Cahiers ESPI2R

La mise en place d’une variété d’outils essentiels pour garantir l’intégrité des documents dématérialisés1

Sophie Le Mer

Citer cet article

Référence électronique

Le Mer, S. (2022). La mise en place d’une variété d’outils essentiels pour garantir l’intégrité des documents dématérialisés. La dématérialisation comme levier d’optimisation du métier d’asset manager. Pour une meilleure valorisation des actifs de son portefeuille. Mis en ligne le 31 octobre 2022, Cahiers ESPI2R, consulté le 19 avril 2024. URL : https://www.cahiers-espi2r.fr/899

Les outils qui permettent de garantir l’intégrité des documents dématérialisés sont mis en place pour diminuer les risques de contentieux. Ils sont, de part ce fait, des outils de prévisibilité et donc d’amélioration de la sécurité juridique. Ils offrent un gain de temps dans la gestion de l’asset manager et de ses équipes ainsi qu’un gain financier en réduisant les retours à la justice chronophages et onéreux.

L’horodatage comme garantie d’antériorité

La technique de l’horodatage vise, sémantiquement, à chercher à situer dans le temps la genèse du document dématérialisé ; autrement dit, on souhaite garantir son antériorité. Plus concrètement, dans les ordinateurs, il est inclus un système de date avec une horloge interne. Or, celle-ci n’est pas suffisante pour offrir des garanties contractuelles. C’est pourquoi les ordinateurs sont synchronisés via un protocole appelé Network Time Protocol (NTP), qui est normalisé dans la RFC 4330. Cette normalisation demande une précision au centième de seconde.

Pour pouvoir garantir cette antériorité, il faut pouvoir contrôler :

  • la méthodologie du prestataire qui délivre le certificat d’horodatage ;

  • la gestion des clés qui permettent de délivrer l’horodatage ;

  • le format de l’horodatage ;

  • le contenu de l’horodatage ;

  • les règles de vérification de l’horodatage ;

  • les garanties de fiabilité ainsi que les assurances ;

  • les conditions des potentiels audits.

Ces modalités doivent être intégrées dans la convention de preuve. L’horodatage peut s’avérer primordial dans la pratique du métier d’asset manager, puisqu’il donne date certaine au document dématérialisé, entraînant ainsi un anéantissement complet des potentiels litiges sur les dates d’effet des baux par exemple.

La certification comme outil d’authentification du signataire

La certification est une procédure qui consiste, pour une autorité tierce au contrat, à contrôler l’identité du signataire et à lui délivrer une clé personnelle lui permettant de signer. L’autorité peut contrôler ce qui a été signé et apposé à la fin du contrat, le certificat assurant l’intégrité de la signature par rapport au document.

La politique de certification résulte originellement de la législation publique via le RGS. Elle a ensuite été normalisée RFC 3647 publiée par l’Internet Engineering Task Force (IETF).

La convention de preuve doit intégrer la politique de certification qui inclut à minima :

  • la gestion des clés de mise en œuvre ;

  • l’utilisation autorisée des certificats ;

  • les obligations du prestataire de services et de l’utilisateur ;

  • la gestion des clés de production de certificats ;

  • les conditions d’enregistrement des titulaires de certificats ;

  • les conditions de renouvellement des certificats ;

  • le format du certificat ;

  • les conditions de production ;

  • les conditions de vérification ;

  • les conditions de gestion des données personnelles ;

  • les conditions de conservation des dossiers ;

  • les assurances.

Sans la certification, le lien entre le document et la signature ne peut pas être assuré, et le document devient donc contestable.

Le cachet comme signature électronique

La signature électronique a déjà amplement été abordée dans la partie relative au cadre juridique. Elle n’en reste pas moins l’outil fondamental de garantie de l’intégrité des documents dématérialisés et doit donc, au même titre que les autres sections de ce chapitre, être mentionnée.

Dans la pratique, il doit être mentionné dans la convention de preuve de dématérialisation :

  • la description de la pratique de la réalisation ;

  • la liste des certificats utilisables dans le service ;

  • les formats informatiques utilisés pour les deux options dans le service ;

  • la politique de vérification des certificats ;

  • la politique de vérification des signatures électroniques et des cachets.

La traçabilité comme technique de gestion des preuves

La traçabilité est en fait le suivi de la vie d’un document informatique, des actions qui y ont été menées par les utilisateurs. Elle permet de suivre et de reconstruire l’historique du dossier. Il s’agit de connaître l’émetteur, le destinataire, l’objet, le contexte, l’action effectuée, la date de cette action et les modalités de transfert.

Encore une fois, en pratique, la convention de preuve doit mentionner :

  • la description de la pratique de génération, conservation, protection, partage ;

  • la liste des traces et preuves cryptographiques ;

  • la reconnaissance de la validité des traces comme preuves ;

  • la liste des évènements qui donnent lieu à des traces ;

  • un schéma récurrent et prédéfini d’émission de traces permettant de les interpréter ultérieurement ;

  • si c’est une potentielle preuve, il faut donner le format de la preuve, de la signature ou de l’horodatage ainsi qu’un procédé de vérification ;

  • les garanties de confidentialité des données.

La cohérence et l’intégrité des traces doivent être garanties, et les conditions de fourniture des traces accessibles à tout moment.

Il existe plusieurs types de trace. Parmi les plus fréquemment utilisées, on trouve les logs techniques ainsi que les traces applicatives. Les logs techniques sont des traces générées automatiquement par des applications informatiques qui servent à prouver le fonctionnement technique du système. Concrètement, elles permettent de suivre la qualité du service et de trouver les problèmes. Ces logs techniques sont utilisés par les techniciens informatiques, qui doivent respecter les politiques de confidentialité et de gestion des données personnelles des entreprises pour lesquelles ils travaillent. Quant aux traces applicatives, elles doivent être conçues en même temps que le service, avec des interfaces de visualisation permettant aux utilisateurs de consulter les données dès que nécessaire.

L’archivage comme garantie de l’intégrité des documents dématérialisés

Les documents exploités par les entreprises d’asset management qui dématérialisent sont sur support informatique, et leur vie ne s’arrête pas au moment de leur création. Ils ont une importance à long terme, ce qui nécessite de mettre en place un processus d’archivage soit :

  • pour leur valeur juridique, exemple : les baux ;

  • pour leur valeur technique, exemple : les plans ;

  • pour leur valeur patrimoniale, exemple : les actes d’acquisition.

Nous présentons un exemple plus précis quant à la nécessité d’archiver les documents en matière immobilière. Lors de l’acquisition d’un actif auprès d’une société de promotion immobilière, lorsqu’un bâtiment présente des vices plusieurs années après la construction, il faut pouvoir ressortir le cahier des charges initial pour imputer la responsabilité au maître d’ouvrage ou au maître d’œuvre. Dans l’hypothèse d’un document dématérialisé, il faut prouver que le fichier transmis a bien conservé son intégrité. Le système d’archivage doit donc pouvoir permettre de prouver que l’intégrité du fichier est conservée sans limite de temps.

Pour ne pas risquer de perdre l’intégrité des documents, il faut maintenir le format d’origine ainsi que le logiciel de lecture.

Dans le cadre d’un processus de dématérialisation, l’archivage de fichiers doit par ailleurs pouvoir permettre son accès rapide ; il n’est pas une simple sauvegarde stockée.

La convention de preuve doit :

  • identifier la provenance, l’intégrité et la disponibilité des fichiers ;

  • prévoir un plan d’archivage, avec une arborescence, un index et une procédure d’accès ;

  • lister les documents concernés et les restrictions potentielles d’accès ;

  • donner les garanties de conservation : durée (suffisante pour l’exploitation), périodicité, confidentialité, intégrité ;

  • énumérer les conditions techniques d’archivage ;

  • énumérer les modalités de restitution des archives ;

  • donner le processus de traçabilité des actions menées sur le fichier.

La solution à privilégier pour l’archivage des documents dématérialisés dans les sociétés d’asset management est le recours à un coffre-fort électronique. En effet, le stockage sur un disque dur ou sur un serveur externe ne permet pas de garantir la traçabilité et l’intégrité du fichier.

Le coffre-fort électronique garantit :

  • la conservation des documents ;

  • l’intégrité des documents via une empreinte numérique ;

  • leur pérennité grâce au stockage à répétition et à des contrôles réguliers ;

  • leur confidentialité via le chiffrement et un contrôle d’accès ;

  • leur traçabilité.

Le coffre-fort électronique permet de respecter l’admissibilité en tant que preuve du document dématérialisé au sens de l’article 1316-1 du Code civil2 précité.

Plus concrètement, le coffre-fort électronique peut être directement géré par la société d’asset management ou par une entreprise tierce de confiance qui garantit le respect de la politique d’archivage via des labels et des certificats. Pour des questions de facilité de gestion et de responsabilité, il vaut en effet mieux passer par une société tierce de confiance.

Le coffre-fort repose sur la technologie de la cryptographie, qui associe chiffrement, empreinte d’intégrité et horodatage.

1 Source : interview du 22 mars 2019 de Mohamed Tackhtoukh, développeur.

2 NDÉ. Article abrogé par ordonnance n° 2016-131 du 10 février 2016 (article 3).

1 Source : interview du 22 mars 2019 de Mohamed Tackhtoukh, développeur.

2 NDÉ. Article abrogé par ordonnance n° 2016-131 du 10 février 2016 (article 3).

CC BY-NC-ND 2.0 FR sauf pour les figures et les visuels, pour lesquels il est nécessaire d'obtenir une autorisation auprès des détenteurs des droits.