Valide au jour de l'impression



Documents pareils
LA VERSION ELECTRONIQUE FAIT FOI

ENJEUX JURIDIQUES DEMATERIALISATION DES CONTRATS A LA SOURCE 21 SEPTEMBRE 2012

LA SIGNATURE ELECTRONIQUE

MEMENTO Version

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

! "! #! $%& '( )* &#* +,

Premier arrêt de la Cour de Cassation sur la preuve électronique Cour de Cassation, Civ. 2, 4 décembre 2008 (pourvoi n )

Manuel d utilisation

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Politique de Référencement Intersectorielle de Sécurité (PRIS)

EDC FAST CONTRAT LA DÉMATÉRIALISATION DES CONTRATS: ASSURANCE, BAIL, INTERIM,

Signature électronique 3.0 Le futur est déjà présent Petit-déjeuner débat du 29 janvier 2014

Signature électronique. Romain Kolb 31/10/2008

Fiche de l'awt Signature électronique

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

TRADUCTION EXTÉRIEURE NON RÉVISÉE

Texte de l'arrêté "Site e-business"

JOURNAL OFFICIEL DE LA REPUBLIQUE ALGERIENNE N 21

LA VERSION ELECTRONIQUE FAIT FOI

POLITIQUE ET LIGNES DIRECTRICES EN MATIERE DE TRACABILITE DES RESULTATS DE MESURE

Dossier de presse L'archivage électronique

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

LA VERSION ELECTRONIQUE FAIT FOI

LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

Les enjeux de la dématérialisation en assurance

Paris, le 14 janvier La directrice des Archives de France. Mesdames et Monsieur les directeurs des centres des Archives nationales

Activité : Élaboration, mise en forme et renseignement de documents

Livre blanc Compta La dématérialisation en comptabilité

PMI PLACE DE MARCHE INTERMINISTERIELLE GUIDE D'UTILISATION UTILISATEUR OPERATEUR ECONOMIQUE

REGLES DE CERTIFICATION MARQUE NF DENTAIRE PARTIE 3 OBTENTION DE LA CERTIFICATION

Dématérialisation et document numérique (source APROGED)

Marché public de services REGLEMENT DE CONSULTATION

Plateforme mutualisée de signature électronique

Obligation de publication des comptes annuels et consolidés de sociétés étrangères

MODELE DE CONVENTION ERDF / <Fournisseur> relative à la dématérialisation fiscale des factures d acheminement

Qu'est-ce que la normalisation?

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise

AVIS D APPEL PUBLIC A LA CONCURRENCE

DEMANDE DES PIÈCES DÉTACHÉES MASERATI CLASSIC

MODALITES D'APPLICATION DE LA KEYMARK. "Refroidisseurs de lait en vrac à la ferme "

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Les principes de la sécurité

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

CONTRAT D ABONNEMENT AU SERVICE DE SIGNATURE ÉLECTRONIQUE CERTIMETIERSARTISANAT CONDITIONS PARTICULIÈRES (Version 3.1)

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

FICHE EXPLICATIVE Système de management de l Énergie (SMÉ)

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

La législation est très stricte sur la sécurité des portes automatiques d où un grand nombre de normes et de règlementations.

SPECIFICATION "E" DU CEFRI CONCERNANT LES ENTREPRISES EMPLOYANT DU PERSONNEL DE CATEGORIE A OU B TRAVAILLANT DANS LES INSTALLATIONS NUCLEAIRES

PROTOCOLE D'ENTENTE ENTRE

2010 GUIDES ET RECOMMANDATIONS GUIDE PRATIQUE

Marquage CE des enrobés bitumineux à chaud QUESTIONS - REPONSES SUR LE MARQUAGE CE DES ENROBES BITUMINEUX A CHAUD

Réalisation de vérifications périodiques obligatoires de bâtiments. Règlement de consultation

Solution de facturation électronique Signée

Evaluation de la conformité du Système de validation Vaisala Veriteq vlog à la norme 21 CFR Part 11

Fiche de l'awt La sécurité informatique

Modalités de transmission du pli par voie électronique

PROGICIEL DE GESTION COMPTABLE ET FINANCIERE, DE GESTION DES RESSOURCES HUMAINES, DE GESTION ELECTORALE

Règlement de la consultation

Politique sur l accès aux documents et sur la protection des renseignements personnels

ACTES PRIS EN APPLICATION DU TITRE VI DU TRAITÉ UE

Lignes directrices relatives à la notion de personnes politiquement exposées (PPE)

Etablissement et dépôt des comptes consolidés et du rapport de gestion consolidé

Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable.

Systèmes de transport public guidés urbains de personnes

REGLES D ATTRIBUTION ET DE SUIVI DE LA CERTIFICATION AMIANTE 1552

Guide sur la sécurité des échanges informatisés d informations médicales

CIMAIL SOLUTION: EASYFOLDER SAE

REGLEMENT DE LA CONSULTATION (RC)

LES IMPACTS SUR VOTRE SYSTEME DE FACTURATION DE LA SIGNATURE ELECTRONIQUE COMME OUTIL DE SECURISATION DE VOS ECHANGES DEMATERIALISES

CODE PROFESSIONNEL. déontologie

2010 GUIDES ET RECOMMANDATIONS

REGLEMENT DE LA CONSULTATION (RC)

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

REGLES GENERALES DE CERTIFICATION HACCP

Enseignement Informatique. Classe de Bac Pro SAPAT

Convention européenne sur la promotion d'un service volontaire transnational à long terme pour les jeunes

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

La dissolution et la liquidation en un seul acte

Audit interne. Audit interne

CAHIER DES CHARGES MARCHE DE SERVICE. LOT UNIQUE : Dématérialisation et reprographie des dossiers de consultation de Maine-et-Loire Habitat

Règlement de la Consultation

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

MARCHE PUBLIC DE FOURNITURES COURANTES ET SERVICES

REGLEMENT DE CONSULTATION

REGLEMENT DE CONSULTATION. MAPA SEPDE - DéGéOM

Rapport d'audit étape 2

en rappelant toutefois que l archivage d un type de document donné (fiches de paie, contrats, etc.) nécessitera une étude juridique spécifique.

Convention Beobank Online et Beobank Mobile

Les crédits à la consommation

Tout savoir sur : La dématérialisation de documents à valeur légale

Le rôle du cachet postal

Encadrement juridique de l e-assurance en France et en Europe

GUIDE sur le bon usage

CONSEIL DE L'UNION EUROPÉENNE. Bruxelles, le 2 juillet 2002 (OR. da/en) 10307/02 EUROPOL 46

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

BELAC Rev Note valable uniquement pour la version en français:

Transcription:

GUIDE TECHNIQUE D'ACCREDITATION DEMATERIALISATION DES DONNEES Première partie : Transmission électronique des rapports sur les résultats Document LAB GTA 09 Révision 00 Novembre 2005 Section Laboratoires

SOMMAIRE 1. OBJET DU DOCUMENT... 3 2. REFERENCES BIBLIOGRAPHIQUES... 3 3. DOMAINE D'APPLICATION... 4 4. MODALITES D'APPLICATION... 4 5. SYNTHESE DES MODIFICATIONS... 4 6. MODALITE DE REEXAMEN... 4 7. ELEMENTS D EXPLICATION CONCERNANT LA SIGNATURE ELECTRONIQUE5 7.1. Contexte réglementaire...5 7.1.1 La loi n 2000-230 du 13 mars 2000...5 7.1.2 Le décret n 2001-272 du 30 mars 2001...6 7.1.3 Le décret n 2002-535 du 18 avril 2002...6 7.1.4 L arrêté du 31 mai 2002...6 7.1.5 L'arrêté du 26 juillet 2004...7 7.1.6 L'ordonnance 2005-674 du 16 juin 2005...7 7.2 Signature électronique et signature électronique présumée fiable...7 7.2.1 Signature électronique...7 7.2.2 Signature électronique présumée fiable...8 8. ETAT DES OFFRES TECHNIQUES... 9 8.1 Comparatif des pratiques "papier" et "signature électronique"...9 8.2 Evaluations de quelques pratiques actuelles...9 8.2.1 Le courriel (e-mail) avec pièce jointe...10 8.2.2 L extranet...10 8.2.3 Les supports d enregistrement numérique tels que les CD, DVD, Clé USB...11 8.2.4 La signature électronique...11 9. RECOMMANDATIONS...12 LAB GTA 09 rév. 00 Novembre 2005 Page 2 sur 13

1. OBJET DU DOCUMENT Les normes NF EN ISO/CEI 17025 et NF EN ISO 15189 définissent les exigences générales concernant la compétence respectivement des laboratoires d'étalonnages, d'essais et d'analyses, et des laboratoires d analyses de biologie médicale. En ligne avec l annexe B de la norme NF EN ISO/CEI 17025, le présent Guide Technique d'accréditation (GTA) définit les recommandations résultant de l'application de cette norme en matière de dématérialisation des données. Cette première partie du guide traite de la transmission par voie électronique des rapports sur les résultats. Ces recommandations, que le laboratoire est libre d'appliquer, sont celles reconnues comme étant les plus appropriées par le Cofrac pour répondre aux exigences du document LAB REF 02 (respectivement LAB LABM REF 02) et de la norme NF EN ISO/CEI 17025 (respectivement NF EN ISO 15189). Dans tous les cas, le laboratoire devra démontrer que les dispositions prises permettent de satisfaire pleinement la norme. Ce guide, élaboré par un groupe de travail du Comité de Section Laboratoires s adresse : aux laboratoires d essais, d analyses, d étalonnage aux évaluateurs du Cofrac, et constitue une base d'harmonisation à leur usage ; aux membres des instances décisionnelles du Cofrac (Comité de Section, Commission Technique d'accréditation, Commission Interne d'examen des Rapports d'audit). 2. REFERENCES BIBLIOGRAPHIQUES Le présent document fait référence ou s'appuie sur les documents et textes de références suivants : NF EN ISO/CEI 17025 (Septembre 2005) : Exigences générales concernant la compétence des laboratoires d'étalonnages et d'essais LAB REF 02 (révision 02 Novembre 2005) : Exigences pour l accréditation des laboratoires selon la norme NF EN ISO/CEI 17025 NF EN ISO 15189 (Octobre 2003) : Laboratoires d analyses de biologie médicales Exigences particulières concernant la qualité et la compétence LAB LABM REF 02 (révision 00 Septembre 2004) : Accréditation des laboratoires selon la norme NF EN ISO 15189 - Prescriptions Directive européenne 1999/93/CE du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques Loi n 2000-230 du 13 mars 2000 portant sur la preuve en matière de technologies électroniques de l'information LAB GTA 09 rév. 00 Novembre 2005 Page 3 sur 13

Décret n 2001-272 du 30 mars 2001 relatif à la mise en place d'une signature sécurisée Décret n 2002-535 du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes de la technologie de l'information Arrêté du 31 mai 2002 relatif à la reconnaissance de la qualification des prestataires de certification électronique et à l accréditation des organismes chargés de l évaluation Arrêté du 28 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l'accréditation des organismes qui procèdent à leur évaluation Ordonnance 2005-674 du 16 juin 2005 relative à l accomplissement de certaines formalités contractuelles par voie électronique Liste de sites Internet consultables sur : www.ssi.gouv.fr 3. DOMAINE D'APPLICATION Ce guide traite spécifiquement de la transmission par voie électronique des rapports sur les résultats émis par les laboratoires. Ainsi, il s'attache à fournir des recommandations en regard des paragraphes 5.10.7, 4.1.5c, 5.4.7.2b et 5.10.2 de la norme NF EN ISO/CEI 17025. Cependant, le thème de la dématérialisation englobe en amont la maîtrise des données et en aval la maîtrise du classement et de l archivage. C est pourquoi ce guide est amené à être complété pour les aspects de la dématérialisation des données autres que la transmission électronique des résultats. Ce guide correspond à l'état de la réglementation au jour de sa publication. Il est de la responsabilité du laboratoire de prendre en compte les évolutions de la réglementation et de la normalisation lors de l'utilisation du présent guide. 4. MODALITES D'APPLICATION Ce guide est applicable à compter du 1 er décembre 2005. 5. SYNTHESE DES MODIFICATIONS Il s'agit de la première version du document ; aucune marque de modification n'est donc indiquée. 6. MODALITE DE REEXAMEN Les dispositions du présent document seront amenées à être modifiées ou complétées, pour tenir compte de l'évolution des pratiques et de "l'état de l'art", notamment techniques. A ce titre, ce document est revu au moins tous les 3 ans et révisé si nécessaire par la Section Laboratoires. LAB GTA 09 rév. 00 Novembre 2005 Page 4 sur 13

7. ELEMENTS D EXPLICATION CONCERNANT LA SIGNATURE ELECTRONIQUE 7.1. Contexte réglementaire Le texte de base en la matière est la directive européenne 1999/93/CE du 13 décembre 1999 qui fixe un cadre communautaire pour les signatures électroniques. Cette directive a été transposée en droit français par une loi et deux décrets d'application. 7.1.1 La loi n 2000-230 du 13 mars 2000 Cette loi portant sur la preuve en matière de technologies électroniques de l information a inséré de nouveaux articles dans le code civil qui stipule : - à l article 1316 : "La preuve littérale, ou preuve par écrit, résulte d une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d une signification intelligible, quels que soient leur support et leurs modalités de transmission". - à l article 1316-3 : "L'écrit sur support électronique a la même force probante que l'écrit sur support papier". Ces deux articles signifient donc qu un document sur support électronique et transmis électroniquement constitue une preuve. La loi prévoit cependant des conditions définies à l article 1316-1 : "L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité". L émetteur doit donc être identifiable de façon certaine et le support utilisé doit permettre la conservation du document dans son intégralité sans que le contenu n en soit altéré. - à l article 1316-4 : "La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, la signature consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque, dans des conditions fixées par décret en Conseil d'etat : - la signature électronique est créée, - l'identité du signataire assurée, - l'intégrité de l'acte garantie". Un procédé de signature électronique peut donc bénéficier d une présomption de fiabilité s il satisfait aux exigences ci-dessus. La signature électronique doit permettre d identifier de façon fiable la personne dont elle émane. - à l'article 1316-2 : "Lorsque la loi n a pas fixé d autres principes, et à défaut de convention valable entre les parties, le juge règle les conflits de preuve littérale en déterminant par tous moyens le titre le plus vraisemblable, quel qu en soit le support." LAB GTA 09 rév. 00 Novembre 2005 Page 5 sur 13

C'est-à-dire que le juge se base sur la loi ou sur une convention (aussi appelée convention de preuve) établie entre les parties. 7.1.2 Le décret n 2001-272 du 30 mars 2001 L article 1316-4 de la loi du 13 mars 2000 est complété par le décret n 2001-272 du 30 mars 2001 relatif à la mise en place d une signature sécurisée. Ce texte définit ainsi la signature électronique : "Signature électronique : une donnée qui résulte de l usage d un procédé répondant aux conditions définies à la première phrase de l article 1316-4 du code civil." "Signature électronique sécurisée : une signature qui satisfait, en outre, aux exigences suivantes : - être propre au signataire, - être créée par des moyens que le signataire puisse garder sous son contrôle exclusif, - garantir avec l acte auquel elle s attache un lien tel que toute modification ultérieure de l acte soit détectable". Le décret du 30 mars 2001 fixe également, à l article 2, les conditions dans lesquelles une présomption de fiabilité doit être attachée au procédé utilisé dans le cas de signatures sécurisées : "La fiabilité d un procédé de signature électronique est présumée jusqu à preuve contraire lorsque : - ce procédé met en œuvre une signature électronique sécurisée (voir plus haut), - établie grâce à un dispositif sécurisé de création de signature électronique et que, - la vérification de cette signature repose sur l utilisation d un certificat électronique qualifié". 7.1.3 Le décret n 2002-535 du 18 avril 2002 Les notions de dispositif sécurisé de création de signature électronique et d utilisation d un certificat électronique qualifié sont définies aux articles 3 à 9 du décret n 2001-272 du 30 mars 2001 complété par le décret n 2002-535 du 18 avril 2002 relatif à l évaluation et à la certification de la sécurité offerte par les produits et les systèmes de la technologie de l information. 7.1.4 L arrêté du 31 mai 2002 Ce texte traite de l'organisation du schéma national volontaire de reconnaissance de la qualification des prestataires. Les certificats qualifiés délivrés par des prestataires certifiés dans le cadre de ce schéma sont présumés remplir les conditions énoncées à l article 6 du décret du 30 mars 2001 - ce schéma vise donc à développer la confiance. Il traite aussi de la responsabilité des prestataires de services de certification électronique (PSCE). En attente de précisions du droit relatif aux relations entre les prestataires délivrant des certificats qualifiés et ceux qui se fient à de tels certificats, les premiers peuvent être présumés responsables (transposition de l article 6 de la directive 1999/93/CE) sauf dans certains cas d imprudence de la part de la personne qui se fie au certificat. LAB GTA 09 rév. 00 Novembre 2005 Page 6 sur 13

7.1.5 L'arrêté du 26 juillet 2004 Ce texte est relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l'accréditation des organismes qui procèdent à leur évaluation. L'évaluation des prestataires de certification électronique est réalisée par des organismes indépendants, eux-mêmes accrédités par le COFRAC, sur la base de critères comme les ressources cryptographiques utilisées, les procédures d'audit interne, la gestion des secrets et la politique de sécurité des prestataires de certification électronique. 7.1.6 L'ordonnance 2005-674 du 16 juin 2005 Ce texte modifie les articles 1369-1 à 1369-11 du code civil. L'article 1369-2 permet de transmettre par courrier électronique les éléments relatifs à l'exécution d'un contrat si le destinataire accepte l'usage de ce moyen. L'article 1369-8 concerne la transmission par voie électronique de courriers recommandés avec accusé de réception. Le procédé utilisé doit permettre "d'identifier le tiers, de désigner l'expéditeur, de garantir l'identité du destinataire et d'établir si la lettre a été remise ou non au destinataire". Ces informations sont présumées fiables si le procédé satisfait à des exigences fixées par un décret en Conseil d'etat (non paru à la date de publication du présent guide). 7.2 Signature électronique et signature électronique présumée fiable 7.2.1 Signature électronique Dans un premier temps, il est important de souligner que la signature électronique, au sens de la directive européenne et des textes réglementaires français n'est pas la numérisation ("scannerisation") d'une signature manuscrite. En effet, la pratique qui consiste à numériser des signatures manuscrites pour insérer dans un document des images de cette signature ne répond pas à la définition et aux exigences des textes réglementaires sur la signature électronique. La signature électronique est un moyen d'authentifier un document en garantissant à la fois l'identité du signataire et l'intégrité du document transmis. Elle est propre au signataire, est créée par des moyens que le signataire puisse garder sous son contrôle exclusif et garantit avec l acte auquel elle s attache un lien tel que toute modification ultérieure de l acte soit détectable. Une signature électronique utilise un certificat électronique de type ICP (infrastructure de clés publiques) ou, en anglais, PKI (Public Key Infrastructures). Un certificat est un ensemble de deux clés (publique et privée) propriété du signataire. Ce certificat repose sur deux principes : - un principe technique : un certificat est mis en œuvre à l'aide d'un dispositif de création de signature électronique (au moyen de clés de cryptage), - un principe organisationnel : le lien entre l'identité du signataire, le certificat électronique et sa période de validité est garanti par une autorité de confiance qui, en quelque sorte, joue le rôle de notaire. LAB GTA 09 rév. 00 Novembre 2005 Page 7 sur 13

Un dispositif de création de signature électronique peut être uniquement logiciel ou intégrer un dispositif matériel. Il peut s'agir : - d'une carte à puce (avec ou sans code secret), - d'un dispositif de reconnaissance biométrique (empreinte digitale, de l'œil, de la voix, ), - d'un appareil d'enregistrement de la "dynamique" de la signature manuscrite, - d'un logiciel installé sur un ordinateur. Ce dispositif protège la clé secrète, permet sa mise en œuvre par le seul utilisateur légitime sans qu'il soit possible de la falsifier et sans qu'il soit possible d'altérer le message. Il existe trois modes (combinables) d'identification du signataire par le dispositif de création de signature électronique : - par code secret (PIN), - par caractéristique biométrique (empreinte digitale, ), - par objet personnel (carte à puce, ). 7.2.2 Signature électronique présumée fiable L'autorité de confiance délivrant le certificat peut être l'organisme d'appartenance du signataire ou un organisme tiers appelé tiers de confiance ou PSCE (prestataire de services de certification électronique). Cet organisme peut être qualifié, au sens de la réglementation française. Il délivre alors des certificats qualifiés. La qualification de ces organismes est évaluée par des organismes de certification indépendants accrédités par le COFRAC. Si la signature électronique s'appuie sur un certificat qualifié comprenant un dispositif de création de la signature certifié, il s'agit alors d'un procédé présumé fiable, sans exigence de démonstration complémentaire. La signature électronique est définie comme signature électronique "simple" dans les autres cas. Cependant, un procédé de signature électronique "simple" n est pas pour autant sans valeur juridique. Toutefois, dans ce cas, en cas de contestation, c est à l'utilisateur de ce procédé de signature électronique qu'il revient d'apporter la preuve de sa fiabilité ou de lui donner, en amont, force probante en vertu de la signature d une convention sur la preuve. LAB GTA 09 rév. 00 Novembre 2005 Page 8 sur 13

8. ETAT DES OFFRES TECHNIQUES 8.1 Comparatif des pratiques "papier" et "signature électronique" Le tableau qui suit présente un comparatif des usages postaux et des nouvelles pratiques en matière de dématérialisation des échanges. Il n'a pas la prétention d être exhaustif ni de donner de valeur absolue dans les niveaux de fiabilité évalués mais il permet de positionner de façon relative les procédés les plus courants. Par ordre croissant de fiabilité pour le critère évalué (de + à +++) Critère évalué Papier Signature électronique Confidentialité (prise de connaissance par un tiers non autorisé) Intégrité Authenticité Horodatage: Datage de l'émission Datage de la réception Non répudiation (assurance du caractère définitif de l acte) + Envoi postal banalisé. ++ Envoi RAR. +++ Remise en main propre. + Papier ordinaire ++ Papier filigrané, non photocopiable. + Marque distinctive imprimée ou pré imprimée. + Signature manuscrite + Cachet de la poste ++ Envoi avec AR +++ Acte réalisé devant un officier public (notaire,...) ++ Chiffrage du document avec certificat du destinataire. +++ Avec signature présumée fiable ou convention de preuve entre émetteur et destinaire ++ Signature électronique +++ Signature électronique présumée fiable ou convention de preuve entre émetteur et destinataire ++ Signature électronique +++ Signature électronique présumée fiable ou convention de preuve entre émetteur et destinataire ++ Utilisation d une signature électronique de la date (système d horodatage) +++ Signature électronique présumée fiable avec système d horodatage garanti par un tiers de confiance 8.2 Evaluations de quelques pratiques actuelles Pour l'ensemble des pratiques illustrées ci-dessous, leur mise en œuvre et leur pertinence sont directement liées : - aux politiques d'entreprise de l'émetteur et du destinataire, - à l'évaluation des risques potentiels et acceptables par les parties, - à la définition contractuelle entre les parties du procédé et de son usage. LAB GTA 09 rév. 00 Novembre 2005 Page 9 sur 13

8.2.1 Le courriel (e-mail) avec pièce jointe Cette pratique permet en principe d'assurer la confidentialité, le message n'étant délivré qu'au destinataire nommé. Il est toutefois recommandé d utiliser une adresse e-mail nominative. Comme dans le cas de l'envoi postal, des risques d'interception du message existent. L'intégrité du document joint, copie d'un document original de référence, n'est assurée qu'en utilisant des formats de fichier protégés autorisant uniquement la lecture et l'impression (par exemple un format de type PDF protégé en écriture). A cet égard il convient de ne jamais oublier qu'aucune protection n'est parfaite et que dans l'absolu, en y allouant les ressources nécessaires, toutes les protections peuvent être franchies. L'archivage d une copie (fidèle et durable) du rapport transmis est un des éléments essentiels permettant de garantir l'intégrité du document transmis par voie électronique. Si cette copie est conservé sous format électronique uniquement, il faut pouvoir démontrer les garanties prises en terme de conservation des données dans le temps (intégrité et permanence de l accès). L'authenticité du message est assurée par l'adresse électronique de l'émetteur. Cependant, il est admis que des risques d usurpation d identité existent. Les accusés de réception retournés automatiquement par la messagerie du destinataire présentent un intérêt pratique mais ne présentent pas nécessairement toutes les garanties attendues en matière de fiabilité des informations transmises (date de réception, de lecture, ). La messagerie électronique présente globalement un niveau de sécurité comparable au courrier postal simple. Les atouts de la messagerie électronique en matière d'efficacité et de rapidité sont à rapprocher des dangers associés en matière de multiplication des erreurs et de leur diffusion à grande échelle. L utilisation de ce type d outil nécessite la mise en place d un contrat (ou convention de preuve) entre l émetteur et le destinataire préalablement à toute transmission électronique. 8.2.2 L extranet Cette pratique consiste à mettre à disposition des documents sur un site Internet à accès restreint. La confidentialité est assurée par une politique adaptée de gestion des profils des utilisateurs. Un des risques potentiels est l'usurpation de l'identité des utilisateurs. L'intégrité des données ou des documents extraits est assurée par l'existence d'originaux qui sont le contenu même de l'extranet. La sauvegarde et l'accessibilité du site (disponibilité de service) doivent être assurés. Comme dans le cas précédent, il est admis que l usurpation de l identité du site constitue un risque potentiel. Le site peut être conçu pour garder trace des accès des utilisateurs. Un extranet développé et administré selon les règles de l'art présente, en principe, un niveau de sécurité supérieur au courrier postal avec des fonctionnalités supplémentaires en terme de traçabilité. LAB GTA 09 rév. 00 Novembre 2005 Page 10 sur 13

L utilisation de ce type d outil nécessite la mise en place d un contrat (ou convention de preuve) entre l émetteur et le destinataire préalablement à toute transmission électronique. 8.2.3 Les supports d enregistrement numérique tels que les CD, DVD, Clé USB S'agissant de medias physiques, le niveau de confidentialité de la transmission est a priori de même nature que pour un document papier : courrier postal, remise en main propre, La confidentialité et l'intégrité du contenu sont assurées de la même façon que par une pièce jointe à un e-mail. De même, ici, l'archivage d une copie fidèle et durable (sous forme papier ou électronique) du rapport transmis est un des éléments essentiels permettant de garantir l'intégrité du document transmis sur le support d enregistrement numérique. A condition qu'il soit non réinscriptible, un support d enregistrement numérique permet d'assurer l'authenticité de l émetteur de la même façon que pour un document papier, par exemple en y apposant un logo et en le signant de façon indélébile. L'accusé de réception est assuré de la même façon que pour un document papier. Comme dans le cas de l utilisation d une messagerie électronique, ce type de support nécessite la mise en place d un contrat (ou convention de preuve) entre l émetteur et le destinataire préalablement à tout échange d information. 8.2.4 La signature électronique La signature électronique présumée fiable permet de répondre sans autre disposition à toutes les exigences, hormis celles relatives à la datation de l'envoi ou de la réception du document (sauf dispositions relatives à l'horodatage). La présomption de fiabilité est garantie par l existence d un certificat qualifié délivré par un tiers de confiance ou prestataire de service de certification électronique (PSCE) qualifié par un organisme de certification accrédité par le Cofrac. La signature électronique "simple" permet de répondre aux mêmes exigences pour autant qu'un contrat (ou convention de preuve) ait été établi entre l émetteur et le destinataire du rapport sur les résultats. En effet, en cas de contestation, le laboratoire devra démontrer la fiabilité du procédé de signature électronique employé. Dans ce cas, le fait de signer, en amont, une convention de preuve avec ses clients constitue juridiquement une force probante pour le laboratoire. Ce contrat doit préciser les outils utilisés pour la transmission par voie électronique, les modes de preuve admissibles entre les parties et les modalités de règlement des conflits en cas de problème. Par ailleurs, si la convention de preuve ne porte pas sur l archivage électronique, une copie fidèle et durable du rapport sur les résultats transmis par voie électronique doit être conservé sous forme papier ou électronique. Dans le cas d une version électronique, il faut pouvoir démontrer les garanties prises en terme de conservation des données dans le temps (intégrité et permanence de l accès). LAB GTA 09 rév. 00 Novembre 2005 Page 11 sur 13

9. RECOMMANDATIONS La richesse, voire la complexité de l'offre en matière d'outils de dématérialisation et de transmission électronique, ainsi que le besoin d'information des laboratoires comme de leurs clients, implique de disposer d'un modèle sur la base duquel le laboratoire conduit sa démarche débouchant sur la définition des pratiques et des outils à mettre en œuvre. La démarche suivante peut être mise en œuvre (cf schéma page suivante) : 1- Identifier les données d'entrée: - besoins des clients, - besoins du laboratoire, - exigences des référentiels, - exigences juridiques. 2- Définir les données de sortie des composantes suivantes : - niveaux de sécurité recherchés ou exigés, - fonctionnalités recherchées, - ergonomie attendue, - performance attendue (coûts, délais), - compatibilité nécessaire des systèmes mis en œuvre. 3- Définir les données de sortie : - pratiques, procédures, outils à mettre en œuvre. Il est essentiel d'assurer la cohérence entre les processus de dématérialisation et de transmission électronique et les processus amont (données brutes, bases de données brutes, traçabilité des traitements, ) et aval (archivage) du système d'information. Le laboratoire doit s'interroger, en liaison avec ses clients et les éventuels tiers concernés (autorités réglementaires, autres utilisateurs des rapports, ) sur la criticité de ses rapports sur les résultats et des risques encourus en cas en cas de falsification, usurpation d'identité, répudiation, etc, afin de pouvoir identifier les pratiques, procédures et outils à mettre en œuvre. Sous couvert de la mise en place de cette démarche, de nombreuses approches, dont quelques unes sont décrites au chapitre 8.2 sont acceptables au regard du référentiel d accréditation. En tout état de cause, pour répondre aux exigences du référentiel d'accréditation, les pratiques et outils mis en œuvre doivent faire l'objet d'une revue. Ils doivent aussi faire l'objet d'une définition contractuelle (convention de preuve) entre les parties s'il ne s'agit pas de signature électronique présumée fiable. Il convient par ailleurs d'être attentif à la transposition dans les pays de l'union de la directive 1999/93/CE. La reconnaissance européenne devrait être acquise mais on peut craindre des différences dans les modalités de transposition de la directive. Sur le plan international, hors de l Europe, la reconnaissance ne peut aujourd hui être envisagée que dans un cadre conventionnel. LAB GTA 09 rév. 00 Novembre 2005 Page 12 sur 13

Besoins laboratoire Besoins client Exigences référentiels Sécurité Performances Fonctionnalités Exigences juridiques Ergonomie Compatibilité Pratiques Procédures Outils LAB GTA 09 rév. 00 Novembre 2005 Page 13 sur 13

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back