Dernière mise à jour :
Vendre de la conformité oblige à être exemplaire. Un rapport POSITRONIA ne se contente donc pas d'exister : il se prouve. Trois propriétés indépendantes se cumulent, et chacune se vérifie sans nous faire confiance — c'est le principe.
On parle d'un escalier à trois marches. Les deux premières sont gratuites, actives, et déjà très solides. La troisième est un renfort légal qui ne concerne réellement qu'une minorité — on explique précisément laquelle plus bas.
| Marche | Ce qui est prouvé | Qui l'atteste |
|---|---|---|
| 1 — Le sceau | Intégrité, authenticité, ordre | Vous + nous (cryptographie) |
| 2 — L'horodatage tiers | Une date attestée par un tiers indépendant | Une autorité d'horodatage externe |
| 3 — L'horodatage qualifié eIDAS | Présomption légale de la date | Un prestataire qualifié de la liste de confiance EU |
Chaque rapport est scellé au moment où il est produit :
La régularité devient elle-même une preuve. Une suite de rapports scellés et chaînés démontre un travail continu et daté d'adaptation à l'évolution réglementaire et technique — c'est souvent l'élément le plus parlant devant un DPO, un avocat ou une autorité : non pas un audit isolé, mais une démarche suivie.
Cette marche est 100 % à nous, 100 % légitime : on ne prétend rien, on applique de la cryptographie standard et vérifiable.
Le sceau prouve l'intégrité, l'authenticité et l'ordre — mais sa date repose, seule, sur notre horloge serveur. Pour ancrer cette date à un instant opposable, on fait appel à un tiers.
Le point essentiel : ce tiers n'est pas nous.
openssl ts -verify). Nous ne pouvons pas falsifier sa signature.C'est donc une date attestée par un tiers indépendant, cryptographiquement vérifiable. On ne peut plus antidater. Cette marche est gratuite et non-bloquante : si la TSA est momentanément indisponible, le rapport reste scellé et sera horodaté au lot suivant — rien n'est jamais perdu.
Honnêteté : à ce stade, l'horodatage est réel et indépendant, mais non qualifié au sens eIDAS. C'est la marche 3 qui ajoute la valeur légale.
Le règlement européen eIDAS (910/2014) définit l'horodatage électronique qualifié : émis par un prestataire de services de confiance qualifié (QTSP) inscrit sur la liste de confiance de l'Union. Sa valeur ajoutée tient en un article : Art. 41 — la présomption légale.
Concrètement, devant un juge ou une autorité, la date d'un horodatage qualifié est présumée exacte : c'est à l'adversaire de prouver le contraire. La charge de la preuve est renversée en votre faveur.
La présomption Art. 41 ne change qu'une chose : qui doit prouver la date en cas de litige contentieux où la date exacte est contestée. C'est un scénario que l'écrasante majorité des organisations ne rencontrent jamais.
Pour démontrer une démarche de conformité sérieuse — à un client, un partenaire, un DPO, lors d'un contrôle de routine — l'intégrité cryptographique + l'horodatage tiers indépendant + la régularité de vos scans sont amplement suffisants. Vous prouvez ce que vous avez fait, et quand, de façon vérifiable. La marche 3 ne rend pas cette preuve « vraie » : elle était déjà vraie. Elle déplace seulement la charge dans un prétoire.
Autrement dit : les marches 1 et 2 prouvent les faits. La marche 3 vous avantage dans un procès sur ces faits. Sans procès sur la date, son apport pratique est nul.
L'horodatage qualifié devient un enjeu réel quand trois conditions se cumulent : un contentieux probable, un enjeu fort, et une date qui sera contestée. En pratique, cela vise des profils précis :
| Profil concerné | Données / enjeux en jeu | Pourquoi eIDAS compte pour eux |
|---|---|---|
| Santé, pharma, dispositifs médicaux | Données de santé (RGPD Art. 9), essais, pharmacovigilance | Conservation probante horodatée souvent exigée ; contentieux à fort enjeu, dates scrutées |
| Banque, finance, assurance | Données financières, KYC/LCB-FT, décisions automatisées | Secteurs où la preuve de date est attendue par le régulateur ; litiges fréquents |
| Propriété intellectuelle, R&D, secrets d'affaires | Antériorité d'une invention, d'un design, d'un secret | La date d'antériorité est l'enjeu : qui a prouvé quoi en premier |
| Défense, OIV/OSE, secteurs sensibles | Données classifiées, infrastructures critiques | Exigences contractuelles/réglementaires de traçabilité opposable |
| Cabinets juridiques, contentieux à fort enjeu | Pièces probatoires destinées au prétoire | La preuve sera produite devant un juge : la présomption Art. 41 fait gagner du terrain |
Si vous ne vous reconnaissez dans aucune de ces lignes — ce qui est le cas de la plupart des solopreneurs, TPE et startups — alors les marches 1 et 2 couvrent très largement votre besoin réel.
Si vous êtes concerné : choisissez votre prestataire dans notre annuaire des Tiers de Confiance Qualifiés EU — tous les QTSP des listes de confiance officielles de l'Union, filtrables par pays et par service (horodatage qualifié en tête). C'est ce même vivier que la connexion BYOK du plan AVANTAGES consomme.
Une preuve qui exige de croire celui qui la produit n'est pas une preuve. La vôtre se vérifie indépendamment, avec des outils standards et publics. Chaque rapport exporté embarque ce qu'il faut :
| Élément exporté | Ce qu'il permet de vérifier | Avec quoi |
|---|---|---|
| Le contenu canonique + son empreinte SHA-256 | Intégrité — rien n'a été altéré | n'importe quel outil de hash |
| La signature Ed25519 + la clé publique | Authenticité — produit par votre instance | une lib crypto standard |
| L'empreinte du maillon précédent | Ordre — la chaîne est continue | recalcul de proche en proche |
| La preuve d'inclusion Merkle (root + chemin) | Appartenance au lot horodaté | recalcul RFC 6962 |
Le jeton d'horodatage (.tsr) + le certificat de la TSA | La date, attestée par un tiers | openssl ts -verify |
Concrètement, vérifier la date d'un rapport tient en une commande, sans nous :
# Le jeton horodaté + le certificat du tiers sont fournis avec l'export.
openssl ts -verify -in rapport.tsr -data merkle_root.bin \
-CAfile tsa_chain.pem
# → "Verification: OK" : un tiers indépendant atteste cette date.
Personne n'a besoin de notre serveur, de notre bonne foi, ni de notre accord pour contrôler une preuve POSITRONIA. C'est le but. (Une vérification guidée en un clic depuis votre Espace Client est prévue — voir la feuille de route ci-dessous.)
L'horodatage qualifié eIDAS est inscrit à notre roadmap, et nous le concevons pour qu'il renforce notre indépendance, jamais pour la diluer. Deux voies, volontairement non commissionnées :
Notre engagement : nous ne percevons aucune commission pour vous orienter vers un prestataire d'horodatage. Ce serait contraire à tout ce que nous sommes — un auditeur indépendant et multi-vendor. Vous restez libre de votre choix.
Là où un audit classique livre un PDF figé, POSITRONIA livre une preuve vivante : scellée (intégrité + auteur + ordre), horodatée par un tiers, vérifiable par quiconque, et régulière — donc démonstrative d'un effort continu. Pour la quasi- totalité des organisations, c'est déjà l'état de l'art de la preuve de conformité. L'horodatage qualifié eIDAS est un renfort légal disponible pour qui en a réellement besoin, pas un prérequis que nous vous vendons comme indispensable.
Cette page est pédagogique et ne constitue pas un conseil juridique. Pour évaluer si l'horodatage qualifié eIDAS est requis dans votre situation précise, rapprochez- vous d'un expert vérifié de l'Annuaire (DPO ou avocat).