L'An 1 de la signature électronique

En passe de devenir l'enjeu essentiel du 3e millénaire, la rapidité des échanges réalisés via Internet est d'ores et déjà un axe stratégique fort, voire incontournable, pour assurer la prospérité des économies de marché. Or, pour s'épanouir pleinement, le commerce électronique devait encore régler plusieurs difficultés : les incertitudes juridiques et la sécurité des acteurs. Dans ce contexte, un pas de géant vient d'être accompli le 30 mars dernier. Rendu public au Journal Officiel, le décret sur la signature électronique fixe enfin un cadre commun d'utilisation du paraphe numérique et des conditions de sécurité et validité de sa réalisation. La généralisation de ce décret devrait d'ailleurs consacrer l'envol des transactions en ligne, à commencer par le secteur B to B où la signature digitale trouve déjà ses premiers débouchés, sans oublier les applications naturelles qu'elle trouvera dans le secteur grand public. Désormais, les courriers électroniques, les contrats, les commandes, les déclarations fiscales, les formalités administratives et toute autre transaction dématérialisée ont la même force probante que les écrits sur support papier dès lors qu'ils sont signés électroniquement.

La loi simplifie les échanges

Première conséquence directe de ce décret : des échanges via le Net accélérés, moins coûteux pour les entreprises et les administrations et, in fine, beaucoup plus sécurisés. En effet, le décret ne se contente pas de donner un statut à la signature, mais définit clairement le contexte de confiance à mettre en oeuvre pour sa réalisation. Presque paradoxalement, la dématérialisation de la preuve s'ancre ainsi dans une réalité bien matérielle, celle de l'environnement électronique associé à la réalisation d'un paraphe virtuel, et celle du contexte d'authentification des intervenants sans lequel la signature électronique ne serait jamais qu'un début de preuve. Certificats électroniques, autorités de certification, cryptographie, chiffrement, clés publiques, clés privées, PKI... Tous ces termes technologiques désignent les rouages essentiels à la création d'un contexte de sécurité maximale nécessaire à la réalisation d'un sceau numérique. En effet, l'acte de signer en ligne ne se résume pas à la simple transcription d'un nom réalisée au moyen d'un clavier. Selon le dispositif prévu par le décret, la signature numérique devra mettre en oeuvre des technologies très sophistiquées faisant appel au principe des clés de cryptographie ou chiffrement. A la base, le modèle de la signature utilise deux clés, l'une publique, l'autre privée, liées entre elles. Seule la clé publique est communiquée au destinataire pour lui permettre de décoder le document reçu. La clé privée ne circule jamais. Lorsque le destinataire est assuré de la provenance d'un message, il actionne à nouveau la clé publique pour encoder le message. Seul le destinataire possédant la clé privée pourra le lire. Pour créer une signature électronique, plusieurs formes de matériel, logiciel ou électronique, sont aujourd'hui proposées : carte à puce avec code secret, détecteur d'empreintes digitales (système biométrique) ou encore un logiciel installé sur le disque dur de l'ordinateur. Quelle que soit la solution retenue, le détenteur d'une clé privée est le seul à la connaître et se doit de la conserver scrupuleusement. Pour bénéficier d'une signature électronique, le demandeur doit au préalable s'inscrire auprès d'un prestataire agréé qui lui délivre une signature et un couple de clés, l'une pour le paraphe, l'autre pour la vérification de l'identité de l'émetteur. Le certificat associé à ces clés comporte les données relatives au signataire, sa date d'expiration ainsi que le nom de l'organisme de certification. Pour signer un document, il suffira simplement d'insérer le CD-Rom contenant la signature ou encore de télécharger le logiciel stocké sur un serveur. Les solutions carte à puce ont l'avantage d'être transportables, mais l'inconvénient d'être tributaires d'un équipement particulier (un lecteur de cartes) pour être utilisées. Enfin, les solutions logicielles sont installées sur le disque dur de l'utilisateur qui n'a plus qu'à cliquer sur une icône prévue à cet effet pour réaliser sa signature.

Entre technologie et services, le marché du seing numérique

L'écrit numérique est recevable comme preuve sous réserve que la personne dont il émane puisse être identifiée et qu'il soit conservé dans des délais et conditions qui en garantissent l'intégrité (Art 1316-1). Bien qu'elles soient clairement fixées par le décret, les conditions d'admission légale d'un document électronique posent déjà plusieurs problèmes : comment vérifier l'authenticité de l'émetteur en ligne et comment s'assurer de l'inviolabilité du document dans un contexte dématérialisé ? « Pour que tout cela marche, il faut instaurer la confiance, indique Jacques Pantin, P-dg du cabinet de conseil Dictao, spécialisé en stratégie de confiance. Car, contrairement à la signature manuscrite, la signature électronique, composée de chiffres, de lettres et d'autres signes, ne comporte aucun élément permettant de l'attribuer à une personne donnée. » Pour résoudre la question, le décret préconise d'ailleurs le recours à des services de certification, habilités à fournir des certificats prouvant le lien entre signature et signataire. « Ce décret apporte beaucoup parce que l'entreprise ne doit plus passer son temps à calculer le risque des échanges, mais plutôt les économies qu'elle réalise enfin grâce à ce dispositif de confiance », précise Jacques Pantin. C'est précisément autour de ces pôles de confiance que s'est organisé le marché du seing numérique. D'un côté, l'enjeu de la délivrance de certificats a vu se multiplier les organismes chargés d'assurer la certification et de garder les traces des signatures électroniques, de l'autre, les acteurs spécialisés dans les infrastructures de confiance (PSC), qui s'activaient déjà bien avant le décret pour imposer en standard leurs solutions respectives. Pour garantir l'identité réelle des interlocuteurs, le décret stipule de joindre à la signature l'équivalent d'une pièce d'identité électronique. Autrement dit, la signature électronique repose à la fois sur un socle technologique, la PKI (infrastructure à clés asymétriques), et sur un système de certification émanant d'une autorité apte à délivrer ces passeports numériques. Responsables de l'émission des certificats et de leur gestion, les Autorités de Certification (AC) s'appuient à leur tour sur les prestataires techniques dont elles approuvent les moyens et procédures.

Les téléprocédures attisent les convoitises

Quel sera le poids du marché de la certification ? En France, d'après une étude réalisée par Andersen Consulting, seuls 5 % des entreprises ont, à ce jour, déployé des solutions de signature électronique. Cependant, 15 % des entreprises ont des projets en cours de déploiement et près de 30 % réalisent actuellement des études de faisabilité. Cette tendance permet d'envisager une prospérité certaine, notamment pour les PSC positionnnés sur le créneau de la PKI. En 2000, ce marché représentait déjà 300 M$. Impulsé par l'usage du paraphe, il devrait croître jusqu'à 1,2 Md$ en 2003 (source IDC). Bien qu'il eut sans doute été naturel de confier le rôle d'AC à un organisme public, comme c'est le cas en Allemagne ou en Italie, nul ne s'étonnera de la rapide prolifération, en France, d'acteurs issus du domaine de la finance, de la justice, mais aussi du secteur privé, qui n'ont pas attendu l'arrêté du 30 mars pour occuper le créneau. Car les enjeux sont de taille et attisent les convoitises. Imposés aux entreprises dont le chiffre d'affaires dépasse les 100 MF, la déclaration et le paiement de la TVA en ligne concernent, dès cette année, pas moins de 17 000 entreprises qui devront se munir du passeport électronique pour réaliser cette opération. Et, à court terme, la dématérialisation des procédures administratives devrait s'étendre jusqu'aux marché des particuliers. Et ce n'est qu'un début. Face à ces opportunités, en termes de délivrance de certificats, les CCI, les professions libérales, mais aussi La Poste sont déjà entrées dans la danse en créant leur propre autorité de certification, tout comme l'ont fait les banques désireuses d'étendre l'utilisation du certificat à d'autres types de transactions.

Les CCI créent une autorité de certification européenne

Dès le mois de février, les CCI européennes tentaient de s'imposer en chef de file sur le marché de la certification. Concrètement, la démarche s'est traduite par la constitution de l'Autorité de Certification Chambersign. Forte de sa présence paneuropéenne et des 10 réseaux nationaux de CCI essaimés sur le Vieux Continent, Chambersign a récemment été gratifié de l'agrément du ministère de l'Industrie, et lorgne d'ores et déjà sur l'Amérique du Sud, avant d'envisager le déploiement en Asie. Pour s'imposer, Chambersign mise sur la délivrance de certificats subordonnés au face à face, jugés plus fiables que leurs homologues délivrés par courrier. Le premier produit proposé par Chambersign, le certificat Inition, est commercialisé aux entreprises sous forme d'abonnement annuel pour la modique somme de 40 euros. Il permet de signer des documents électroniques et d'accéder à des sites protégés (places de marché, Extranet), et offre la possibilité de chiffrer des messages sur les réseaux publics. « Sous l'impulsion des téléprocédures, acquérir une signature pose la question de savoir à qui donner sa confiance pour faire authentifier sa signature, ce qui est une démarche plus complexe que la simple acquisition d'un produit », indique François-Xavier Marquis, délégué général de Chambersign France. Afin d'accélérer le développement des téléprocédures, Chambersign s'est récemment associé à Ernst & Young dans un programme commun de sensibilisation et de formation à l'intention des entreprises sur les questions relatives au projet TéléTVA destiné à l'univers professionnel.