Télécharger la politique de gestion de preuve

Transcription

CONTRALIA
Politique de Gestion de Preuve
Référence Docapost BPO
Date
Version/Édition
État
Classification
:
:
:
:
:
PGP Contralia 23 octobre 2014 VF.docx
mercredi 11 mars 2015
4.0
Final
Restreint – C2
Signatures
Nom
Auteur
Date
Martin GOUDY
Alain HALVICK
Signature
10/10/2014
Liste de diffusion
Diffusion interne
Nom
Fonction
LAFRAN Magali
Directrice Juridique
Diffusion externe
Nom
Restreint – C2
Fonction
Action
Validation
Action
Date
Date
Nb exemplaire(s)
Nb exemplaire(s)
Page 1/1
Ce document est la propriété exclusive de Docapost BPO.
Toute reproduction intégrale ou partielle, toute utilisation par des tiers, ou toute communication à des tiers, sans accord préalable écrit de Docapost BPO est illicite.
Restreint – C2
PGP Contralia 24 octobre 2014
VF2.docx
CONTRALI
17/10/2014
Option signature contractant avec certificat minute :
OID = 1.2.250.1.229.1.1.1.1.4
version 4.0
Page 1 / 31
POLITIQUE DE GESTION DE PREUVE
SIGNEA
Référence : OID : 1.2.250.1.229.1.1.1.1.4
Restreint – C2
Page 1/31
Ce document est la propriété exclusive de Docapost BPO.
Toute reproduction intégrale ou partielle, toute utilisation par des tiers, ou toute communication à des tiers, sans accord préalable écrit de Docapost BPO est illicite.
Restreint – C2
PGP Contralia 24 octobre 2014 VF2.docx
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 2 / 31
AVERTISSEMENT
La présente Politique de Gestion de Preuve est une œuvre protégée par les dispositions du Code de la
Propriété Intellectuelle du 1er juillet 1992, notamment par celles relatives à la propriété littéraire et
artistique et aux droits d’auteur, ainsi que par toutes les conventions internationales applicables. Ces
droits sont la propriété exclusive de Docapost BPO. La reproduction, la représentation (y compris la
publication et la diffusion), intégrale ou partielle, par quelque moyen que ce soit (notamment,
électronique, mécanique, optique, photocopie, enregistrement informatique), non autorisée préalablement
par écrit par DOCAPOST BPO ou ses ayants droit, sont strictement interdites.
Le Code de la Propriété Intellectuelle n’autorise, aux termes de l’article L.122-5, d’une part, que « les
copies ou reproductions strictement réservées à l’usage privé du copiste et non destinés à une utilisation
collective » et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et
d’illustration, « toute représentation ou reproduction intégrale ou partielle faite sans le consentement de
l’auteur ou de ses ayants droit ou ayants cause est illicite » (article L.122-4 du Code de la Propriété
Intellectuelle).
Cette représentation ou reproduction, par quelque procédé que ce soit, constituerait une contrefaçon
sanctionnée notamment par les articles L. 335-2 et suivants du Code de la Propriété Intellectuelle.
Restreint – C2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 3 / 31
Table des matières
1
DEFINITIONS - ABREVIATIONS .................................................................................................................. 5
2
INTRODUCTION .............................................................................................................................................. 9
2.1 CONTEXTE ...................................................................................................................................................... 9
2.2 EN DROIT PRIVE ............................................................................................................................................ 10
2.2.1 La preuve des actes juridiques .............................................................................................................. 10
2.2.2 L’identification d’une personne ............................................................................................................ 10
2.2.3 L’intégrité de l’écrit................................................................................................................................ 10
2.2.4 Validité des actes juridiques .................................................................................................................. 10
2.3 L’INTERET DE LA GESTION DE LA PREUVE ................................................................................................. 10
2.4 LA JURISPRUDENCE EN MATIERE DE SIGNATURE ELECTRONIQUE ........................................................... 11
2.5 CHAMP D’APPLICATION DE LA POLITIQUE DE GESTION DE PREUVE (PGP)............................................ 11
2.6 APERÇU DE LA PGP ...................................................................................................................................... 11
2.6.1 Identification de la PGP ......................................................................................................................... 11
2.6.2 Objet de la PGP ...................................................................................................................................... 11
2.7 TEXTES JURIDIQUES APPLICABLES ............................................................................................................. 12
2.8 NORMES ET VALEUR DE LA NORME ............................................................................................................. 12
3
OBLIGATIONS ET RESPONSABILITES DANS LE CYCLE DE VIE DE LA GESTION DE PREUVE
13
3.1 PRESENTATION DE LA CHAINE DE CONFIANCE ........................................................................................... 13
3.2 OBLIGATIONS DES ACTEURS EN MATIERE DE GESTION DE LA PREUVE .................................................... 13
3.2.1 Obligations du PSGP .............................................................................................................................. 13
3.2.2 Obligations relatives à l’Autorité d’Horodatage (AH) ........................................................................ 14
3.2.3 Exigences relatives à l’Autorité de Certification (AC) pour les Certificats nécessaires à la
signature ............................................................................................................................................................... 15
3.2.4 Exigences relatives au Tiers Archiveur (TA) ....................................................................................... 15
3.2.5 Obligations de l’Entreprise vis-à-vis de Docapost BPO ..................................................................... 16
3.2.6 Obligations des Contractants ................................................................................................................ 17
3.3 RESPONSABILITE DES ACTEURS EN MATIERE DE GESTION DE LA PREUVE ............................................... 17
3.3.1 Responsabilité de Docapost BPO (le PSGP) ......................................................................................... 17
3.3.2 Responsabilité de l’Autorité d’Horodatage (AH) ................................................................................ 17
3.3.3 Responsabilité des Autorités de Certification (AC) ............................................................................. 17
3.3.4 Responsabilité du Client de Docapost BPO en tant que Entreprise .................................................. 17
3.4 CONFIDENTIALITE DES DONNEES A CARACTERE PERSONNEL................................................................... 17
3.5 SECRET DES CORRESPONDANCES ET INTERCEPTIONS ............................................................................... 18
3.6 DROITS RELATIFS A LA PROPRIETE INTELLECTUELLE .............................................................................. 18
3.7 DISPOSITIONS PENALES ................................................................................................................................ 18
4
GESTION DU CYCLE DE VIE DE LA TRANSACTION ET DE LA PREUVE...................................... 19
4.1 CINEMATIQUE SIMPLIFIEE D’ETABLISSEMENT ET DE GESTION DE LA PREUVE ....................................... 19
4.2 EMISSION DU OU DES CERTIFICATS POUR LE OU LES CONTRACTANTS .................................................... 19
4.1 EMISSION DU OU DES CERTIFICATS POUR L’ENTREPRISE ......................................................................... 20
4.2 INTEGRATION DES DONNES D’IDENTIFICATION DU SIGNATAIRE DANS LES ATTRIBUTS DE LA SIGNATURE
PDF 20
4.3 SEQUENCEMENT DES SIGNATURES CONTRACTANTS ET ENTREPRISE ...................................................... 20
4.4 HORODATAGE DE LA TRANSACTION PAR LE PSGP ................................................................................... 20
4.5 VALIDATION, HORODATAGE ET SCELLEMENT CONTRALIA ................................................................. 20
4.6 DEMANDE ET COLLECTE DES DONNEES D’IDENTIFICATION DU CONTRACTANT POUR
ENREGISTREMENT .................................................................................................................................................. 20
Restreint – C2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 4 / 31
4.7 CREATION DU FICHIER DE PREUVE ............................................................................................................. 21
4.8 VERSEMENT, CONSERVATION ET RESTITUTION DE L’ARCHIVE ET DU FICHIER DE PREUVE .................. 21
4.9 PROCEDURE D’INTERVENTION DU PSGP.................................................................................................... 21
4.10 JOURNALISATION D’EVENEMENTS ........................................................................................................... 22
4.10.1 Types d’événements enregistrés.......................................................................................................... 22
4.10.2 Fréquence des traitements des journaux d’événements ................................................................... 22
4.10.3 Durée de conservation des journaux d’événements .......................................................................... 22
4.10.4 Protection d’un journal d’événements ............................................................................................... 22
4.10.5 Copies de sauvegarde des journaux d’événements ........................................................................... 22
4.10.6 Système de collecte des journaux d’événements................................................................................ 22
4.10.7 Imputabilité .......................................................................................................................................... 22
4.11 ANALYSE DES VULNERABILITES ............................................................................................................... 22
4.12 CHANGEMENT DE CLE DU SERVICE DE GESTION DE PREUVE .................................................................. 23
4.13 FIN DE VIE DES SERVICES DU PSGP .......................................................................................................... 23
5
MESURES DE SECURITE ............................................................................................................................. 24
6
ADMINISTRATION DE LA PGP .................................................................................................................. 25
6.1 ÉVOLUTION DE LA PGP ............................................................................................................................... 25
6.1.1 Comité de Suivi, composition et fréquence de réunion ....................................................................... 25
6.1.2 Procédures de suivi des modifications à appliquer en cas d’évolution .............................................. 25
6.1.3 Procédures en cas de veille règlementaire et juridique ....................................................................... 25
6.1.4 Procédure en cas d’évolution fonctionnelle / technique / technologique ........................................... 25
6.2 PROCEDURES DE MODIFICATIONS ............................................................................................................... 26
6.2.1 Délais de préavis ..................................................................................................................................... 26
6.2.2 Forme de diffusion des avis.................................................................................................................... 26
6.2.3 Période de commentaires ....................................................................................................................... 26
6.2.4 Traitement des commentaires ............................................................................................................... 26
6.2.5 Modifications nécessitant l’adoption d’une nouvelle politique........................................................... 26
6.3 PROCEDURE DE DIFFUSION ET DE PUBLICATION DE LA PGP ET AUTRES DOCUMENTS ........................... 26
6.3.1 Diffusion de la PGP ................................................................................................................................ 26
6.3.2 Informations publiées ............................................................................................................................. 27
6.3.3 Fréquence de diffusion ........................................................................................................................... 27
6.3.4 Contrôle de l’accès .................................................................................................................................. 27
6.4 CONTROLE DE L’APPLICATION DE LA PGP ................................................................................................ 27
6.5 CONTROLE DE CONFORMITE DES PRATIQUES DU PSGP............................................................................ 27
ANNEXES ................................................................................................................................................................. 28
6.6 ANNEXE 1 TEXTES JURIDIQUES APPLICABLES ......................................................................................... 28
6.6.1 Cadre communautaire ........................................................................................................................... 28
6.6.2 Cadre français ......................................................................................................................................... 29
6.7 ANNEXE 2 NORMES ET BONNE PRATIQUES............................................................................................... 30
Restreint – C2
1
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 5 / 31
Définitions - Abréviations
Dans le cadre de la présente PGP, sont définis comme suit :
-
-
-
-
-
-
-
Attestation de preuve : correspond au Fichier de preuve signé électroniquement par
CONTRALIA.
Auditabilité : Capacité de Docapost BPO à fournir les éléments nécessaires lors d’un audit, ou à
accueillir, après information, des auditeurs mandatés par les clients. (adeli.org)
Autorité de Certification (AC) : entité ayant en charge l’application d’au moins une politique de
certification et identifiée comme telle, en tant qu’émetteur (champ dénommé « issuer » du
Certificat) dans les Certificats émis au titre de cette Politique de certification.
L’AC a en charge la fourniture des prestations de gestion des certificats tout au long de leur cycle
de vie (génération, diffusion, révocation…) et s’appuie sur l’IGC.
Autorité de Gestion de Preuve (AGP) : autorité responsable de la délivrance du service de
gestion de preuve et des attestations correspondantes.
Autorité d’Enregistrement (A.E.) : Une Autorité d’Enregistrement est une autorité qui a en
charge la vérification de l’identité, les droits et la qualité du demandeur du certificat électronique.
Ces éléments seront inscrits dans le certificat. Cette vérification se fait selon les conditions et les
modalités déterminées par l’autorité de certification.
Autorité d'Horodatage (AH) : autorité responsable de l’émission et de la gestion de Jetons
d’horodatage.
Bi-clé : couple clé publique, clé privée (utilisées dans des algorithmes de cryptographie dits à clé
publique ou asymétriques).
Contractant : personne physique ou morale identifiée dans le Certificat et qui est le détenteur de
la clé privée correspondant à la clé publique qui est dans ce Certificat. Le contractant représente
également l’une des parties intervenant dans la transaction gérée par CONTRALIA.
CONTRALIA : offre de services de gestion de preuve de Docapost BPO ainsi que l’interface
homme machine attenant.
Contrat : convention par laquelle une ou plusieurs personnes s’oblige(nt) envers une ou plusieurs
autres, à donner, à faire ou à ne pas faire quelque chose. Dans le cadre de CONTRALIA, il s’agit
d’un acte signé électroniquement par l’Entreprise et le (ou les) Contractant(s).
Certificat : fichier électronique attestant qu’une Bi-clé appartient au Contractant ou à l’élément
matériel ou logiciel identifié, directement ou indirectement (pseudonyme), dans le Certificat. Il est
délivré par une AC. En signant le Certificat, l’AC valide l’identité de la personne physique ou
morale ou l’élément matériel ou logiciel et la Bi-clé. Le Certificat est valide pendant une durée
donnée précisée dans un de ses champs (certificats transactionnels).
Remarque : Par abus de langage et au moment de sa délivrance, le certificat comprend également
la clé privée.
Distributeur : toute personne physique ou morale et tout service ou organisme public ou privé en
relation contractuelle avec l’Entreprise pour proposer les Offres de l’Entreprise et pour les
distribuer aux Contractants. Le Distributeur peut également être dénommé le Partenaire.
Entreprise : toute personne physique ou morale et tout service ou organisme public ou privé
requérant les services du PSGP et ayant conclu, directement ou par le biais du réseau commercial,
une relation contractuelle avec lui. L’Entreprise est dénommée « Fournisseur » au sein des
paramètres utilisés dans les Web Services déployés par la plateforme CONTRALIA.
Restreint – C2
-
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 6 / 31
Fichier de preuve : fichier signé au format XAdES contenant l’ensemble des éléments
techniques destinés à apporter la preuve d’une action effectuée dans le cadre d’une transaction et
en particulier la vérification des signatures. Un tel fichier contient les éléments suivants :
o Eléments décrivant la Transaction;
o Eléments permettant l’identification des Contractants;
o Eléments identifiant l’Entreprise;
o Le cas échéant, d’autres informations en fonction du Protocole de Consentement retenu.
Remarque : Par abus de langage le terme fichier de preuve correspond en fait au fichier des éléments
techniques de preuve.
-
-
-
-
-
-
-
-
Infrastructure de Gestion des Clés (IGC) : ensemble des composantes, fonctions et procédures
dédiées à la gestion des clés cryptographiques et de leurs Certificats utilisés par des services de
confiance. Une IGC peut être composée d’une AC, d’un OC, d’une AE centralisée ou locale, de
mandataires de certification, d’un TA, etc.
Intégrité : il s’agit ici de l’intégrité au sens du contenu informationnel des documents traités qui
correspond en fait à la garantie de non altération desdits documents.
Jeton d’Horodatage : élément de données résultant de l’association de Données à une date et une
heure obtenues à partir d’une source de temps réputée fiable, le tout étant signé.
Manipulateur : personne physique, employée par un Distributeur, utilisant le système
« CONTRALIA ».
Offre : offre définie par l’Entreprise, décrite par un nom, un label et un code. Le détail de l’offre
est précisé dans le Protocole de Consentement.
Opérateur de Certification (OC) : Structure technique qui dispose entre autre d’une plateforme
et de locaux lui permettant de générer, gérer et émettre des Certificats au nom de l’Autorité de
Certification à laquelle une communauté d’utilisateurs fait confiance.
OTP : littéralement « One Time Password » mot de passe à usage unique.
Partenaire : voir Distributeur.
Politique d'Archivage : ensemble de règles établissant les devoirs et responsabilités du PSA et de
tous les intervenants dans l'ensemble du cycle de vie des données archivées chez le PSA. Elle est
sous la responsabilité du PSA et doit être auditable par l’AGP.
Politique de Certification : ensemble de règles établissant les devoirs et responsabilités de l’AC
et de tous les intervenants dans l'ensemble du cycle de vie d'un Certificat. Elle est sous la
responsabilité de l’AC et doit être auditable par l’AGP
Politique d’Horodatage : ensemble de règles établissant les devoirs et responsabilités de l’AH et
de tous les intervenants dans l'ensemble du cycle de vie d'un Jeton d’horodatage. Elle est sous la
responsabilité de l’AH et doit être auditable par l’AGP.
Politique de Gestion de Preuve (PGP) : ensemble de règles établissant les devoirs et
responsabilités de l’A.G.P et de tous les intervenants dans l'ensemble du cycle de vie de la Preuve.
Elle est sous la responsabilité de l’A.G.P et doit être auditable.
Prestataire de Services d’Archivage (PSA) : personne morale en charge de recevoir, de
conserver, de restituer, en d’autres termes, d'assurer la gestion des éléments de preuves dans le
temps pour le compte de l’Entreprise. Il est en relation contractuelle avec l’Entreprise.
Remarque : est souvent appelé Tiers Archiveur.
Prestataires de Services de Certification Electronique (PSCE) : toute personne qui délivre des
Certificats électroniques ou fournit d’autres services en matière de signature électronique.
Prestataire de Services de Gestion de Preuve (PSGP) : entité en charge d’assurer la gestion de
la preuve d’une Transaction au moment de sa signature. Les éléments suivants sont alors vérifiés :
o l’origine des Données et l’identité de l’Entreprise /du Contractant ;
Restreint – C2
-
-
-
-
-
-
-
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 7 / 31
o la Signature électronique des parties à une transaction (intégrité des données et validité du
Certificat à la date de réception de la transaction) ;
o un Jeton d’horodatage indiquant la date à laquelle les données ont été signées ;
o ou d’autres éléments qui seront déterminés dans le Protocole de Consentement.
Prestataires de Services d’Horodatage Electronique (PSHE) : toute personne en charge de la
production et de la délivrance de contremarques de temps.
Preuve de consentement : écran ayant pour vocation, en cas de litige, de montrer l’interface de
saisie prévue dans le cadre du Protocole de Consentement et constituant un indice de la
manifestation du consentement du Contractant au moment de la signature de la Transaction.
Différents moyens d’établir la preuve de consentement peuvent être mis en place. Il peut s’agit de
l’usage d’un OTP (One Time Password) via SMS, Voice ou Mail. Il peut s’agir également d’une
signature graphique ou d’autres moyens qui seront précisément décrits dans le Protocole de
Consentement.
Protocole de Consentement : document contenant les règles spécifiques d’identification, de
consentement et/ou d’archivage d’un Entreprise dans le cadre d’utilisation de CONTRALIA. Le
protocole de Consentement est aussi appelé « Protocole Fournisseur ».
Référence contrat : fichier informatique contenant les éléments permettant de faire le lien entre
les éléments de preuve conservés et le contrat d’origine.
Signea : Solution intégrée de signature proposant un parcours de signature paramétrable.
Signataires : Il existe plusieurs types de signataires :
o Une entité physique ou morale se voyant proposer un document à la signature et
demandant à ce qu’une signature soit apposée après accord ou validation (le souscripteur).
o Une entité morale désignant l’Entreprise proposant un document à la signature.
o Une entité physique, mandatée par l’Entreprise pour signer en son nom.
o Docapost BPO en tant que PSGP
Signature électronique : procédé fiable d’identification garantissant son lien avec les Contrats
auxquelles elle s’attache. Il est indiqué que le Contrat peut disposer de plusieurs Signatures en
fonction du nombre de Contractants.
Scellement : procédé permettant de s’assurer que le Contrat a bien été scellé afin d’en garantir
l’intégrité. Ce scellement permet également d'apposer la marque de CONTRALIA dans le
document en tant que tiers de confiance ayant veillé au bon déroulement de l’ensemble de la
transaction.
Tiers de confiance : Le Tiers de Confiance Numérique est un acteur du développement de la
confiance dans le monde numérique. Il intervient dans la protection de l’identité, des
documents, des transactions et de la mémoire numérique. Il engage sa responsabilité juridique
dans les opérations qu’il effectue pour le compte de son client.
o Le Tiers de Confiance Numérique est reconnu par ses pairs. Il doit être membre d’un
ordre, d’une association ou d’une fédération disposant d’une charte et d’un comité
d’éthique.
o Le Tiers de Confiance Numérique est intègre, transparent et respecte une stricte
confidentialité. Il garantit son interopérabilité avec les autres Tiers de Confiance
Numérique. Il doit démontrer sa capacité de continuité de service au-delà de sa propre
existence en garantissant la réversibilité de ses services.
o Le Tiers de Confiance Numérique s’engage à respecter la règlementation, les normes ou
labels en vigueur. Il contribue en permanence aux évolutions techniques. Il se soumet à des
audits externes réguliers.
Tiers Archiveur (T.A) : voir PSA.
Restreint – C2
-
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 8 / 31
Tiers autorisé : tout tiers entre le PSA et l’Entreprise qui, par voie contractuelle ou légale, peut
accéder aux Données de l’Entreprise archivées par le PSA. Le PSGP est un tiers autorisé.
Utilisateur : Contractant et Manipulateur ainsi que toute personne dûment autorisée à accéder au
système d’information.
Les abréviations utilisées dans ce document sont les suivantes :
AC :
A.E. :
AGP :
AH :
O.C. :
P.A. :
PC :
PGP :
PH. :
P.S.A :
P.S.C.E :
PSGP :
P.S.H.E :
T.A :
Autorité de Certification
Autorité d’Enregistrement
Autorité de Gestion de Preuve
Autorité d’Horodatage
Opérateur de Certification
Politique d’Archivage
Politique de Certification
Politique d’Horodatage
Prestataire de Services d’Archivage
Prestataire de Services de Certification Electronique
Prestataire de Services de Gestion de Preuve
Prestataire de Services d’Horodatage Electronique
Tiers Archiveur, voir P.S.A
Restreint – C2
2
2.1
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 9 / 31
Introduction
Contexte
Le présent document constitue la Politique de Gestion de Preuve (PGP) de l’offre CONTRALIA de
Docapost BPO. Son objectif est de décrire les règles applicables à l’établissement et à la conservation des
fichiers de preuve. Cette Politique de Gestion de Preuve doit constituer un indice de fiabilité du
prestataire de gestion de preuve.
Ce document ne régit pas les relations entre le Client de Docapost BPO (entité qui propose un document à
signer, désigné comme l’ « Entreprise ») et le Contractant (Client de l’Entreprise, entité morale ou
physique qui signe le document proposé à la signature par l’Entreprise).
Cette relation sera décrite dans un contrat commercial classique. Docapost BPO respectera son devoir de
conseil. Cependant il appartient au Client de Docapost BPO de vérifier la validité de l’application des
législations en vigueur relatives à son ou à ses processus de souscription cibles.
Ce document ne tient pas compte des dispositions prévues au titre du nouveau règlement Européen
(EIDAS – Sur l’identification électronique et les services de confiance pour les transactions électroniques
– 23 juillet 2014). Ces dispositions seront applicables au 1er juillet 2016.
CONTRACTANT
DEMANDE DE
CONTRAT
COLLECTE DES
DONNEES
IDENTIFIANT
LE CONTRACTANT
FOURNISSSEUR
DISTRIBUTEUR
ETABLISSEMENT
DU PROJET DE
CONTRAT
PSGP
ENREGISTREMENT
DU CONTRACTANT
ET TRANSMISSION
DU PROJET
DE CONTRAT
CONTRACTANT
SIGNATURE CONTRACTANT:
SIGNATURE SERVEUR AVEC
INTEGRATION DES DONNEES
D’IDENTIFICATION DU
CONTRACTANT DANS LES
ATTRIBUTS DE LA SIGANATURE
OU
EMISSION CERTIFICAT PUIS
SIGNATURE CONTRACTANT:
A BSE DE CERTIFICATS MINUTE
AC
AH
SIGNATURE
FOURNISSEUR AVEC UN
CERTIFICAT UNIQUE &
INTEGRATION DES DONNEES
D’IDENTIFICATION DU
FOURNISSEUR DANS LES
ATTRIBUTS DE LA SIGNATURE
OU
SIGNATURE
FOURNISSEUR AVEC UN
CERTIFICAT DEDIE
AU FOURNISSEUR
SCELLEMENT
CONTRALIA
TA
VERSEMENTET
CONSERVATION
DU CONTRAT
VERSEMENTET
CONSERVATION
DE LA PREUVE
Restreint – C2
2.2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 10 / 31
En droit privé
2.2.1 La preuve des actes juridiques
Depuis la loi n°2000-230 du 13 mars 2000 portant adaptation de la preuve aux technologies de
l’information et relative à la signature électronique (J.O. du 14 mars 2000, p. 1968), l’écrit sous forme
électronique est intégré dans le dispositif probatoire et notamment dans le système légal de la preuve.
En matière électronique, conformément à l’article 1316-1 du Code civil, pour valoir en justice, un écrit
sous forme électronique doit permettre que « puisse être dûment identifiée la personne dont il émane et
qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité ».
2.2.2 L’identification d’une personne
Identifier quelqu’un consiste à établir l’identité de la personne c'est-à-dire son caractère permanent et
fondamental. Plusieurs méthodes d’identification (login/mot de passe, biométrie, OTP, Certificat
électronique, etc.) prises séparément ou cumulativement permettent d’attribuer un écrit à une personne.
Toutefois, l’apposition de sa signature sur l’écrit reste la méthode privilégiée. Ainsi, l’alinéa 1er de
l’article 1316-4 du Code civil dispose : « La signature nécessaire à la perfection de l’acte juridique
identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de
cet acte. (…) ». Ces fonctions d’identification et de manifestation du consentement concernent toutes les
signatures, qu’elles soient électroniques ou manuscrites.
2.2.3 L’intégrité de l’écrit
Conformément à l’article 1316-1 du Code civil, l’écrit doit être « établi et conservé dans des conditions
de nature à en garantir l’intégrité ». Ainsi, l’intégrité de l’écrit sous forme électronique doit être garantie
de son établissement jusqu’au terme du délai de conservation et ce, afin qu’il soit recevable en tant que
preuve au même titre que l’écrit sur support papier. L’écrit archivé ne doit avoir subi aucune altération ni
modification qui n’ait été détectable et détectée.
2.2.4 Validité des actes juridiques
L’article 1108-1 du Code civil prévoit que les actes juridiques requis à titre de validité (crédit à la
consommation, crédit immobilier, statuts de société,…) peuvent être établis et conservés sous forme
électronique si les articles 1316-1 et 1316-4 du Code civil sont respectés.
2.3
L’intérêt de la gestion de la preuve
La gestion de la preuve n’est pas à proprement parler une activité juridiquement définie. En effet,
aucun texte d’ordre législatif ou réglementaire n’en traite. Toutefois, elle est un des éléments centraux de
développement de l’économie numérique.
Grâce à sa mise en œuvre, le Client de Docapost BPO doit pouvoir convaincre un juge ou une
administration de la valeur juridique et de la force probante de l’écrit sous forme électronique auquel elle
recourt.
Pour ces raisons et dans le cas de documents signés électroniquement, il sera nécessaire de vérifier la
validité de la signature électronique au moment de la réception de l’écrit sous forme électronique et de
pouvoir apporter devant le juge la preuve de cette vérification de validité pendant la totalité de la période
de conservation et/ou de prescription légale. L’intérêt de la gestion de preuve est de pouvoir démontrer
que cette vérification a bien été effectuée.
Restreint – C2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 11 / 31
Dans tous les cas, il sera nécessaire d’apporter la preuve que la condition d’intégrité de l’écrit
numérique a bien été respectée.
2.4
La jurisprudence en matière de signature électronique
La signature est indispensable à la validité d'un acte juridique. Depuis une loi du 13 mars 2000, la
signature électronique a la même valeur que celle manuscrite mais à la condition qu'elle respecte certaines
formes prévues aux articles 1316-1 et suivants du code civil. La signature électronique est “ un procédé
fiable d'identification garantissant son lien avec l'acte auquel elle s'attache ”. Ainsi, pour être valable, le
procédé utilisé doit permettre d'assurer l'identité du signataire et l'intégrité de l'acte signé. La
jurisprudence rend des décisions portant sur la valeur probatoire des documents électroniques conservés.
Ceux-ci sont riches d’enseignements sur la manière dont les justiciables, et parfois les juges, peuvent se
méprendre sur la valeur qu’il convient de reconnaître à l’écrit électronique.
Cette jurisprudence fait l’objet d’une veille réglementaire par Docapost BPO.
2.5
Champ d’application de la Politique de Gestion de Preuve (PGP)
Le champ d’application de la présente Politique s’étend à l’ensemble des actes établis par voie
électronique lorsque les textes le permettent, qu’il s’agisse de documents relevant du droit privé comme
du droit public, mais aussi aux faits juridiques (date d’un acte, données de connexion, traçabilité…).
La présente Politique s’adresse à tous les acteurs intervenants dans le cycle de la gestion de la preuve.
2.6
Aperçu de la PGP
2.6.1 Identification de la PGP
La désignation du numéro d’identification d’objet (OID) pour la présente politique est :
1.2.250.1.229.1.1.1.1.4
Le numéro d’OID de ce document répond aux principes de nommage suivants :
Dans l’hypothèse de modifications ultérieures sur ce document, le numéro d’OID sera modifié pour sa
dernière valeur « Version ».
2.6.2 Objet de la PGP
A l’instar du contrat écrit et signé de façon manuscrite, celui qui se prévaut d’un droit ou d’une
créance au titre de ce contrat doit en rapporter la preuve.
Ainsi, si la consécration de l’écrit électronique permet de simplifier, fluidifier et automatiser la
signature, la conservation et l’utilisation d’actes juridiques de toute nature en nombre, se pose la question
de comment rapporter la preuve de l’existence de cet acte, de la validité de sa signature de son intégrité,
pour faire valoir ses droits, et le cas échéant avoir recours au juge. Ainsi dans un souci de pérennité de la
valeur probante d’un écrit numérique, il est nécessaire de conserver l’écrit signé, la signature électronique
et les éléments qui sont associés (Certificat, liste de Certificats révoqués, jeton d’horodatage, OTP…)
destinés à pouvoir vérifier la signature dans le temps.
La gestion de la preuve telle que proposée par Docapost BPO et décrite dans la présente Politique,
permet d’assurer la conservation de la valeur juridique initiale de l’écrit numérique pendant toute sa durée
de vie, de son établissement jusqu’au terme du délai de conservation et la restitution de ces éléments au
Client de Docapost BPO, et d’ester en justice sur cette base.
Restreint – C2
2.7
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 12 / 31
Textes juridiques applicables
La liste des dispositions légales et réglementaires qui traitent de la dématérialisation des actes et de
leur signature électronique a été portée en annexe 1 de la présente PGP.
2.8
Normes et valeur de la norme
La norme technique se définit comme une « spécification technique approuvée par un organisme
reconnu à activité normative pour application répétée ou continue, dont l'observation n'est pas
obligatoire » (Directive 83/189/CEE mod. du Conseil du 28 mars 1983).
Bien que les normes ne soient souvent considérées que comme des recommandations techniques
sans force obligatoire, leur application se généralise dans chaque strate de la société, conférant ainsi à
certaines d’entre elles le caractère d’une codification écrite regroupant « les règles de l’art » ou des
« usages loyaux et constants ».
La Cour de cassation a d’ailleurs confirmé cette conception en considérant que l’existence d’une
norme permet de représenter l’état de l’art dans le domaine auquel elle se rapporte (Cass. civ. 3ème, 4
février 1976, Bull. civ. III, n°49).
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
Restreint – C2
3
3.1
11/03/2015
version 4.0
Page 13 / 31
Obligations et responsabilités dans le cycle de vie de la gestion
de preuve
Présentation de la chaîne de confiance
Le schéma ci-dessous désigne les acteurs présents lors d’une transaction de signature électronique d’un
Contrat.
Ils participent à la construction d’une « chaîne de confiance » et certains d’entre eux sont des Tiers de
Confiance. C’est le cas:
 du PSGP (Prestataire de Service en Gestion de la Preuve : Docapost BPO)
 de l’AC (Autorité de certification : CERTINOMIS ou Docapost BPO)
 de l’AH (Autorité d’Horodatage : Docapost BPO ou le Groupe La POSTE)
 du TA (Tiers Archiveur : CDC Arkhineo ou Docapost DPS)
La chaîne de confiance est représentée ci-dessous ainsi que les différents documents régissant leur
activité.
Politique de certification
Politique Horodatage
AC
Autorité de
Certification
Certinomis
AC
Autorité de
Certification
AH
Autorité
Horodatage
La Poste
Certificats permanents
Protocole Fournisseur
Politique Archivage
Certificats permanents
CLIENT CONTRALIA
Fournisseur
TA
Tiers Archiveur
CDC Arkhineo
Docapost DPS
PSGP
Docapost-bpo
CONTRALIA
AE
Certificats Provisoires
PGP
AC
Autorité de
Certification
AC4CONTRALIA
3.2
Obligations des acteurs en matière de gestion de la preuve
3.2.1 Obligations du PSGP
3.2.1.1 Obligations générales
En tant que PSGP, Docapost BPO est responsable vis-à-vis des Entreprises des opérations relatives à
la gestion de la preuve réalisées par tous les Tiers de confiance engagés dans la Chaîne de confiance.
Docapost BPO construit le Fichier de Preuve associé à la transaction de signature et garantit son
contenu ainsi que son intégrité.
Docapost BPO :
Restreint – C2






CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 14 / 31
Veille à ce que l’ensemble des Prestataires intervenant dans la chaine de confiance administre la
gestion de preuve conformément à toutes les modalités de la présente Politique.
Met en œuvre des matériels informatiques selon les procédures adaptées telles que détaillées dans
les déclarations des pratiques de gestion de la preuve et leur mise en œuvre opérationnelle.
Se déclare « auditable » et en mesure de répondre aux contrôles techniques et audits de qualité des
procédures qui pourraient lui être demandés dans le cadre des obligations légales et de ses
engagements. Ces audits devront respecter les modalités prévues dans le contrat liant Docapost
BPO et son Client.
Utilise des ressources cryptographiques à qualifier d'un niveau de sécurité suffisant pour le service
de gestion de preuve, contrôle les accès physiques et les limite strictement et exclusivement aux
personnes dûment autorisées.
Met à jour et préserve l’intégrité des listes et documents qu’il publie.
Assure le contrôle de conformité de ses propres pratiques.
3.2.1.2 Obligations relatives à la gestion de la preuve
En tant que PSGP, Docapost BPO doit construire et gérer les Fichiers de preuve pendant la durée
prévue dans le Protocole de Consentement. A ce titre, il doit :
 Qualifier la validité du moyen d’identification utilisé par l’Entreprise.
 Traiter les demandes de signature après identification du Contractant.
 Vérifier la Signature électronique à savoir effectuer les contrôles auprès de l’AC pour déterminer
la validité du Certificat utilisé pour la Signature.
 Assurer la mise à disposition des documents signés et des fichiers de preuve auprès de ses Clients
via une GED.
 Transmettre les fichiers signés et les Fichiers de preuve au Tiers Archiveur (TA) qui en assurera la
conservation (Archivage probant).
Docapost BPO s’engage à respecter ses engagements de service formulés dans la Convention de
Services avec ses Clients.
3.2.1.3 Obligations en cas de contestation et litiges sur la signature
Docapost BPO s’engage à mettre à disposition de ses Clients les Fichiers de Preuves en cas de
contentieux portant sur la signature d’un ou des plusieurs documents.
Le Client a accès, via un Backoffice, aux documents signés et aux éléments de preuve rattachés à ces
documents signés.
A la demande du Client, d’un juge ou d’un expert mandaté par un juge, Docapost BPO pourra :
 Restituer les fichiers signés et les Fichiers de Preuve à un juge, un expert mandaté par le juge ou à
toute autre personne habilitée à les recevoir.
 Donner un accès aux documents aux personnes dûment habilitées par une autorité compétente à
extraire ces documents du coffre-fort d’archivage.
3.2.2 Obligations relatives à l’Autorité d’Horodatage (AH)
L'Autorité d’Horodatage prend en charge l'ensemble du processus d’horodatage, et donc de la validité
des Jetons d’horodatage qu'elle émet.
La garantie apportée par l’Autorité d’Horodatage vient de la qualité de la technologie mise en œuvre,
mais aussi du cadre réglementaire et contractuel qu’elle s’engage à respecter.
L’AH doit respecter les engagements suivants :
Restreint – C2





CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 15 / 31
Veiller à ce que les composantes de l’Infrastructure de Gestion des Clés (IGC) qui agissent en son
nom se conforment à toutes les modalités pertinentes de la PH.
Etre responsable de l'émission des Jetons d’horodatage qui seront utilisés par le PSGP au moment
de la constitution de la Preuve.
Assurer directement ou indirectement les prestations techniques, en particulier cryptographiques,
nécessaires au processus d’émission des Jetons d’horodatage.
Etre en charge du bon fonctionnement et de la sécurité des moyens informatiques et techniques
relatifs aux processus d’élaboration des Jetons d’horodatage compris dans la PH.
Etre en charge du bon respect des procédures et des dispositifs nécessaires pour garantir un niveau
de fiabilité satisfaisant.
3.2.3 Exigences relatives à l’Autorité de Certification (AC) pour les Certificats
nécessaires à la signature
3.2.3.1 Engagements des Autorités de Certification
L'AC doit veiller à ce que les composantes de l’IGC qui agissent en son nom se conforment à toutes
les modalités de sa Politique de Certification (PC).
L’AC doit garantir le lien qui existe entre :
 Le Client et la Bi-clé qui lui est attribuée (délivrance d’un Certificat au nom du client personne
morale ou délivrance de Certificats permanents sur supports physiques).
 Le Contractant et la Bi-clé qui lui est attribuée. Les Certificats qui lui sont attribués seront des
Certificats éphémères (Certificats minute) à son nom, pour des signatures à la volée.
 Docapost BPO et la Bi-clé qui lui est attribuée.
L’AC peut être interne (AC4CONTRALIA) ou externalisée (CERTINOMIS).
Dans le cas de l’AC CERTINOMIS :
 L’AC a la responsabilité de mettre en œuvre le système qui permet de générer les Certificats et
d’assurer la gestion de leur cycle de vie, incluant la génération des listes de Certificats révoqués.
 L’AC doit ainsi valider la génération des Certificats, transmettre les informations concernant la
révocation des Certificats. A ce titre, elle doit tenir, mettre à jour et publier une liste de Certificats
révoqués à destination de tiers, notamment le PSGP dans les plus brefs délais à compter de la
révocation du Certificat.
3.2.4 Exigences relatives au Tiers Archiveur (TA)
Le Tiers-Archiveur est un tiers de confiance intervenant dans la chaîne de confiance en tant que
fournisseur d’un service de conservation à vocation probante. Le TA prend en charge l'ensemble du
processus d’archivage des documents signés et des fichiers de Preuves. La garantie qu’il apporte vient de
la qualité de la technologie mise en œuvre, mais aussi du cadre réglementaire et contractuel qu’il s’engage
à respecter.
Le Tiers-Archiveur prend les engagements suivants :
 Etre responsable de l’archivage des documents selon le cadre règlementaire applicable et les
modalités contractuelles.
 Restituer les documents signés et les Fichiers de Preuves sur demande de Docapost BPO, à charge
pour ce dernier de les restituer à ces clients.
Restreint – C2


CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 16 / 31
Etre en charge du bon fonctionnement et de la sécurité des moyens informatiques et techniques
relatifs au processus de gestion et de restitution des documents signés et des Dossier/fichiers de
Preuves.
Etre en charge du bon respect des procédures et des dispositifs nécessaires pour garantir un niveau
de fiabilité satisfaisant.
3.2.5 Obligations de l’Entreprise vis-à-vis de Docapost BPO
L’Entreprise s’est engagée contractuellement vis-à-vis de Docapost BPO pour bénéficier des services
de gestion de preuve décrits dans la présente Politique.
Il joue le rôle d’une Autorité d’Enregistrement auprès des contractants et doit de ce fait assurer leur
identification et leur authentification.
Le Client de Docapost BPO doit s’engager à rédiger un Protocole de Consentement. Dans ce
document, le Client de Docapost BPO :
 Décrira le processus d’identification et d’authentification,
 Décrira ses choix en matière de typologie de signature :
 Pour SIGNEA, les signatures électroniques du ou des signataires et de l’Entreprise seront
réalisées en mode « délégué », avec certificat au nom de Docapost BPO
 Pour CONTRALIA, le Client de Docapost BPO aura le choix entre 2 options :
 les signatures électroniques du ou des signataires seront réalisées en mode
« délégué », avec certificat au nom de Docapost BPO
 la signature électronique de l’Entreprise sera réalisée en mode « délégué », avec
certificat permanent au nom de Docapost BPO
 les signatures électroniques du ou des signataires seront réalisées en mode « à la
volée », avec des certificats éphémères au nom du ou des signataires
 la signature électronique de l’Entreprise sera réalisée avec certificat permanent au
nom de de l’Entreprise
 Respecter les dispositions qu’il aura formulées dans le « Protocole de Consentement ».
 Vérifier que les coordonnées qu’il a communiquées au PSGP sont valides et porter à sa
connaissance toute modification qui leur serait apportées.
En l’absence de ce Protocole de Consentement rédigé par le Client, le Client s’engage à respecter le
Protocole type fourni par Docapost BPO.
Le Client de Docapost BPO dispose de la faculté de confier la relation commerciale et les prestations
relatives à l’enregistrement des Contractants à un réseau de Distributeurs. Ces Distributeurs devront
notamment s’assurer de conserver les données permettant d’identifier les Contractants ainsi que les
documents contractuels qu’ils pourraient avoir fait signer aux Contractants.
Restreint – C2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 17 / 31
3.2.6 Obligations des Contractants
Le Contractant est la personne ayant accepté expressément les Conditions d’utilisation du service de
gestion de preuve du PSGP dont il bénéficie par l’intermédiaire de l’« Entreprise » (Client de Docapost
BPO proposant un document à signer électroniquement).
Le Contractant doit tenir secret les moyens d’identification mis à sa disposition pour l’utilisation du
service (adresse mail, valeur OTP, login/password …).
3.3
Responsabilité des acteurs en matière de gestion de la preuve
3.3.1 Responsabilité de Docapost BPO (le PSGP)
Les limitations et exonérations de responsabilité du PSGP figurent dans les documents contractuels du
PSGP (contrat avec l’Entreprise, conditions d’utilisation, convention de service).
3.3.2 Responsabilité de l’Autorité d’Horodatage (AH)
L’AH est tenue responsable des conséquences dommageables directes dans le cadre :
 des préjudices subis par le Client de Docapost (Entreprise) et/ou par le Contractant et résultant de
dysfonctionnements du matériel utilisé par l’AH,
 de la précision et de l'intégrité des Jetons qu'elle délivre,
 de la fourniture de Jetons d’horodatage basés sur une heure fiable,
 de s’assurer que tous les aspects des services, exploitation et infrastructures liés aux Jetons
d’horodatage sont réalisés selon les exigences, objectifs et garanties de cette politique et des
politiques d’Horodatage fournies.
Le PSGP doit s’assurer que l’AH garantit le respect des dispositions relatives à la norme 27001.
3.3.3 Responsabilité des Autorités de Certification (AC)
Les AC sont tenues responsables du respect de leur Politiques de Certification (PC) quant à leur mise
en œuvre.
3.3.4 Responsabilité du Client de Docapost BPO en tant que Entreprise
Le Client de Docapost BPO en tant que Entreprise est responsable des agissements de ses agents et de
ses Distributeurs vis-à-vis du PSGP.
3.4
Confidentialité des données à caractère personnel
La loi n°78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, modifiée par la
loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements
de données à caractère personnel s’applique à tous les documents détenus par le PSGP (site de la CNIL
http://www.cnil.fr).
En vertu de la loi, les Clients de Docapost BPO en tant qu’Entreprises et les Contractants disposent
d’un droit d’accès, de rectification et d’opposition aux traitements de données qui les concernent à
l’exception des documents signés et des données versés au coffre probant. Ces derniers éléments ne sont
en effet ni modifiable et ne peuvent être détruits que sur demande expresse du Client de Docapost
(l’Entreprise) selon une procédure rigoureusement établie. Cette procédure est décrite dans l’annexe
« Plan de Réversibilité ».
Le PSGP doit respecter les prescriptions légales et réglementaires applicables en la matière.
Restreint – C2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 18 / 31
La PGP doit être interprétée de manière à respecter les principes fondamentaux en matière de
protection des données à caractère personnel consacrés dans la loi, les directives européennes et toute
autre convention internationale entrée en vigueur.
Toutes les données collectées et détenues par le PSGP sur une personne physique sont considérées
comme confidentielles et ne doivent pas être divulguées sans avoir obtenu le consentement préalable du
Client de Docapost en tant que l’Entreprise.
3.5
Secret des correspondances et interceptions
Le secret des correspondances émises par voie des communications électroniques est garanti par la loi
française. En cas d’atteinte, toute violation est punie par l’article 226-15 du code pénal pour celles
commises par une personne et par l‘article 432-9 du code pénal pour celles commises par une personne
dépositaire de l’autorité publique.
D’une façon générale, aucun salarié de Docapost BPO et aucun collaborateur ou sous-traitant, dans le
cadre de leur participation à l’activité de gestion de preuve, n’a le droit d’intercepter, d’ouvrir, de
détourner, de divulguer, de rechercher ou d’utiliser les documents soumis au PSGP, sauf dans les cas
prévus dans la présente politique, ou dans le cadre du régime des interceptions ordonnées par l’autorité
judiciaire ou des interceptions de sécurité en vertu de la loi n°91-646 du 10 juillet 1991.
3.6
Droits relatifs à la propriété intellectuelle
Docapost BPO demeure titulaire de l’intégralité des droits de propriété intellectuelle sur l’offre
CONTRALIA. Ceux-ci sont protégés par la loi, règlements et autres conventions internationales
applicables.
Un manquement à ces droits est susceptible d’entraîner la responsabilité civile et pénale.
La contrefaçon de marques de fabrique, de commerce et de services, dessins et modèles, signes
distinctif, droits d'auteur (par exemple : logiciels, pages web, bases de données, textes originaux…) est
sanctionnée par les articles L. 716-1 et suivants du Code de la propriété intellectuelle.
3.7
Dispositions pénales
En vertu des articles 323-1 à 323-7 du Code pénal, applicable lorsqu’une infraction est commise sur le
territoire français, les atteintes et les tentatives d’atteintes aux systèmes de traitement automatisé de
données sont sanctionnées, notamment l’accès et le maintien frauduleux, les modifications, les altérations
et le piratage de données, etc.
Les peines encourues varient de 2 à 5 ans d’emprisonnement et d’une amende allant de 30.000 à
375.000 euros pour les personnes morales.
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
Restreint – C2
4
11/03/2015
version 4.0
Page 19 / 31
Gestion du cycle de vie de la Transaction et de la Preuve
4.1
Cinématique simplifiée d’établissement et de gestion de la Preuve
Pour les signatures du Souscripteur (le client final signataire) et de l’Entreprise (le Client de Docapost
BPO), la gestion de la preuve est basée sur une cinématique établie selon deux options de fourniture du
Certificat.
Le tableau ci-dessous reprend les identités des signataires et les typologies de Certificats associés à la
signature en fonction des options, notamment pour la signature du Client final et de l’Entreprise.
Signataire
Dénomination
Type
Signataire
Détenteur
Cachet de Certification
Personne Morale
Signature Minute
Personne Physique Client final/Souscripteur
CLIENT FINAL
Signature dite Déléguée
Personne Physique Client final/Souscripteur
DOCAPOST BPO
Cachet dit Délégué
Personne Morale
DOCAPOST BPO
DOCAPOST BPO
Cachet Fournisseur
Personne Morale
Entreprise
FOURNISSEUR
(Entreprise)
Signature Token
Personne Physique
Personnel du fournisseur ou
Agent du fournisseur
CLIENT FINAL
4.2
DOCAPOST BPO
Certificat
DOCAPOST BPO
Durée
Type de Certificat
Certificat Serveur Cachet PDF
1 étoile au nom de
DOCAPOST BPO (Personne
Morale)
Certificat à usage unique
(Personne Physique)
15 minutes
au nom du souscripteur
généré à la volée.
Certificat serveur cachet PDF
3 ans et renouvellé
1 étoile
automatiquement
au nom de DOCAPOST BPO
(Personne Morale)
1 étoile
automatiquement
(Personne Morale)
1, 2, 3 ans renouvellable
1 étoile
Certificat permanent sur
support physique
1, 2, 3 ans renouvellable
au nom de l'agent
(personne physique)
automatiquement
Description
AC Émettrice
CERTINOMIS
AC 1 étoile RGS
Signature cachet serveur au nom du Tiers
de Confiance DOCAPOST BPO (PSGP) et
qui scelle le document
AC4CONTRALIA
Signature réalisée au nom du client final
avec un certificat généré à la volée
(certificat minute ou éphémère)
CERTINOMIS
AC 1 étoile RGS
Signature réalisée par DOCAPOST BPO
pour le compte du client final (Signature
déléguée)
CERTINOMIS
AC 1 étoile RGS
Signature réalisée par DOCAPOST BPO
pour le compte du Fournisseur (Cachet
délégué)
CERTINOMIS
AC 1 étoile RGS
Signature Cachet Serveur pour le compte
du Fournisseur
CERTINOMIS
"Cartes PRO"
Signature avec un Token cryptographique
(clé USB ou carte à puce)
Emission du ou des Certificats pour le ou les contractants
Pour la signature du ou des contractants, les deux options sont :
 Signature avec un Certificat minute au nom du Contractant (Certificat généré à la volée par l’AC
CONTRALIA). Les données identifiant le Contractant sont directement portées dans ce Certificat
 Signature avec un Certificat serveur permanent au nom de Docapost BPO dans les cas suivants :
 Signature par le Contractant avec un Certificat Docapost BPO
Les données identifiant le Contractant sont ajoutées dans les attributs de la signature. Ces attributs ne
peuvent pas être modifiés après signature.
Les modalités d’émission du Certificat Docapost des contractants figurent dans la Politique de
Certification de l’AC fournissant le Certificat (CONTRALIA ou CERTINOMIS selon le mode de
signature choisi).
Restreint – C2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 20 / 31
4.1 Emission du ou des Certificats pour l’Entreprise
La Signature de l’Entreprise est optionnelle. Dans le cas où le Entreprise choisit de signer, le
Certificat associé à cette signature est fourni selon deux options.
Pour la signature du Client de Docapost BPO (l’Entreprise), les deux options sont :
 Signature avec un Certificat serveur personne morale dédié établi au nom du client de Docapost en
tant qu’Entreprise. Dans le cas de l’utilisation d’un Certificat émis au nom de l’Entreprise, les
données identifiant l’Entreprise sont directement portées dans ce Certificat.
 Signature avec un Certificat serveur personne morale au nom de Docapost BPO. Dans le cas
d’utilisation d’un Certificat serveur Docapost BPO, les données identifiant l’Entreprise sont
ajoutées dans les attributs de la signature. Ces attributs ne peuvent pas être modifiés après
signature.
4.2
Intégration des donnés d’identification du signataire dans les attributs de la
signature PDF
Afin de maintenir un lien fort entre la signature et l’identité du signataire, les données d’identification
du signataire seront intégrées dans les attributs de la signature PDF ; ces attributs ne pourront en aucune
façon être modifiés après signature.
Note : ces attributs sont aussi appelés « propriétés de signature ».
4.3
Séquencement des signatures Contractants et Entreprise
Il est à noter que l’ordre des signatures entre Contractants et l’Entreprise peut être permuté ; pour
certains types d’applications, la signature Entreprise doit être réalisée avant la signature du Contractant.
4.4
Horodatage de la transaction par le PSGP
La signature est horodatée par l’AH. Le PSGP vérifie alors la validité du Certificat à la date de
signature figurant sur le Jeton délivré par l’AH.
L’utilisation d’un Certificat invalide ou révoqué génère une erreur. Les modalités de Signature et de de
consentement sont inscrites dans le Protocole de Constement.
4.5
Validation, Horodatage et Scellement CONTRALIA
Le PSGP vérifie la validité des Certificats permanents (Entreprise ou agents de l’Entreprise) à la date
de signature figurant sur le Jeton délivré par l’AH.
L’utilisation d’un Certificat invalide ou révoqué génère une erreur.
Lorsque toutes les signatures prévues ont été apposées et validées (signature du ou des Contractants et
éventuellement signature de l’Entreprise), le PSGP effectue un Scellement de la transaction attestant du
bon déroulement du processus de signature. Le Scellement est horodaté par l’AH. Le PSGP vérifie la
validité du certificat de scellement à la date de signature figurant sur le Jeton délivré par l’AH.
Si le certificat de scellement est invalide ou révoqué, une erreur est générée.
4.6
Demande et collecte des données d’identification du Contractant pour
enregistrement
L’Entreprise a en charge de collecter – directement ou par le biais de son réseau de Distributeurs – les
données permettant d’identifier les Contractants ainsi que les pièces justificatives éventuellement
nécessaires.
Les différentes modalités de collecte sont précisées dans le Protocole de Consentement.
Restreint – C2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 21 / 31
Le PSGP recommande que la procédure d’enregistrement ne soit ouverte qu’aux Contractants connus
de l’Entreprise ou bien que la procédure de vérification d’identité soit particulièrement détaillée pour les
prospects dans le cadre de leur Protocole de Consentement.
4.7
Création du fichier de preuve
A la suite des opérations de signature et après archivage sécurisé des éléments de la transaction, le
PSGP établit un fichier de preuve rassemblant les éléments de traçabilité, d’information et de vérification
d’intégrité.
Les vérifications d’intégrité consistent en des calculs d’empreintes réalisés :
 A la réception du fichier proposé à la signature : calcul de l’empreinte du fichier vierge (selon un
algorithme de type HASH 256). La valeur de cette empreinte est renvoyée à l’application cliente.
 Après la signature et avant le dépôt au coffre probant : calcul de l’empreinte du fichier signé
(selon un algorithme de type HASH 256). La valeur de cette empreinte est renvoyée à
l’application cliente (Entreprise).
 L’empreinte calculée à partir du document signé est comparée avec l’empreinte renvoyée par le
service de conservation en coffre probant (TA). Si ces deux empreintes ne sont pas identiques, une
erreur est générée.
Ce Fichier de preuve est signé et la signature horodatée. Le Fichier de preuve est archivé avec le ou les
document(s) signé(s), ce qui constitue l’archive déposée au coffre probant.
La constitution du Fichier de preuve est fournie dans un document annexe.
Le client de Docapost BPO peut demander à ce que ce Fichier de preuve soit enrichi avec des éléments
supplémentaires.
4.8
Versement, conservation et restitution de l’archive et du Fichier de Preuve
L’archive complète, le ou les documents signés sont disponibles par extraction depuis le coffre
probant. Cette opération est réalisable via l’utilisation d’un web service ou par l’utilisation directe du
portail Back Office mis à disposition des Clients de Docapost BPO qui disposent d’un coffre dédié.
Les conditions entourant l’archivage sécurisé et la restitution des éléments composant l’archive
peuvent être détaillées dans le Protocole de Consentement.
Le PSGP s’engage à gérer et à restituer les preuves d’archivage transmises par le TA en lien avec les
archives correspondantes.
Avec le portail Back Office, le PSGP met à disposition une interface permettant de rechercher les
archives, les documents signés et les fichiers de Preuves en fonction de mots clés, de les récupérer, voire
de commander une attestation de Preuve.
4.9
Procédure d’intervention du PSGP
Dans le cas où le Client de Docapost BPO (l’Entreprise) aurait besoin des services du PSGP suite à la
remise en cause de la valeur juridique de la transaction qu’il a archivée, une procédure d’intervention du
PSGP est mise en place.
L’Entreprise fait état d’une demande motivée d’intervention du PSGP. Les motifs peuvent notamment
être liés à un litige à naître ou devant les Tribunaux.
Restreint – C2
4.10
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 22 / 31
Journalisation d’événements
4.10.1 Types d’événements enregistrés
Les événements à enregistrer sont toutes les opérations de pilotage de l’activité de gestion de preuve
permettant de suivre l’efficacité et la traçabilité du service rendu à l’Entreprise. Il s’agira notamment :
 Des opérations liées à la gestion du service effectuées par le responsable de sécurité ou le
gestionnaire du service.
 Des opérations correspondant au service de gestion de preuve.
 Des opérations effectuées par les utilisateurs du système.
4.10.2 Fréquence des traitements des journaux d’événements
Le processus de journalisation :
 est effectué en tâche de fond,
 permet un enregistrement immédiat des opérations effectuées.
Le processus de journalisation des événements est accompagné d’une chronologie fournie par un
service de chronologie interne.
4.10.3 Durée de conservation des journaux d’événements
Les journaux d’événements sont conservés sur le site pour une période correspondant à celle des
Fichiers de preuves, dans la mesure où ils en constituent un élément de preuve complémentaire.
4.10.4 Protection d’un journal d’événements
L’écriture dans les journaux d’événements est conditionnée par des contrôles de droits d’accès.
Les journaux d’événements sont protégés en intégrité et le système de chronologie des événements est
à la fois sûr et non modifiable.
4.10.5 Copies de sauvegarde des journaux d’événements
Le journal d’événement est conservé en base de données en temps réel.
4.10.6 Système de collecte des journaux d’événements
Le système de collecte des journaux d’événements interne du PSGP se déclenche au démarrage du
système informatique et reste actif jusqu’à son extinction. Tout contournement du processus de
journalisation doit être détectable.
4.10.7 Imputabilité
L’imputabilité consiste à lier de façon certaine une action à une personne. L’imputabilité d’une action
revient à la personne, l’organisme ou le système l’ayant exécuté. L’identifiant de l’exécutant figure dans
l’un des champs du journal d’événements.
4.11
Analyse des vulnérabilités
Pour chaque tentative de violation de l’intégrité du système de gestion du PSG, celui-ci se réserve le
droit d’engager des poursuites.
L’analyse des vulnérabilités porte sur :
 le contrôle des journaux d’événements pour identifier des anomalies liées à des tentatives en
échec,
Restreint – C2



4.12
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 23 / 31
la garantie par l’opérateur de service de la revue de ses journaux d’événements par son personnel
à une fréquence hebdomadaire,
l’existence d’un processus d’analyse pour tous les éléments de sécurité qui sont remontés en
échec,
la documentation des mesures à prendre à la suite de cette analyse.
Changement de clé du service de gestion de preuve
Le service de gestion de preuve possède une Bi-clé de signature unique avec lequel sont effectuées les
opérations de signature des attestations de Preuves.
En cas de compromission effective ou suspectée, la clé privée cesse d’être utilisée et le Certificat de la
clé publique est révoqué.
En cas d’évolution non prévue de l’état de l’art en cryptographie, les clés du service peuvent être
révoquées.
4.13
Fin de vie des services du PSGP
En cas d’interruption de ses activités, le PSGP s’engage à :
 Aviser immédiatement l’Entreprise et prendre des dispositions pour que les informations détenues
par le PSGP continuent à être archivées et accessibles dans les mêmes conditions.
 Convenir d’accords particuliers assurant un bon niveau d’assurance si les opérations du PSGP
sont transférées à un autre opérateur.
Restreint – C2
5
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 24 / 31
Mesures de sécurité
L’ensemble des dispositions relatives à la sécurité est repris dans le Plan d’Assurance Sécurité (PAS).
Ce document est mis à disposition du Client de Docapost BPO.
Restreint – C2
6
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 25 / 31
Administration de la PGP
Le présent chapitre définit les exigences en matière d’administration et de gestion de la présente
Politique.
6.1
Évolution de la PGP
En tant que document de référence du service de gestion de preuve, la PGP est tenue à jour aussi bien
vis-à-vis des évolutions internes qu'externes au service de gestion de preuve. Les principes mis en œuvre
au sein du service de gestion de preuve sont ainsi en permanence conformes à ceux présentés dans la PGP
En cas d'écart constaté, soit la mise en œuvre des principes est corrigée pour être conforme à la PGP, soit
la PGP est corrigée pour être conforme aux principes effectivement mis en œuvre.
L’évolution de la PGP est placée sous la responsabilité du PSGP au travers d'un Comité de Suivi.
6.1.1 Comité de Suivi, composition et fréquence de réunion
Ce Comité est constitué :
 du service informatique,
 du service des risques,
 du service juridique.
Il se réunit au moins une fois par an.
6.1.2 Procédures de suivi des modifications à appliquer en cas d’évolution
Les demandes de modifications intervenant autour de la PGP peuvent être de natures différentes :
 Modification des objectifs de sécurité de Docapost BPO, évolution de sa structure, de son
organisation ou de ses activités.
 Changement de la législation et/ou de la réglementation, nouvelles normes.
 Evolution des menaces et des enjeux liés au système d’information.
 Adaptation ou évolution du périmètre fonctionnel, technologique ou organisationnel.
 Correction suite à une non-conformité…
6.1.3 Procédures en cas de veille règlementaire et juridique
La veille règlementaire vise à contrôler la prise en compte des impacts des évolutions législatives et
réglementaires en matière de gestion de preuve sur le système d’information du PSGP.
Docapost BPO assure cette veille de façon globale. Néanmoins chaque service de Docapost BPO
conserve son expertise au travers de son métier et s'engage à avertir l’AGP de toute modification en la
matière.
L’AGP assurera la mise en œuvre des modifications induites sur le système d’information suite à la
réunion du Comité de suivi tel que défini précédemment.
6.1.4 Procédure en cas d’évolution fonctionnelle / technique / technologique
Les demandes d’évolutions fonctionnelles sont envoyées à l'AGP par les usagers ou toute autre entité
ou partie du service de gestion de preuve.
Toute demande est transmise au Comité de Suivi afin d’analyser de la nécessité d’actualiser la
Politique e gestion de preuve.
Le Comité identifie si la demande présente un intérêt et décide du lancement de l’instruction de la
demande ou de son rejet.
Restreint – C2
6.2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 26 / 31
Procédures de modifications
6.2.1 Délais de préavis
Le responsable du PSGP doit donner un préavis de quatre-vingt-dix (90) jours aux AC, à l’AH, aux
PSA en relations contractuelles avec le PSGP, et de trente (30) jours aux Entreprises et Contractants avant
de procéder à tout changement de la présente politique qui, selon l’évaluation du responsable de la
politique, ont un impact majeur sur eux.
Le responsable du PSGP doit donner un préavis de trente (30) jours aux AC, à l’AH, aux PSA en
relations contractuelles avec le PSGP, et de quinze (15) jours aux Entreprises et aux Contractants avant de
procéder à tout changement de la présente politique qui, selon l’évaluation du responsable de la politique,
ont un impact mineur sur eux.
Le responsable du PSGP peut modifier la présente politique sans préavis aux Entreprises et aux
Contractants lorsque, selon l’évaluation du responsable de la politique, ces modifications n’ont aucun
impact sur eux.
6.2.2 Forme de diffusion des avis
Dans les cas nécessitant un préavis, le responsable du PSGP doit aviser les AC, l’AH, les PSA en
relations avec le PSGP, les Entreprises, des modifications apportées à la politique, en diffusant les
changements sur le site web du PSGP et par message électronique. Lorsque l’avis est à destination des
AC, de l’AH et des PSA en relations contractuelles avec le PSGP, le préavis est expressément
communiqué.
Lorsque l’avis est à destination des Entreprises, le préavis est communiqué par message électronique si
les changements ont un impact majeur, et diffusé sur le site web du PSGP dans tous les autres cas.
6.2.3 Période de commentaires
Les personnes désirant se prononcer sur les modifications doivent faire parvenir leurs commentaires au
responsable de la politique dans des délais inférieurs à la moitié des délais de préavis fixés.
6.2.4 Traitement des commentaires
Aucune exigence particulière.
6.2.5 Modifications nécessitant l’adoption d’une nouvelle politique
Si un changement de politique a, selon l’évaluation du responsable de la politique, un impact majeur
sur un nombre important d’Entreprises, le responsable de la politique peut, à sa discrétion, instituer une
nouvelle politique avec un nouvel identificateur d’objet (OID).
6.3
Procédure de diffusion et de publication de la PGP et autres documents
6.3.1 Diffusion de la PGP
La PGP est diffusée à l'ensemble des parties concernées par le service de gestion de preuve afin de
permettre à chaque partie de prendre connaissance des principes que le PSGP s'engage à respecter dans le
cadre de la délivrance du service.
Restreint – C2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 27 / 31
6.3.2 Informations publiées
La PGP, les Conditions d’utilisation du service de gestion de preuve, sont disponibles sur le site
Internet du PSGP à l’adresse suivante : http://www.contralia.fr. Elles peuvent également être
communiquées dans le cadre d’une négociation commerciale.
6.3.3 Fréquence de diffusion
La publication de la PGP sera effectuée après chaque modification.
6.3.4 Contrôle de l’accès
La PGP ne sera accessible, pour création ou modification, qu’au seul personnel autorisé du PSGP, et
ce à travers des contrôles d’accès appropriés.
Le service de publication des informations est responsable des conditions de mises en œuvre de
mesures de sécurité aux fins de contrôler l’accès aux informations publiées.
6.4
Contrôle de l’application de la PGP
Le PSGP met en œuvre des procédures et moyens de contrôle interne de l'application et du respect,
par les différentes entités intervenant dans le service de gestion de preuve, des principes définis dans la
PGP et déclinés dans la DPGP.
6.5
Contrôle de conformité des pratiques du PSGP
Un contrôle de conformité permet de déterminer si le comportement réel du PSGP satisfait aux exigences
de la présente Politique.
Cette vérification comprend :
 l'examen de la validité du processus de vérification que le PSGP a mis en place pour valider la
qualité de ses services ;
 une comparaison entre les pratiques du PSGP décrites dans ses procédures et la conformité à ces
procédures.
Ce contrôle de conformité est fait sur demande de l’autorité judiciaire ou sur demande du PSGP, ellemême, selon les conditions précisées dans ses procédures.
Restreint – C2
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 28 / 31
ANNEXES
6.6
ANNEXE 1 Textes juridiques applicables
De nombreuses dispositions légales et réglementaires traitent de la dématérialisation des actes et de leur
signature électronique :
6.6.1 Cadre communautaire











Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la
protection des personnes physiques à l’égard des traitements de données à caractère
personnel et à la libre circulation de ces données (J.OC.E., n° L. 281 du 23 novembre 1995,
p. 31) ;
Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 relative à la
protection des bases de données (J.O.C.E., n° L. 77 du 27 mars 1996, p. 20) ;
Directive 1999/93/CE du Parlement européen et du Conseil du 13 décembre 1999 sur un
cadre communautaire pour les signatures électroniques (J.O.C.E., n° L 013 du 19 janvier
2000, p. 12 et s.) ;
Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à
certains aspects juridiques des services de la société de l’information, et notamment du
commerce électronique, dans le marché intérieur (« directive sur le commerce
électronique ») (J.O.C.E., n° L 178 du 17 juillet 2000, p. 1 et s.) ;
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant
le traitement des données à caractère personnel et la protection de la vie privée dans le
secteur des communications électroniques, (dite « directive vie privée et communications
électroniques ») (J.O.C.E., n° L. 201 du 31 juillet 2002, p. 37) ;
Directive 2002/65/CE du Parlement européen et du Conseil du 23 septembre 2002
concernant la commercialisation à distance de services financiers auprès des
consommateurs et modifiant les directives 90/619/CEE du Conseil, 97/7/CE et 98/27/CE
(J.O.C.E. n° L. 271 du 9 octobre 2002, p. 17 et s) ;
Directive 2003/58/CE du Parlement européen et du Conseil du 15 juillet 2003 modifiant la
directive 68/151/CE du Conseil en ce qui concerne les obligations de publicité de certaines
formes de société (J.O.C.E. n° L. 221 du 4 septembre 2003, p. 13 et s) ;
Décision 2003/511/CE du Parlement européen et du Conseil du 14 juillet 2003 relative à la
publication des numéros de référence de normes généralement admises pour les produits de
signatures électroniques conformément à la directive 1999/511/CE du Parlement et du
Conseil (J.O.C.E., n° L. 175 du 15 juillet 2003, p. 45) ;
Directive n° 2006/24/CE du 15 mars 2006 sur la conservation de données générées ou
traitées dans le cadre de la fourniture de services de communications électroniques
accessibles au public ou de réseaux publics de communications, modifiant la directive n°
2002/58/CE, (J.O.U.E. L 105 du 13 avril 2006, p. 54. Directive dite « du premier pilier ») ;
Directive 2006/112/CE du Conseil du 28 novembre 2006 relative au système commun de
taxe sur la valeur ajoutée (J.O.U.E. L 347 du 11 décembre 2006, p. 1 et s) ;
Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007
concernant les services de paiement dans le marché intérieur, modifiant les directives
97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE
(Texte présentant de l'intérêt pour l'EEE) (J.O.U.E L 319 du 5.12.2007, p. 1 et s) ;
Restreint – C2


CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 29 / 31
Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009
modifiant la directive 2002/22/CE concernant le service universel et les droits des
utilisateurs au regard des réseaux et services de communications électroniques, la directive
2002/58/CE concernant le traitement des données à caractère personnel et la protection de
la vie privée dans le secteur des communications électroniques et le règlement (CE) n o
2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à
l’application de la législation en matière de protection des consommateurs (Texte
présentant de l’intérêt pour l’EEE) (J.O.U.E L 337 du 18 décembre 2009, p. 11 et s) ;
Directive 2009/140/CE du Parlement européen et du Conseil modifiant les directives
2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de
communications électroniques (directive « cadre »), 2002/19/CE relative à l'accès aux
réseaux de communications électroniques et aux ressources associées (directive « accès »),
ainsi qu'à leur interconnexion, et 2002/20/CE relative à l'autorisation des réseaux et
services de communications électroniques (directive « autorisation ») (J.O.U.E L. 337 du
18 décembre 2009, p.37 et s) ;
6.6.2 Cadre français












Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies
de l’information et relative à la signature électronique (J.O. du 14 mars 2000, p. 3968) ;
Loi n°2002-1576 du 30 décembre 2002 de finances rectificatives pour 2002 (J.O. du 31
décembre 2002, p. 22070 et s.) ;
Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (J.O. du 22
juin 2004, p. 11168 et s.)
Ordonnance n°2005-674 du 16 juin 2005 relative à l’accomplissement de certaines
formalités contractuelles par voie électronique (J.O. du 17 juin 2005, p.10342) ;
Ordonnance n°2009-866 du 15 juillet 2009 relative aux conditions régissant la fourniture
de services de paiement et portant création des établissements de paiement (J.O. du 16
juillet 2009 p. 11868 et suivantes).
Décret n° 2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code
civil et relatif à la signature électronique (J.O. du 31 mars 2001, p. 5070) ;
Décret n° 2003-632 du 7 juillet 2003 relatif aux obligations de facturation en matière de
taxe sur la valeur ajoutée et modifiant l’annexe II du code général des impôts et la
deuxième partie du livre des procédures fiscales (J.O. du 9 juillet 2003, p. 11617 et s.).
Décret n° 2003-659 du 18 juillet 2003 relatif aux obligations de facturation en matière de
taxe sur la valeur ajoutée et modifiant l’annexe III du code général des impôts et la
deuxième partie du livre des procédures fiscales (J.O. du 20 juillet 2003, p. 12272 et s.).
Code des marchés publics issu du décret n°2006-975 du 1er août 2006 portant code des
marchés publics, (J.O. du 4 août 2006) ;
Décret n° 2005-137 du 16 février 2005 pris pour l'application de l'article L. 134-2 du code
de la consommation (J.O. du 18 février 2005, page 2780) ;
Décret n°2005-1450 du 25 novembre 2005 relatif à la commercialisation à distance de
services financiers auprès des consommateurs (J.O. du 26 novembre 2005, p. 18364) ;
Instruction fiscale de la Direction Générale des Impôts du 7 août 2003 – Taxe sur la valeur
ajoutée. Obligations des assujettis. Obligations relatives à l’établissement des factures
(Bulletin officiel des impôts, n° spécial, 3 C.A., n° 136 du 7 août 2003) ;
Restreint – C2


6.7
CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 30 / 31
Instruction fiscale de la Direction Générale des Impôts du 24 janvier 2006 sur les contrôles
de comptabilités informatisées (Bulletin officiel des impôts, n°12 13 L-1-06 du 24 janvier
2006) ;
Instruction fiscale de la Direction Générale des Impôts du 11 janvier 2007 sur les
obligations relatives à la conservation des factures – mesure d’assouplissement (Bulletin
officiel des impôts, n°4, 3 E-1-07 du 11 janvier 2007).
ANNEXE 2 Normes et bonne pratiques
Nous donnons ci-après un ensemble de normes et de bonnes pratiques traitant des éléments
indispensables à la constitution des éléments de preuves d’un écrit numérique.

ETSI TS 101 456: "Electronic Signatures and Infrastructures (ESI); Policy requirements
for certification authorities issuing qualified certificates".

ETSI TS 101 733: "Electronic Signatures and Infrastructures (ESI); CMS Advanced
Electronic Signatures (CAdES)".

ETSI TS 101 862: "Qualified Certificate profile".

ETSI TS 101 903: "XML Advanced Electronic Signatures (XAdES)"

ETSI TS 102 042: "Electronic Signatures and Infrastructures (ESI); Policy requirements
for certification authorities issuing public key certificates".

ETSI TS 102 176-1: "Electronic Signatures and Infrastructures (ESI); Algorithms and
Parameters for Secure Electronic Signatures; Part 1: Hash functions and asymmetric
algorithms".

ETSI TR 102 572 TR Electronic Signatures and Infrastructures (ESI); Best Practices for
handling electronic signatures and signed data for digital accounting

ETSI TS 102 573 TS Electronic Signatures and Infrastructures (ESI); Policy requirements
for trust service providers signing and/or storing data for digital accounting

ETSI TS 102 734: "Electronic Signatures and Infrastructures; Profiles of CMS Advanced
Electronic Signatures based on TS 101 733 (CAdES)".

ETSI TS 102 904: "Electronic Signatures and Infrastructures; Profiles of XML Advanced
Electronic Signatures based on TS 101 903 (XAdES)".

CWA 14169: "Secure signature-creation devices "EAL 4+""

CEN CWA 14170: "Security requirements for signature creation applications".

ISO 10014 - Security techniques -- Information security management for inter-sector and
inter-organisational communications

ISO/TR 13028:2010 http://www.iso.org/iso/rss.xml?csnumber=52391&rss=detail - Information
and documentation - Implementation guidelines for digitization of records

ISO 14721 (OAIS) - Systèmes de transfert des informations et données spatiales - Système
ouvert d'archivage d'information - Modèle de référence.

ISO/IEC 15408: "Information technology -- Security techniques -- Evaluation criteria for
IT security".

ISO 15489 - Records Management, stratégie globale pour la traçabilité de l'information et
des responsabilités

ISO/PDTR 15801.2 Document management - Information stored electronically Recommendations for trustworthiness and reliability

ISO 19005 – PDF/A format de conservation des documents

ISO/IEC 27001:2005 - Information technology - Security techniques - Information security
management systems - Requirements.
Restreint – C2








CONTRALIA
OID = 1.2.250.1.229.1.1.1.1.4
11/03/2015
version 4.0
Page 31 / 31
ISO/IEC 27002:2005 - Technologies de l'information -- Techniques de sécurité -- Code de
bonne pratique pour le management de la sécurité de l'information
ISO 30300 MSR Management system records
BS 10008 Evidential weight and legal admissibility of electronic information –
Specification
RFC 3161: Time-Stamp Protocol
AFNOR NF Z42-013 Archivage électronique - Spécifications relatives à la conception et à
l'exploitation de systèmes informatiques en vue d'assurer la conservation et l'intégrité des
documents stockés dans ces systèmes
AFNOR NF Z43-400 Archivage de données électroniques - COM/COLD
Modèle européen MoReq2 (Model Requirements for the Management of Electronic
Records)
Open evidence

Télécharger la politique de gestion de preuve

Transcription

Documents pareils

De l`externalisation au Business Process Outsourcing

Programme - Blog CINOV-IT

Exe 4 Pages RH-130913.indd

Business Process Outsourcing (BPO)

Télécharger PDF

déclaration de perte de certificat d`actions

Certificat de situation administrative simple