvoir accorder notre confiance à un document, une information ou toute autre support et, il faut bien l’admettre, dans le monde virtuel nous ne pouvons que très rarement compter sur ces repères.
Dans le monde « physique » la confiance est très souvent liée à des notions comme la proximité, la réputation, la fréquentation, l’expérience, la connaissance, voire l’amitié, la recommandation, le parrainage ou nos différents sens. La confiance peut également être portée par l’intermédiaire d’un tiers de confiance et même, parfois, à la suite d’un rapport de force …
En tout état de cause, quelques soient les repères utilisées, vous ne pouvez construire un véritable environnement de confiance qu’en passant par des étapes successives.
C’est ainsi qu’avec l’habitude et l’expérience, dans le monde physique, on peut accorder de plus en plus sa confiance à un environnement, une méthode, une technique, des hommes, …

Passer du monde réel au monde virtuel.
La confiance est indispensable dans le cadre des échanges commerciaux ou comportant un engagement de l’une ou l’autre des parties.
Dans le monde réel, de nombreux critères objectifs et subjectifs nous permettent, par exemple, de nous assurer de l’identité de notre correspondant, de son lieu de travail, de son appartenance à une entreprise ou une administration.
Le problème auquel nous sommes maintenant tous confronté est que, très souvent, ces critères ne sont pas utilisables « en l’état » dans le cadre des échanges dématérialisés.
C’est ainsi qu’il est tout à fait possible, pour un pirate informatique, d’usurper une identité, la votre peut-être, d’intercepter des communications de type mail, voire de modifier le contenu de l’un de vos courriers électroniques à votre insu ou à l’insu de votre interlocuteur.
Bien sûr, et heureusement pour le développement d’Internet, de nombreux services et applications dématérialisés, ne nécessitant pas une confiance particulière de l’utilisateur, se sont développés en quelques années comme, par exemple, la consultation d’informations commerciales en ligne ou différents types de téléchargements de données, d’informations ou d’applications.

Actuellement, et ce sont les statistiques qui le montrent, dans le cadre des échanges sur Internet, nous accordons plus facilement notre confiance à une « image de marque », à la réputation d’un produit, à une ligne de produits connue, à la réputation du vendeur ou à celle du concepteur.
C’est pour cette raison que le développement de la dématérialisation des échanges dans le cadre « commercial » ou « confidentiel » a nécessité la mise en place de véritables « espaces de confiance ».

Le recours à des « tiers de confiance »
Pour établir une relation de confiance entre acteurs qui ne se connaissent pas, le recours à des « tiers de confiance » a toujours été la solution privilégiée.
C’est ainsi qu’au Moyen Âge, les banquiers lombards se portaient garants des billets à ordre qu’ils émettaient et qui étaient négociables dans toute l’Europe. L’intermédiation, grâce à des « tiers de confiance », a ainsi permis les échanges de valeurs en tout point de l’Europe, même durant les nombreuses périodes troubles.
Cet aspect est important car, en général, les mécanismes informatiques liés aux échanges dématérialisés ne sont pas du tout connus et très rarement transparents.
Les utilisateurs, qui, par définition, ne sont pas des spécialistes, ne savent pas « comment ça marche » et, de ce fait, ont pris l’habitude d’agir et d’utiliser essentiellement en fonction de leurs degrés de satisfaction ou de confiance, que ce soit « a priori » ou « a posteriori ».
Pour rationaliser tout cela, et afin que les services de dématérialisation puissent se développer et devenir opérationnels, en plus d’un cadre légal ou contractuel, en plus d’une technologie, il a fallu que les opérateurs assurant les transactions apportent des garanties en ayant recours à de véritables « tiers de confiance » dans le cadre des échanges électroniques.
C’est ainsi que le principe séculaire du « tiers de confiance » s’applique désormais aux échanges sur Internet permettant ainsi le déploiement de solutions dématérialisées à l’usage des entreprises, des personnes publiques et des particuliers.

Les « tiers de confiance » du monde réel au secours d’Internet.
Mais, avoir confiance dans les échanges électroniques ne se résume pas à accorder sa confiance à des technologies. Bien sûr, l’utilisation de techniques fiables est nécessaire, mais cela ne suffit pas car la confiance dans des informations dématérialisées, c’est également une question de droit, d’identification du correspondant, de psychologie, …
C’est pour cette raison que le positionnement et l’implication d’institutionnels traditionnels de la confiance du monde physique ont été indispensables au développement des services de confiance dans la sphère numérique. C’est l’association de tous ces « tiers de confiance » référents qui apporte au monde électronique une caution et une stabilité dans le cadre des échanges dématérialisés.
Le recours à des « tiers de confiance » permet à chacun de bénéficier d’un environnement juridique, fiscal et technique fiable, pertinent et pérenne. Aujourd’hui dans l’univers de la dématérialisation, comme hier dans le monde du papier, pour être neutre, le « tiers de confiance » doit avoir une fonction et un rôle sans aucun intérêt direct avec les clients et partenaires pour lesquels il est opérateur. Pour assurer la pérennité du service, il doit pouvoir conserver les preuves des échanges et savoir les restituer à qui de droit lorsque cela est juridiquement utile, ce qui en terme de preuves peut aller jusqu’à plusieurs dizaines d’années. Enfin la légitimité d’un « tiers de confiance » est issue d’une reconnaissance publique sous diverses formes comme, par exemple, la conformité à des critères juridiques et techniques forts.
Devant la forte implication que représentent ces impératifs, vous comprenez aisément qu’il n’est pas possible de se proclamer « tiers de confiance » du jour au lendemain …

Organiser l’avenir.
Les nouvelles technologies de l’information et de la communication représentent un formidable potentiel d’amélioration, de simplification et de rationalisation des procédures d’échanges tant pour le secteur privé que pour le secteur public.
Les usages qui peuvent en être faits sont immenses et il serait dommageable, pour notre avenir et pour notre compétitivité, de s’en priver.
C’est pour cette raison que l’existence et l’émergence de « tiers de confiance » référents est au cœur du développement des échanges dématérialisés. C’est l’une des conditions nécessaires au développement de relations solides et fiables entre tous les acteurs comme cela a été clairement démontré lorsque le E-commerce a véritablement pris son envol.
En fait, depuis toujours, la confiance est le fondement de l’économie et de ce fait, comme hier et quelle que soient les technologies de demain, elle sera à la base des échanges commerciaux et administratifs du monde internet.

Les “réseaux de confiance” dans un monde virtuel.
Il faut bien l’admettre, l’information dématérialisée porte en elle-même des notions totalement contradictoires.
En effet, l’information numérique est par nature vulnérable car elle est immatérielle. Elle peut donc être détruite, amputée, falsifiée, plagiée ou modifiée à l’infini. De plus, un document numérique n’a pas, par nature, de « véritable original ».
Et, enfin, ce n’est presque toujours qu’une « copie » que reçoit le destinataire. On comprend donc pourquoi, dans l’univers de la dématérialisation et d’Internet, il est indispensable de trouver des intermédiaires de confiance, indépendants de l’émetteur et du destinataire, qui assureront les contrôles et les services nécessaires pour établir et garantir la confiance.
Ainsi, les échanges s’appuyant sur plusieurs « tiers de confiance » parfaitement identifiés et indépendants les uns des autres, les utilisateurs pourront bénéficier de véritables « chaînes de confiance » qui assureront la sécurité et la confidentialité de leurs échanges dématérialisés. Bien sûr, chaque « tiers de confiance » se doit d’être neutre par rapport au service qu’il apporte et donc, de ce fait, avoir une fonction et un rôle sans aucun lien direct avec les échanges pour lesquels il est opérateur ainsi qu’avec les autres « tiers de confiance » de la chaîne globale qui va de l’émetteur au bénéficiaire.
Ainsi, dans un monde où la protection technique et juridique des données est de plus en plus nécessaire voire indispensable, le recours à des «tiers de confiance» identifiés permet de bénéficier d’un environnement juridique, fiscal et technique fiable pertinent et, surtout, pérenne.

Qu’est ce qu’un « tiers de confiance » ?
Dans le monde de la dématérialisation, le « tiers horodateur » est un « tiers de confiance » qui remplace, dans le monde numérique, l’ancien « cachet de La Poste faisant foi » du monde papier. De même, le « tiers archiveur » joue le même rôle que celui du coffre à la banque dans le monde réel.
Et voici maintenant un exemple assez simple de mise en œuvre d’une « chaîne de confiance » dans le monde virtuel. Dans le cadre de la facture électronique, on passe par un « opérateur de dématérialisation » qui va transformer la facture en une donnée électronique, un « tiers de correspondance » qui va assurer le transport du document électronique vers le client, un « tiers horodateur » qui va enregistrer les dates et heures de chacune des opérations et enfin, un « tiers archiveur » qui va conserver dans le temps la facture dématérialisée ainsi que toutes les informations qui lui sont associées.

La confiance, clé de voûte du développement des échanges sur Internet, est maintenant traitée comme il se doit grâce à l’existence de « tiers de confiance » permettant ainsi à tous, entreprises, administrations et particuliers, de pouvoir bénéficier sur Internet de véritables espaces de confiance utilisables au quotidien.

POUR RÉSUMER
La confiance ne se décrète pas, elle s’acquiert.
Les trois éléments qui caractérisent un véritable « tiers de confiance » sont sa neutralité, sa pérennité et enfin sa légitimité.
La validité d’une chaîne de confiance repose sur l’indépendance des différents « tiers de confiance » qui la compose.

La dimension développement durable initiée par Digital Trust Science s’articule aujourd’hui à travers une triple démarche :

La dématérialisation qui autorise le remplacement du papier par [...]]]> En supprimant l’usage du papier, la dématérialisation serait une technologie structurellement protectrice de l’environnement, donc favorable au développement durable. Sans être totalement infondée, cette affirmation mérite d’être nuancée. Et surtout, les véritables enjeux développement durable de la dématérialisation se situent sans doute à un autre niveau.

La dématérialisation qui autorise le remplacement du papier par l’écrit électronique devrait logiquement favoriser une réduction de l’usage du papier, donc contribuer à la préservation des espaces forestiers. La formule « dématérialisation = moins de papier = moins d’arbres abattus = écologie » a toutes les apparences du bon sens. On commence par exemple à le trouver dans l’argumentaire de promoteurs du vote électronique.

Les différents éléments du raisonnement méritent cependant d’être examinés, voire relativisés, pour éviter que la référence au développement durable ne se limite à une instrumentalisation d’un thème à la mode.

En premier lieu, la protection de l’environnement par la mise en œuvre de la dématérialisation doit, pour être effective, prendre en considération les pratiques des utilisateurs en matière d’impression décentralisée. Bien souvent la mise en œuvre d’un projet de dématérialisation permet une réduction drastique voire une suppression complète de l’impression centralisée. En revanche, les utilisateurs de l’application peuvent, pour de bonnes ou de mauvaises raisons, être incités à imprimer ce qu’ils reçoivent sur leurs écrans. Ce phénomène classique explique pourquoi la généralisation de la bureautique dans les organisations a globalement conduit à une augmentation significative de la consommation de papier, bien loin des promesses du « zéro papier ». Cependant tout n’est pas nécessairement de la faute des utilisateurs. La dématérialisation contribue par nature à une augmentation phénoménale de la production et de la circulation de l’information. Même si la part relative des informations transmises sur support papier baisse de façon importante, la consommation de papier va continuer à augmenter en valeur absolue. La dématérialisation favorisera vraisemblablement à moyen terme une diminution de l’usage du papier mais il faudra sans doute attendre que les jeunes générations ayant appris à lire sur les écrans arrivent à l’âge adulte.

Les limites du développement durable « à la mode Idéfix »

En second lieu, la rigueur intellectuelle nécessite également de prendre en considération la question du recyclage des matériels informatiques utilisés pour les applications de dématérialisation. C’est à ce prix que l’on obtiendra réellement un bilan écologique équilibré de la mise en œuvre de la dématérialisation. Enfin, même si les spécialistes des technologies de l’information n’ont pas vocation à être des experts de la forêt, il semble bien que l’abattage des arbres ne soit pas obligatoirement une action néfaste. Il peut s’inscrire dans un schéma raisonné de gestion de l’espace forestier.

En se limitant à la thèse simpliste selon laquelle la dématérialisation sauve des arbres et par là même la planète et l’avenir de nos enfants, on se borne à une vision émotive du développement durable avec le risque de passer à côté des réels bénéfices comme la diminution des transports physiques autorisée par l’essor des téléconférences ou du travail à distance. Le développement durable à la mode Idéfix – le petit chien d’Obelix qui pleure à chaque fois qu’un arbre est abattu – atteindra rapidement ses limites et sera considéré au mieux comme de la naïveté et au pire comme une publicité mensongère.

De la maîtrise des rejets à la maîtrise des traces

Doit-on dès lors considérer que la dématérialisation est un domaine qui reste peu concerné par la problématique du développement durable ? Certainement pas si l’on rappelle que le concept de développement durable repose sur deux piliers fondamentaux, l’un, environnemental et abondamment cité, et l’autre, plus discret, social, relatif à un ensemble de bonnes pratiques de gouvernance relevant d’une démarche de responsabilité dite sociétale.

C’est cette vision globale que l’on retrouve dans les 10 principes du pacte mondial des Nations Unis, et, à l’instar des systèmes de production industrielle qui font l’objet de normes et de certifications orientées vers la protection de l’environnement, sont récemment apparues d’autres normes, telle la SA 8000, élaborée en 1997 par le SAI (Social Accountability International, ex CEPAA, Council on Economic Priorities Accreditation Agency) afin de répondre originellement à la demande des associations de consommateurs, et qui constitue une base de certification éthique fondée sur des grands textes de référence dont la déclaration universelle des droits de l’Homme de l’ONU, et les conventions du Bureau International du Travail.

Alors que l’occurrence de risque de voir votre petit calepin être lu par des millions d’internautes est quasi nulle, la dématérialisation des informations et des outils qui les transportent rend ces dernières plus vulnérables aux indiscrétions les plus diverses, intentionnelles ou accidentelles, occasionnelles ou institutionnelles. Le débat est relativement balisé, qui consiste à opposer les tenants du « tout sécuritaire » aux « gardiens de la vie privée » qui dénoncent la légitimation de politiques de surveillance, voire de mesures de contrôle social dans les pays non démocratiques, fondées sur l’emploi des nouvelles technologies et la dématérialisation des flux, par des impératifs de sécurité. Quoi qu’il en soit, l’atteinte aux droits de l’homme peut être constituée par la remise en cause du droit à la protection de la vie privée.

Les technologies de l’information peuvent également contribuer à la mise en place de dispositifs particulièrement intrusifs de cybersurveillance sur les lieux de travail.

Ces pratiques sont en contradiction avec les principes éthiques qui caractérisent le pilier social du développement durable, alors qu’inversement, le développement de services de protection des données à caractère personnel intégrant par construction les exigences des réglementations informatique et libertés, s’inscrit naturellement dans une démarche de développement durable.

Notamment en cause, les « traces » informatiques que produit massivement la société de l’information, comme la société industrielle a produit et produit encore des « rejets ». Elimination pour destruction, retraitement pour recyclage, ou encore anonymisation pour décontamination…?

Les questions liées à la protection, la gestion, la maîtrise et l’élimination de ces traces deviennent des enjeux de société majeurs qui ont toute leur place dans la sphère du développement durable.

En savoir plus :

• Sur les dix principes de Pacte Mondial des Nations Unis :
http://www.un.org/fr/globalcompact/principles.shtml

• Sur la norme SA 8000
http://www.novethic.fr/novethic/site/article/index.jsp?id=80379

Le droit européen :

C’est la directive européenne n° 1999/93/CE du 13/12/99 sur les signatures électroniques qui a consacré la reconnaissance légale de la signature électronique.
Cette [...]]]> La signature électronique a aujourd’hui la même valeur juridique que la signature manuscrite dans la mesure où elle répond à un certain nombre de conditions.

Le droit européen :

C’est la directive européenne n° 1999/93/CE du 13/12/99 sur les signatures électroniques qui a consacré la reconnaissance légale de la signature électronique.
Cette directive est aujourd’hui transposée en droit français.

Le droit français :

La signature électronique a une valeur légale en France depuis la loi du 13 mars 2000. Cette loi a été complétée par plusieurs décrets et arrêtés qui précisent les conditions d’applications, à savoir :

le décret du 30 mars 2001
le décret du 18 avril 2002
l’arrêté du 26 juillet 2004 (en remplacement de l’arrêté du 31 mai 2002 abrogé)
la loi du 21 juin 2004 pour la confiance dans l’économie numérique.

1) La loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique

Cette loi qui est venue compléter le Code Civil :

- apporte une définition de la signature en général
- reconnaît la validité juridique de la signature électronique au même titre que la signature manuscrite et instaure une présomption de fiabilité dans des conditions posées par le Code Civil :
• pouvoir identifier la personne dont émane l’écrit électronique au moyen d’un procédé fiable
• l’écrit électronique est créé et conservé dans des conditions de nature à en garantir l’intégrité
• utiliser un procédé fiable garantissant le lien de la signature électronique avec l’acte auquel elle s’attache.

La démonstration de fiabilité du procédé de signature électronique est à la charge du signataire.

>> Consulter le texte de loi

2) Le décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du Code Civil et relatif à la signature électronique

Ce décret est un texte technique ; il distingue la signature électronique de la signature électronique sécurisée :

- la signature électronique est celle qui respecte les conditions posées par le Code Civil
- la signature électronique sécurisée est celle qui répond, en sus des conditions posées par le Code Civil, aux exigences du décret. La signature électronique sécurisée est celle présumée fiable, ce qui inverse la charge de preuve de fiabilité de la signature au moment d’un litige devant le juge.

Le décret définit ces exigences qui portent :
- sur les matériels et logiciels utilisés pour créer la signature électronique sécurisée qui devront être certifiés par l’Administration (dispositif sécurisé de création de signature électronique)
- sur le contenu et la qualité des certificats électroniques délivrés par les prestataires de services de certification (utilisation d’un certificat électronique qualifié)

Ce décret précise également le cadre dans lequel s’exerce l’activité de ces prestataires qui pourront librement exercer leur activité. Dès lors qu’ils répondent à toutes les exigences énoncées, ces prestataires peuvent demander à être reconnus comme qualifiés, ce qui vaut présomption de conformité aux exigences du décret.

>> Consulter le texte de loi

3) Le décret n° 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information

Ce décret institue une procédure volontaire de l’évaluation et de la certification des produits et des systèmes des technologies de l’information, ce qui inclut les dispositifs de création de signature électronique.

Cette procédure s’appuie :
- sur des centres d’évaluation, eux-mêmes agréés, qui effectuent des contrôles et des tests et rendent compte des résultats obtenus via un rapport d’évaluation
- sur la Direction Centrale de la Sécurité et des Systèmes d’Information (DCSSI) qui élabore un rapport de certification proposé au Premier Ministre.
La certification est délivrée par le Premier Ministre.

>> Consulter le texte de loi

4) Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation

Cet arrêté complète le décret de 2002 et précise l’organisme chargé d’accréditer les organismes d’évaluation des prestataires de services de certification, à savoir le COFRAC (Comité Français d’Accréditation) ainsi que le référentiel à prendre en compte.
Le COFRAC prend une décision motivée transmise au demandeur ainsi qu’à la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI). L’accréditation est délivrée pour une durée qui ne peut excéder 5 ans.

Cet arrêté précise également les conditions de demande d’évaluation par les prestataires de services de certification. Lorsque l’organisme accrédité reconnaît la qualification d’un prestataire de services de certification, il délivre une attestation décrivant les activités du prestataire couvertes par la qualification ainsi que sa durée qui ne peut excéder trois ans. Une copie de cette attestation est transmise à la Direction Centrale de la Sécurité des Systèmes d’Information (DCSSI).

>> Consulter le texte de loi

Pour plus d’informations consulter le site légifrance: http://www.legifrance.gouv.fr

La directive européenne [...]]]> Pour obtenir une signature digitale forte, vous devez contacter une autorité de certification délivrant des certificats qualifiés. Les autorités de certification sont disséminées dans le monde entier. Celles reprises dans la liste d’un des pays membre de la communauté européenne sont automatiquement reconnues dans toute l’Europe.

La directive européenne 1999/99/EC propose une procédure d’accréditation aux autorités de certification désirant émettre des certificats qualifiés. La procédure n’est pas obligatoire mais offre au client une garantie supplémentaire sur la qualité de son certificat.

La liste des fournisseurs de services de certification délivrant des certificats en Europe est disponible à l’adresse suivante :
http://europa.eu.int/information_society/eeurope/2005/all_about/security/esignatures/index_en.htm

Remarque : Si vous êtes en possession d’une carte d’identité électronique, des certificats qualifiés pour l’authentification et la signature électronique sont déjà à votre disposition sur la carte.