Comment fonctionne notre preuve

Un rapport POSITRONIA n'est pas un PDF qui dort. C'est une preuve scellée, horodatée et vérifiable par n'importe qui — sans nous faire confiance. Voici l'escalier de preuve, ce qu'il garantit aujourd'hui, et pourquoi l'horodatage qualifié eIDAS n'est indispensable qu'à une minorité.

Dernière mise à jour :

Un rapport qui se prouve tout seul

Vendre de la conformité oblige à être exemplaire. Un rapport POSITRONIA ne se contente donc pas d'exister : il se prouve. Trois propriétés indépendantes se cumulent, et chacune se vérifie sans nous faire confiance — c'est le principe.

On parle d'un escalier à trois marches. Les deux premières sont gratuites, actives, et déjà très solides. La troisième est un renfort légal qui ne concerne réellement qu'une minorité — on explique précisément laquelle plus bas.

MarcheCe qui est prouvéQui l'atteste
1 — Le sceauIntégrité, authenticité, ordreVous + nous (cryptographie)
2 — L'horodatage tiersUne date attestée par un tiers indépendantUne autorité d'horodatage externe
3 — L'horodatage qualifié eIDASPrésomption légale de la dateUn prestataire qualifié de la liste de confiance EU

Marche 1 — Le sceau cryptographique

Chaque rapport est scellé au moment où il est produit :

  • Intégrité — une empreinte SHA-256 du contenu. Changez un seul caractère, l'empreinte change : toute altération est détectable.
  • Authenticité — une signature Ed25519 : le rapport a bien été produit par votre instance, avec votre clé, et personne d'autre.
  • Ordre — chaque rapport embarque l'empreinte du précédent (chaîne de hash). On ne peut ni insérer, ni retirer, ni réordonner un maillon sans casser toute la chaîne.

La régularité devient elle-même une preuve. Une suite de rapports scellés et chaînés démontre un travail continu et daté d'adaptation à l'évolution réglementaire et technique — c'est souvent l'élément le plus parlant devant un DPO, un avocat ou une autorité : non pas un audit isolé, mais une démarche suivie.

Cette marche est 100 % à nous, 100 % légitime : on ne prétend rien, on applique de la cryptographie standard et vérifiable.

Marche 2 — L'horodatage par un tiers indépendant

Le sceau prouve l'intégrité, l'authenticité et l'ordre — mais sa date repose, seule, sur notre horloge serveur. Pour ancrer cette date à un instant opposable, on fait appel à un tiers.

Le point essentiel : ce tiers n'est pas nous.

  1. On regroupe les empreintes d'un lot de rapports en un arbre de Merkle (le schéma de Certificate Transparency, RFC 6962) et on en calcule la racine — un simple hash. Vos données ne sortent jamais : seul ce condensé circule.
  2. On envoie cette racine à une autorité d'horodatage (TSA) externe, selon le standard RFC 3161.
  3. La TSA la signe avec sa propre clé et sa propre horloge, et nous renvoie un jeton daté.
  4. N'importe qui peut vérifier que ce jeton a été émis par la TSA — pas par nous (openssl ts -verify). Nous ne pouvons pas falsifier sa signature.

C'est donc une date attestée par un tiers indépendant, cryptographiquement vérifiable. On ne peut plus antidater. Cette marche est gratuite et non-bloquante : si la TSA est momentanément indisponible, le rapport reste scellé et sera horodaté au lot suivant — rien n'est jamais perdu.

Honnêteté : à ce stade, l'horodatage est réel et indépendant, mais non qualifié au sens eIDAS. C'est la marche 3 qui ajoute la valeur légale.

Marche 3 — L'horodatage qualifié eIDAS : pour qui, vraiment ?

Le règlement européen eIDAS (910/2014) définit l'horodatage électronique qualifié : émis par un prestataire de services de confiance qualifié (QTSP) inscrit sur la liste de confiance de l'Union. Sa valeur ajoutée tient en un article : Art. 41 — la présomption légale.

Concrètement, devant un juge ou une autorité, la date d'un horodatage qualifié est présumée exacte : c'est à l'adversaire de prouver le contraire. La charge de la preuve est renversée en votre faveur.

Pourquoi ce n'est pas nécessaire pour la grande majorité

La présomption Art. 41 ne change qu'une chose : qui doit prouver la date en cas de litige contentieux où la date exacte est contestée. C'est un scénario que l'écrasante majorité des organisations ne rencontrent jamais.

Pour démontrer une démarche de conformité sérieuse — à un client, un partenaire, un DPO, lors d'un contrôle de routine — l'intégrité cryptographique + l'horodatage tiers indépendant + la régularité de vos scans sont amplement suffisants. Vous prouvez ce que vous avez fait, et quand, de façon vérifiable. La marche 3 ne rend pas cette preuve « vraie » : elle était déjà vraie. Elle déplace seulement la charge dans un prétoire.

Autrement dit : les marches 1 et 2 prouvent les faits. La marche 3 vous avantage dans un procès sur ces faits. Sans procès sur la date, son apport pratique est nul.

Qui est directement concerné

L'horodatage qualifié devient un enjeu réel quand trois conditions se cumulent : un contentieux probable, un enjeu fort, et une date qui sera contestée. En pratique, cela vise des profils précis :

Profil concernéDonnées / enjeux en jeuPourquoi eIDAS compte pour eux
Santé, pharma, dispositifs médicauxDonnées de santé (RGPD Art. 9), essais, pharmacovigilanceConservation probante horodatée souvent exigée ; contentieux à fort enjeu, dates scrutées
Banque, finance, assuranceDonnées financières, KYC/LCB-FT, décisions automatiséesSecteurs où la preuve de date est attendue par le régulateur ; litiges fréquents
Propriété intellectuelle, R&D, secrets d'affairesAntériorité d'une invention, d'un design, d'un secretLa date d'antériorité est l'enjeu : qui a prouvé quoi en premier
Défense, OIV/OSE, secteurs sensiblesDonnées classifiées, infrastructures critiquesExigences contractuelles/réglementaires de traçabilité opposable
Cabinets juridiques, contentieux à fort enjeuPièces probatoires destinées au prétoireLa preuve sera produite devant un juge : la présomption Art. 41 fait gagner du terrain

Si vous ne vous reconnaissez dans aucune de ces lignes — ce qui est le cas de la plupart des solopreneurs, TPE et startups — alors les marches 1 et 2 couvrent très largement votre besoin réel.

Si vous êtes concerné : choisissez votre prestataire dans notre annuaire des Tiers de Confiance Qualifiés EU — tous les QTSP des listes de confiance officielles de l'Union, filtrables par pays et par service (horodatage qualifié en tête). C'est ce même vivier que la connexion BYOK du plan AVANTAGES consomme.

Notre position, sans détour

  • Les marches 1 et 2 sont actives : tout rapport est scellé et horodaté par un tiers indépendant, de façon vérifiable.
  • La marche 3 (qualifié eIDAS) est en cours de raccordement avec un prestataire qualifié de la liste de confiance européenne. Notre architecture la branche par simple configuration, sans changer une ligne de logique : le jour où elle est active, vos rapports en bénéficient automatiquement.
  • Nous n'écrivons jamais « horodatage qualifié eIDAS » sur un rapport qui n'a pas effectivement reçu un jeton qualifié vérifié. Un rapport affiche son niveau réel — ni plus, ni moins. C'est la même exigence d'honnêteté que partout : nous documentons, nous ne certifions pas.

Vérifiez-le vous-même (sans nous)

Une preuve qui exige de croire celui qui la produit n'est pas une preuve. La vôtre se vérifie indépendamment, avec des outils standards et publics. Chaque rapport exporté embarque ce qu'il faut :

Élément exportéCe qu'il permet de vérifierAvec quoi
Le contenu canonique + son empreinte SHA-256Intégrité — rien n'a été altérén'importe quel outil de hash
La signature Ed25519 + la clé publiqueAuthenticité — produit par votre instanceune lib crypto standard
L'empreinte du maillon précédentOrdre — la chaîne est continuerecalcul de proche en proche
La preuve d'inclusion Merkle (root + chemin)Appartenance au lot horodatérecalcul RFC 6962
Le jeton d'horodatage (.tsr) + le certificat de la TSALa date, attestée par un tiersopenssl ts -verify

Concrètement, vérifier la date d'un rapport tient en une commande, sans nous :

# Le jeton horodaté + le certificat du tiers sont fournis avec l'export.
openssl ts -verify -in rapport.tsr -data merkle_root.bin \
  -CAfile tsa_chain.pem
# → "Verification: OK" : un tiers indépendant atteste cette date.

Personne n'a besoin de notre serveur, de notre bonne foi, ni de notre accord pour contrôler une preuve POSITRONIA. C'est le but. (Une vérification guidée en un clic depuis votre Espace Client est prévue — voir la feuille de route ci-dessous.)

Sur notre feuille de route

L'horodatage qualifié eIDAS est inscrit à notre roadmap, et nous le concevons pour qu'il renforce notre indépendance, jamais pour la diluer. Deux voies, volontairement non commissionnées :

  • Connectez votre propre prestataire qualifié (BYOK)voie privilégiée. Si vous disposez déjà d'un prestataire de services de confiance qualifié (beaucoup d'organisations soumises à l'eIDAS en ont un sous contrat), vous le branchez directement : vos rapports sont alors horodatés de façon qualifiée via le prestataire que vous avez choisi. Vous gardez la main, c'est votre relation de confiance — et nous ne touchons rien sur ce choix. C'est, pour nous, la forme la plus honnête : un auditeur indépendant ne se fait pas rémunérer pour orienter vers un fournisseur. Cette capacité de connexion fait partie de l'offre AVANTAGES : vous payez l'intégration à notre plateforme (le connecteur, le stockage chiffré de votre clé, l'horodatage par lot), pas l'eIDAS lui-même — les jetons restent votre relation, et votre facture, avec votre prestataire.
  • Une option « clé en main » — pour qui veut du qualifié sans gérer son propre prestataire, nous prévoyons une option managée, présentée en toute transparence comme une commodité parmi d'autres, jamais comme une recommandation intéressée.

Notre engagement : nous ne percevons aucune commission pour vous orienter vers un prestataire d'horodatage. Ce serait contraire à tout ce que nous sommes — un auditeur indépendant et multi-vendor. Vous restez libre de votre choix.

La force de l'ensemble

Là où un audit classique livre un PDF figé, POSITRONIA livre une preuve vivante : scellée (intégrité + auteur + ordre), horodatée par un tiers, vérifiable par quiconque, et régulière — donc démonstrative d'un effort continu. Pour la quasi- totalité des organisations, c'est déjà l'état de l'art de la preuve de conformité. L'horodatage qualifié eIDAS est un renfort légal disponible pour qui en a réellement besoin, pas un prérequis que nous vous vendons comme indispensable.


Cette page est pédagogique et ne constitue pas un conseil juridique. Pour évaluer si l'horodatage qualifié eIDAS est requis dans votre situation précise, rapprochez- vous d'un expert vérifié de l'Annuaire (DPO ou avocat).