La pratique consistant à associer une date et une heure à un événement, appelée « horodatage » ou timestamping en Anglais, trouve son origine dans la nécessité de produire des preuves pour faire valoir un droit lors d’un différend ou d’un litige. Mais comment vérifier l’existence de données électroniques ? Cet article a pour objectif de vous guider dans le processus d’horodatage électronique : définition de l’horodatage, comment cela fonctionne et pourquoi l’utiliser.
Sommaire
- Qu’est-ce que l’horodatage électronique ?
- Quels sont les deux types d’horodatage électronique reconnus ?
- Comment fonctionne l’horodatage électronique ?
- Pourquoi utiliser l’horodatage ?
- Quels documents peut-on horodater ?
- La reconnaissance juridique de l’horodatage électronique comme preuve numérique
- Présomption de fiabilité en faveur des horodateurs électroniques qualifiés
Qu’est-ce que l’horodatage électronique ?
Origine de l’horodatage
Tous les systèmes informatiques sont équipés d’une horloge en temps réel qui indique la date et l’heure actuelles pour diverses opérations effectuées sur l’appareil, comme la création d’un fichier ou l’envoi d’un courriel. Ces horloges gardent l’heure exacte même lorsque l’appareil est éteint, car non seulement elles sont alimentées par une batterie située sur la carte mère de l’ordinateur, mais elles sont également connectées à Internet. En tant que telle, cette horloge interne de l’ordinateur fournit déjà une forme d’horodatage électronique, mais elle n’est pas fiable. Non seulement nous pouvons manipuler la date et l’heure dans le logiciel, mais nous pouvons également altérer l’horloge du système pour modifier la date et l’heure associées aux enregistrements dans les journaux d’événements, le système de fichiers ou les transactions de base de données.
Définition de l’horodatage
Afin d’obtenir la même fiabilité que celle apportée par l’horodatage d’un certificat par un bureau d’enregistrement, la réglementation initiale prévoyait la participation d’un tiers de confiance au processus d’horodatage électronique. L’horodatage a été défini pour la première fois à l’article 1 de l’arrêté du 20 avril 2011 comme le « mécanisme associant une représentation de données à un instant donné et attestant de l’existence de la représentation de ces données à cet instant au moyen d’un jeton d’horodatage [qui] comporte un cachet du prestataire d’horodatage électronique établi à partir des données de signature du jeton d’horodatage ». Cette définition de l’horodatage électronique présuppose donc le recours à un prestataire de confiance, ce qui exclut de fait certaines formes d’horodatage électronique.
Quelques années plus tard, en 2014, le règlement de l’Union européenne sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement européen eIDAS a été adopté. Il vise à permettre la libre circulation des jetons d’horodatage et donc à faciliter les échanges pour plus de 400 millions de personnes. Dans ce règlement, l’horodatage électronique est défini plus largement comme « une donnée sous forme électronique qui lie d’autres données sous forme électronique à un moment particulier établissant la preuve que ces dernières données existaient à ce moment « .
A quoi sert l’horodatage électronique ?
L’horodatage électronique est un processus par lequel une date et une heure peuvent être liées électroniquement à d’autres données sous forme électronique pour certifier, avec ou sans l’intervention d’un prestataire de services de confiance, leur existence ou leur exécution à un moment donné et également pour attester de leur contenu à ce moment précis.
Quels sont les deux types d’horodatage électronique reconnus ?
Le site eIDAS regulation mentionne deux catégories d’horodateurs électroniques :
Horodatage simple, non qualifié
Le règlement ne donne pas de définition spécifique de l’horodatage électronique simple. Il est entendu qu’un processus d’horodatage qui ne répond pas aux conditions indiquées dans le règlement européen eIDAS est de type non qualifié.
Horodatage qualifié Eidas
A l’inverse, l’article 42 définit l’horodatage électronique qualifié comme remplissant les conditions suivantes :
- Il lie la date et l’heure aux données de manière à exclure raisonnablement la possibilité que les données soient modifiées de manière indétectable
- Il est basé sur une source de temps précise liée au temps universel coordonné
- Il est signé à l’aide d’une signature électronique avancée ou scellé avec un sceau électronique avancé du prestataire de services de confiance qualifié, ou par une méthode équivalente.
Concernant cette dernière condition, le règlement européen eIDAS laisse place à l’innovation et au développement d’une méthode assurant un niveau de sécurité équivalent à la signature électronique avancée ou au sceau électronique avancé. Il appartient au prestataire de services de confiance de démontrer que sa méthode répond aux exigences fixées par le règlement eIDAS.
Comment fonctionne l’horodatage électronique ?
L’horodatage électronique (avec recours à un prestataire de services de confiance) est un « processus qui lie la représentation d’une donnée à un moment donné ».
Pour horodater des données sous forme électronique (exemple : un contrat, un code source de logiciel, une facture, une prescription médicale électronique, une indication de prix, une case cochée sur un formulaire, un accès à un système d’information), un identifiant unique doit être généré par l’utilisation de la fonction de hachage. Cette étape est essentielle pour créer une représentation fiable et unique des données, c’est-à-dire une empreinte digitale virtuelle. Celle-ci est ensuite transmise à l’autorité du service d’horodatage, qui combine l’empreinte numérique avec la date et l’heure exactes basées sur le temps universel coordonné (UTC).
La fiabilité de cette combinaison est garantie au moyen d’un jeton d’horodatage, qui est un type de certificat signé contenant :
- l’empreinte numérique ou la représentation des données ;
- la date et l’heure UTC ;
- le cachet du jeton d’horodatage.
Selon le décret français sur l’horodatage électronique, le sceau du jeton d’horodatage permet d’identifier « le prestataire de service d’horodatage électronique qui le délivre et assure un lien avec le jeton d’horodatage auquel il est attaché. » Le sceau est généré en utilisant la clé privée de l’autorité d’horodatage et est vérifiable avec une clé publique, communiquée à l’utilisateur par un certificat d’horodatage électronique.
Pourquoi utiliser l’horodatage ?
Dématérialisation des échanges
La dématérialisation de secteurs entiers de l’économie s’est accompagnée d’un besoin d’horodatage électronique pour apporter la preuve de la date et du contenu. Dans de nombreux domaines tels que la propriété intellectuelle, la protection des données personnelles ou l’informatique, il est devenu indispensable de pouvoir apporter la preuve de l’existence d’une donnée à un moment donné. Sans cette preuve, une personne pourrait se voir refuser des droits qui lui sont légitimement dus et/ou être sanctionnée à tort.
Réduction des coûts
Depuis la mondialisation, le coût de l’envoi et du retour des documents par les services postaux traditionnels est considérable. En effet, la plupart des transactions nécessitent un horodatage et une signature. A terme, ce va-et-vient de documents a un impact sur la trésorerie des entreprises impliquées dans la transaction. Grâce à l’horodatage numérique, les navettes de courrier express disparaissent pour laisser place à de simples clics. Le gain de temps et d’argent est considérable si l’on tient compte du coût d’un jeton. Le système des jetons d’horodatage, ou contremarques de temps, permet de suivre l’évolution du document horodaté (modification, suppression, ajout, etc.).
Traçabilité des documents horodatés
L’étalonnage de l’horodatage sur des horloges atomiques garantit la traçabilité des documents, et renforce la sécurité numérique. Toute modification sans horodatage remet en cause l’intégrité du document. Avec le règlement européen eIDAS de 2014, le législateur encadre les systèmes d’horodatage électronique en mettant en place certaines exigences techniques afin de garantir leur fiabilité probatoire.
Quels documents peut-on horodater ?
L’horodatage peut être utile dans de nombreux secteurs, en voici quelques exemples :
- Le commerce électronique, pour justifier les prix de référence pour des opérations de promotion (Loi Omnibus)
- La supply chain, pour tracer et contrôler l’origine du produit
- En banque et assurance, pour archiver de manière sécurisée les informations transmises en ligne
- De manière générale, pour aider toutes les entreprises pratiquant de la facturation, pour faire respecter les délais de paiement et calculer les pénalités de retard
La reconnaissance juridique de l’horodatage électronique comme preuve numérique
Les horodateurs, même électroniques, sont admissibles comme preuve devant les tribunaux de l’Union européenne.
Ainsi, un horodatage électronique non qualifié est recevable en justice, notamment lorsque la preuve peut être apportée par tout moyen. En effet, l’article 41§1 du règlement européen eIDAS pose un principe de non-discrimination en matière d’horodatage électronique, l’acceptant comme preuve en justice au même titre que l’horodatage manuel, même s’il ne répond pas aux exigences de l’horodatage électronique qualifié. Il en va de même pour les services d’envoi recommandé électronique non qualifiés.
En Suisse, le règlement SCSE de 2016 offre un cadre juridique similaire à celui de la loi sur la protection des données eIDAS. Bien que SCSE ne fournisse pas de spécifications sur les normes techniques qui doivent être appliquées, le Conseil fédéral suisse reconnaît comme valides les processus qui ont été mis en œuvre conformément aux normes eIDAS. Comme pour eIDAS, SCSE accorde une valeur probante plus élevée aux certificats d’horodatage émis par des prestataires de services de confiance qualifiés.
Présomption de fiabilité en faveur des horodateurs électroniques qualifiés
Contrairement à l’horodatage électronique simple, l’horodatage électronique qualifié bénéficie de la présomption de l’exactitude de la date et de l’heure qu’il indique et de l’intégrité des données auxquelles la date et l’heure sont liées (article 41§2 du règlement européen eIDAS). Cela constitue un avantage important en cas de litige ou de différend, car cela permet de renverser la charge de la preuve et de la faire peser sur la partie qui conteste la fiabilité d’un système d’horodatage qualifié. Dans ce contexte, une partie de la doctrine assimile l’horodatage électronique qualifié à la version électronique de la notion juridique de « date certaine ».
Par extension, en France, l’article L100 du code des postes et communications électroniques dispose que le recommandé électronique est l’équivalent du recommandé physique dès lors qu’il répond aux exigences de l’article 44 du règlement européen eIDAS, notamment en ce qui concerne l’utilisation d’un horodatage électronique qualifié. Dans ce cas, les données envoyées et reçues au moyen d’un service d’envoi recommandé électronique qualifié bénéficient, entre autres, d’une présomption quant à l’intégrité des données et à l’exactitude de la date et de l’heure d’envoi et de réception. En effet, l’horodatage électronique appliqué au courrier recommandé présente un avantage par rapport au courrier recommandé physique, car l‘horodatage électronique certifie non seulement la date mais aussi le contenu, ce que ne fait pas le courrier recommandé physique.
Ainsi, lorsque Evidency, un tiers de confiance dans le processus d’horodatage électronique, horodate des documents électroniques tels qu’une facture, un prix de référence ou un dépôt, le jeton de Evidency confère une date certaine aux documents en question et atteste de leur contenu au moment de l’apposition du jeton d’horodatage. En tant que tel, ce contenu ne peut être modifié.
Evidency propose des solutions d’horodatage flexibles, pour s’adapter à vos besoins :
- Prouver la conformité des prix promotionnels
- Assurer la traçabilité de la supply chain
- Apporter la preuve d’un évènement
- Garantir le respect des normes et la préparation des audits
La solution d’horodatage électronique de Evidency est simple à mettre en place, et facile à utiliser.
Clause de non-responsabilité
Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.
L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Evidency. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu’un lien vers ce site Web.