Certificat numérique, la signature dématérialisée

Carte d'identité numérique indispensable aux télédéclarations, le certificat permet d'authentifier et de sécuriser les fichiers échangés.
Près de 250 000 entreprises seront tenues de télédéclarer leur TVA dès janvier 2007 (à partir d'un chiffre d'affaires de 760 000 euros). En dehors de l'e-administration, la dématérialisation des échanges
inter-entreprises se banalise. De nouveaux usages qui nécessitent de signer les documents envoyés à l'aide d'un certificat numérique, afin d'attester de l'identité de l'envoyeur et de garantir l'intégrité et la confidentialité des données. Ce
certificat s'obtient auprès d'une autorité de certification, ou AC. Celle-ci est reconnue comme telle si elle respecte une série de procédures (définies dans un document du Minefi) dans la délivrance et la gestion de ces cartes d'identité
numériques. Les AC sont responsables de la validité et de la révocation des certificats. Elles peuvent faire appel à des autorités d'enregistrement, ou AE, qui sont chargées de contrôler l'identité des demandeurs.De fait, pour les entreprises, les principales AC sont Certigreffe (greffes des tribunaux de commerce), Certinomis (filiale de La Poste) et ChamberSign (CCI). L'opérateur de certification, ou OC, est le prestataire technique qui émet
les certificats numériques. Keynectis, l'opérateur majeur sur ce marché, fabrique notamment les signatures pour la déclaration de revenus. Sur le marché des entreprises, on trouve des opérateurs comme CertEurope, qui joue aussi le rôle d'AC. Dans la
pratique, le choix d'un fournisseur est déterminé par plusieurs critères.Dans un premier temps, pour utiliser le même certificat sur téléTVA et pour d'autres échanges, il est nécessaire de se fournir auprès d'une entreprise référencée par le Minefi. Ensuite, le certificat doit être de niveau 3 ou 3+
pour pouvoir être utilisé hors de l'entreprise. Le niveau 3 implique de justifier de son identité par une visite à l'autorité d'enregistrement, le ' + ' signifiant que le certificat est stocké sur
un support non réinscriptible, clé USB ou carte à puce. Un tel certificat coûte environ 60 euros par an. Ces cartes d'identité sont délivrées pour une période de deux ans renouvelable. L'AC est également chargée de mettre à jour les listes des
certificats révoqués (LCR) dans un délai de 24 heures. Ces listes recensent les certificats invalides soit parce qu'ils sont arrivés à expiration, soit parce que l'entreprise détentrice a désiré le révoquer, par exemple suite à la perte d'une
clé USB. Les entreprises destinataires doivent vérifier la validité de la signature. Une fonction partiellement automatisée, puisque le certificat contient le lien vers la liste de révocation de l'AC.