La télé administration s’étend aux PME françaises

Publié le 07/10/2007 par Bertrand Vandevelde - 35 vues

La France, avec 70% de démarches administratives accessibles en ligne et 75 % d’internautes ayant recours à ce type de services télématiques, est parmi les pays européens qui ont résolument optés pour une facilitation de l’administration. Avec les nouvelles dispositions sur la télédéclaration de TVA, le pays franchit un cap supplémentaire.

L’administration en ligne est comme une route à deux sens de circulation. Dans un sens, elle permet à l’administration d’offrir en téléchargement des formulaires et autres documents utiles aux administrés, de manière à diversifier ses canaux de contact et se faciliter la vie. Dans l’autre sens, le système permet à l’administré (citoyen ou entreprise ou autre service de l’administration) de faire parvenir plus aisément les informations qu’il doit envoyer à l’administration. 

 

Exemples frappants : la déclaration d’impôts en ligne ou, pour les entreprises, la télédéclaration et le télépaiement de la TVA.

 

Déjà obligatoires pour les grandes entreprises, la télédéclaration et le télépaiement de la TVA s’étend depuis le 01/01/2007 pour les entreprises dont le chiffre d’affaires de l’exercice précédent est compris entre 760 000 et 1,5 million d’euros (les PME). Toutefois, la technique ayant pris du retard par rapport à la loi, c’est seulement depuis le 10/09/2007 que le système est réellement opérationnel.

 

Comme pour la déclaration en ligne des impôts, le système fonctionne sur base d’un certificat à télécharger sur http://www.impots.gouv.fr/ . Ce certificat permet au navigateur internet sur lequel il est installé de créer un environnement sécurisé avec le serveur du centre des impôts.

 

Comme dans toute téléprocédure administrative ou commerciale, la première question qui taraude les responsables d’entreprise est celle de la sécurisation d’un tel système. En l’espèce, la sécurité repose essentiellement sur la signature électronique et son corollaire qu’est le certificat numérique émis par le PSC (prestataire de services de certificats électroniques). 

 

Le rôle du PSC est donc primordial : il est la clef de voûte du système, puisqu’aussi bien le schéma de la téléadministration est un schéma à trois partenaires : administré, administration et PSC.

 

Outre sa mission principale de garantir l’identité du signataire par son système de certificats, le PSC est également le garant de la traçabilité, de l’archivage et de la confidentialité des téléprocédures.

 

Les autorités de certification peuvent librement exercer leurs activités, sans autorisation préalable, mais elles seront soumises à un contrôle a posteriori confié à la DCSSI (Direction centrale de la sécurité des systèmes d’information).  Les autorités de certification actuellement autorisées sont disponibles via le lien http://www2.impots.gouv.fr/e_service_pro/etp1_certificat.htm .

 

La technique actuelle de sécurisation de la téléadministration

 

Techniquement, la signature électronique s’appuie sur des méthodes de cryptologie asymétrique : le signataire calcule la signature numérique à l’aide d’une clé "privée" qu’il est seul à connaître et à pouvoir mettre en œuvre. Cette signature peut être vérifiée par quiconque grâce à une clé "publique" correspondant à la clé privée.

 

Le PSC permet de garantir que la clé publique est bien celle du signataire et non celle d’un "usurpateur’ essayant de se faire passer pour celui-ci. En délivrant un certificat numérique, le prestataire garantit le lien entre la clé publique et l’identité du signataire.

 

Selon le Décret, pour répondre aux exigences de ce schéma, une signature électronique doit :

 

« Pouvoir garantir que les données de création de signature ne puissent se rencontrer, en pratique, qu’une seule fois et que leur confidentialité soit assurée. Cela signifie que la probabilité de générer deux fois les mêmes données de création de signature électronique doit être extrêmement faible. »

 

Elle « doit également garantir que les données de création de la signature ne pourront être trouvées par déduction et que la signature est protégée contre toute falsification. »

 

« Il faut en outre que les données de création de la signature puissent être protégées de manière fiable par le signataire contre leur utilisation par les tiers. Une fois qu’elles ont été générées par le dispositif, les données de signature doivent donc pouvoir être stockées dans des conditions qui garantissent qu’elles ne pourront pas être usurpées par d’autres que le signataire. Il appartiendra aux normes en cours d’élaboration de préciser les solutions techniques répondant à cette exigence, qui pourront consister dans le stockage de la clé secrète sur un dispositif physique du type de la carte à puce. »

 

« Enfin, il est précisé que les données à signer doivent être librement accessibles par le signataire avant la signature et que le processus de signature ne doit pas les altérer. Il est essentiel, en effet, que le signataire puisse prendre connaissance du document qu’il s’apprête à signer et que le contenu de ce document ne soit en aucun cas être altéré par l’apposition de la signature ».

 

Le certificat, quant à lui, doit comporter un certain nombre d’informations :

« – la mention que le certificat est délivré comme étant qualifié. Cette information est importante pour l’utilisateur qui sera ainsi en mesure de savoir si le procédé de signature électronique qu’il utilise peut ou non bénéficier de la présomption de fiabilité instaurée par la loi ;

 

– l’identification du prestataire de service de certification et l’Etat dans lequel il est établi. Il va de soi que l’utilisateur doit connaître le prestataire de service de certification électronique, afin de mesurer la confiance qu’il peut lui accorder ;

 

– le nom du signataire ou un pseudonyme identifié comme tel. La directive a admis, afin de préserver l’anonymat sur Internet, la possibilité d’utiliser un pseudonyme. Cela ne signifie pas que l’identité du signataire restera inconnue mais seulement que seul le prestataire de prestataire de service de certification électronique sera en mesure de faire le lien entre le pseudonyme et l’identité réelle du signataire. L’usage du pseudonyme est toutefois encadré et il est exigé soit expressément mentionné dans le certificat qu’il s’agit d’un pseudonyme ;

 

– la possibilité d’inclure, au besoin, une qualité spécifique du signataire, en fonction de l’usage auquel le certificat est destiné. Le prestataire de service de certification électronique pourra en effet non seulement garantir l’identité du signataire, mais également attester des pouvoirs en vertu desquels il agit (mandataire d’une société commerciale par exemple) ;

 

– des données de vérification de signature qui correspondent aux données de création de signature sous le contrôle du signataire ;

 

– l’indication du début et de la fin de la période de validité du certificat ;

 

– le code d’identité du certificat ;

 

– la signature électronique avancée qui engage le prestataire de service de certification électronique ;

 

– les limites à l’utilisation du certificat ou à la valeur des transactions pour lesquelles le certificat peut être utilisé ; cette information est fondamentale pour déterminer l’étendue de la responsabilité susceptible de peser sur le prestataire envers l’utilisateur. »

 La liste des prérequis est longue mais c’est le prix à payer pour pouvoir proposer au contribuable un système de téléadministration fiable.