DÉMATÉRIALISER2006 - Analyse des tendances de la dématérialisation et de la sécurité des échanges électroniques
| Rédigé par la rédaction le Mercredi 20 décembre 2006 |
Demateriel vous propose de revivre la conférence plénière de Dématerialiser 2006 qui s’est tenue à Paris le 12 décembre dernier. C’est l’occasion pour ceux qui n’ont pu assister aux interventions de suivre les échanges de spécialistes sur les tendances de la dématérialisation et sur la sécurité des échanges électroniques. Avec la participation de :
- M. Jean SAPHORES, Animateur, Président, FNTC
- M. Pierre GEORGET, Directeur, GS1 France
- M. Jean-Louis FERRACCI, Délégué aux systèmes informatiques, MINEFI
- M. Jean DONIO, Président, COREF (COnfiance et REFérencement)
Introduction : Confiance et dématérialisation
M. Jean SAPHORES
Il est indispensable qu’une chaîne solide unisse les acteurs du marché de la confiance. Pour la garantir, il faut développer et préciser les métiers des Tiers de confiance qui vont permettre, à côté des prestataires et des textes de loi, la vie du document électronique. En gros, il faut expliquer aux usagers qui fait quoi pour dissiper leurs craintes. C’est dans ce sens que va l’entreprise pédagogique qui a été mise en œuvre. Elle a abouti, entre autres, à la publication d’un guide sur la dématérialisation des marchés publics. L’objectif affiché est d’obtenir à terme un label concernant l’ensemble des services de confiance. Mais cette évolution nécessite une implication plus forte des acteurs dans la sécurité des échanges électroniques.
Face à la montée en puissance du processus de dématérialisation (développement de l’e-administration, de la facture électronique, de la dématérialisation des achats publics, de la dématérialisation globale, du recours au certificat électronique pour l’authentification des contrôles d’intégrité, des chaînes complètes intégrant l’ensemble de la vie du document électronique, etc.), un certain nombre d’outils, de procédures, d’attestations, de labellisations et de certifications ont été mis en œuvre. Aujourd’hui, ils concernent essentiellement les services. Ils ont pour but de garantir à l’usager la qualité de ces services et d’assurer ainsi la chaîne de confiance. Cette garantie doit pouvoir s’appliquer aux différents stades de la vie du document électronique, de sa création à son archivage, en passant par son transport. La loi impose ainsi aux entreprises de conserver la trace des flux électroniques durant un certain délai, avant la prescription.
Mais disposer de tels outils ne suffit pas : encore faut-il pouvoir en garantir la mise en œuvre. Comment s’assurer, par exemple, si j’ai besoin de conserver un document électronique dix ans, qu’il sera encore consultable dans huit ou neuf ans ? Et si je l’ai confié à un prestataire qui vient à mettre un terme à son activité, comment récupérer alors le patrimoine électronique de l’entreprise pour le confier à un autre acteur ? Très souvent, on parle de la constitution du document électronique, de son transfert, mais il faut avoir à l’esprit que l’étape essentielle de la vie d’un document, c’est sa conservation, sa pérennisation. De la même façon que les documents papier sont aujourd’hui archivés, les documents électroniques devront à l’avenir être stockés.
Pour dresser un panorama de la situation actuelle, nous allons commencer à parler d’un secteur important, celui de la distribution. Pierre Georget, vous travaillez beaucoup sur l’organisation et la traçabilité de ces flux électroniques. Pouvez-vous nous en dire plus ?
1. Focus sur la distribution
M. Pierre GEORGET
Je dirige GS1 France, organisme dont la vocation consiste à diffuser les standards GS1 dans la chaîne d’approvisionnement et dans la chaîne de demande des produits conditionnés à la consommation finale. Aujourd’hui, le groupe compte 30 000 entreprises adhérentes, essentiellement des industriels, des distributeurs et des prestataires logistiques.
Pour GS1, la dématérialisation a trois grands champs d’intervention. Historiquement, le groupe a commencé à travailler sur la dématérialisation du flux d’informations au sens business process (commandes, avis d’expédition, factures) au milieu des années 1980 ; l’objectif initial était alors simplement d’optimiser ce flux. Néanmoins, dès cette époque, la question de l’archivage s’est posée à nous puisqu’une loi obligeait les entreprises à stocker sur dix ans toutes les informations traduisant un flux physique, donc toute opération commerciale.
Dès le départ, le groupe, confronté à cette obligation, a donc décidé de mettre en place une certification sur les outils et de s’assurer de leur capacité de stockage sur des périodes longues comme sur des périodes très courtes. Il s’agissait, dans ce dernier cas, d’être en mesure de garantir une restitution quasi-immédiate de l’information, pour une raison bien simple : l’une des problématiques de la distribution, c’est d’assurer tous les jours l’approvisionnement des rayons des supermarchés ; il faut pouvoir réagir vite et bien ; or, 90% des produits que vous mettez dans un chariot de supermarché sont réapprovisionnés sous forme électronique. C’est dire si la bonne gestion des échanges économiques entre les partenaires est au cœur de la problématique de la distribution. C’est pourquoi, aujourd’hui, la capacité à restituer ou à renvoyer une commande est une fonction clé de tous les serveurs EDI et des messages électroniques qui opèrent dans ce secteur.
Le deuxième aspect de la dématérialisation qui a intéressé par la suite GS1, c’était celui relatif à la facture électronique. Il fallait assurer la sécurité de l’échange des factures entre les partenaires. Aujourd’hui, près de 10 % des acteurs de la distribution en France font de la facture dématérialisée au sens fiscal du terme, ce qui représente 35 à 40 % des volumes. On le voit, c’est un chiffre considérable.
Enfin, le troisième aspect de la dématérialisation concerne la traçabilité. Depuis le 1er janvier 2005, l’obligation de traçabilité des produits, qui résulte d’une réglementation européenne, s’impose aux entreprises. Il s’agit pour elles d’être capables de fournir immédiatement, au moindre contrôle ou à la moindre crise alimentaire, l’information portant sur la provenance de ses produits, de pouvoir déterminer, à l’échelle n-1, quel fournisseur a participé au processus de fabrication. Il y a également une autre obligation qui leur incombe : elles sont tenues de pouvoir fournir à tout moment et immédiatement (dans un délai de quatre heures pour les informations un peu plus complexes) les informations relatives aux destinataires de leurs produits. Leur rapidité repose évidemment sur leur capacité d’archivage. Or, pour le seul secteur de la distribution, cinq milliards de transactions ont lieu quotidiennement. Dans ces conditions, on voit mal comment le stockage de l’information sous forme papier pourrait permettre aux entreprises de respecter la réglementation en vigueur.
Il semble en réalité impossible de fournir immédiatement une information (sur la provenance de tel produit, par exemple) sans recourir à la dématérialisation. D’où une dématérialisation et un archivage presque systématiques aujourd’hui de la plupart des informations concernant la traçabilité. Là aussi, c’est une réglementation européenne très stricte qui encadre l’obligation de stockage. Il faut préciser toutefois que celle-ci ne concerne pas la totalité de l’information, mais seulement la partie qui a trait au produit à proprement parler (numéro de lot de fabrication, provenance, destination, etc.). Le pouvoir législatif impose donc aux entreprises le stockage d’un certain nombre de liens, centralisés dans un document spécifique qui, dans la chaîne d’approvisionnement, se trouve au cœur de l’échange : l’avis d’expédition.
Un dernier mot sur la traçabilité. A côté des informations que je viens d’évoquer et dont le stockage est imposé, il y a un autre élément à prendre en compte : c’est le cahier des charges. Avant d’être fabriqué, tout produit fait l’objet d’un cahier des charges, particulièrement lorsqu’il est sous-traité. Cet usage est assez répandu dans la distribution, puisque 30 % du volume y font l’objet d’une sous-traitance. Or, les cahiers des charges élaborés par les distributeurs à l’intention de leurs sous-traitants fabricants participent aussi de la traçabilité et doivent, à ce titre, être archivés. C’est pourquoi ils font de plus en plus l’objet de dématérialisation.
M. Jean SAPHORES
Cinq milliards de transactions par jour pour le seul secteur de la distribution : on voit bien que la dématérialisation est un phénomène de grande ampleur. Ce phénomène touche aussi bien le secteur privé que le secteur public. D’ailleurs, on connaît le rôle de l’Etat dans le développement de l’e-administration. Jean-Louis Ferracci va donc maintenant nous apporter quelques précisions sur l’avancement des télé-procédures du côté du Ministère des Finances et sur l’état de la certification dans ce domaine.
2. Focus sur l’administration
M. Jean-Louis FERRACCI
Depuis un an, le MINEFI a pris la décision de mettre en place un certificat pour toutes les télé-procédures déjà existantes ou qui sont appelées à voir le jour dans les mois et les années à venir. Second élément : il va faire en sorte, de façon concertée, de doter un maximum d’usagers de ces certificats ainsi que l’essentiel sinon la totalité des entreprises françaises. Voilà en deux mots le schéma général.
M. Jean SAPHORES
Le certificat s’impose, en effet, comme une nécessité dans le domaine professionnel tout autant que dans le domaine privé. Mais il me semble qu’il pourrait se généraliser plus rapidement auprès du public s’il possédait davantage d’usages. Où en est-on, aujourd’hui, dans la multiplication de ces usages du certificat ? Que permet-il de faire ?
M. Jean-Louis FERRACCI
Aujourd’hui, vis-à-vis du MINEFI, le certificat permet par exemple au particulier qui le possède de consulter son compte fiscal, c’est-à-dire de déclarer aussi bien son revenu que de prendre connaissance de sa situation fiscale. Le premier intérêt, pour l’usager, c’est donc d’avoir désormais un seul guichet d’entrée et une vision globale de sa situation. Mais pour le ministère des Finances, la vision que nous avons du particulier est relativement restrictive dans ce domaine. Nous essayons donc de mettre en œuvre une pédagogie, de sensibiliser à ce problème les jeunes inscrits aux concours de la fonction publique. A terme, l’objectif final est de leur fournir un certificat pour garantir la transaction, de les séduire d’emblée pour les habituer à ce contexte.
Maintenant, en ce qui concerne les attentes du MINEFI, il souhaiterait que le secteur marchand et, plus largement, le secteur privé lui apportent une aide plus conséquente. Il attend lui aussi une diversification massive des usages du certificat tant dans le domaine des télé-procédures que dans celui des procédures à usage marchand, afin que sa démarche ne soit plus perçue exclusivement comme une démarche administrative. Cette critique, en effet, nous est régulièrement adressée : d’une manière générale, l’entreprise reproche à l’administration de lui faire dépenser de l’argent, pour télé-déclarer sa TVA par exemple. Elle considère qu’il est anormal d’avoir à payer pour déclarer ses impôts. C’est pourquoi le MINEFI appelle de ses vœux une généralisation aussi rapide que possible des usages du certificat, et pas seulement dans l’administration. Il est d’ailleurs prêt à adopter des stratégies collaboratives dans ce domaine.
M. Jean SAPHORES
Je vais réagir en tant que chef d’entreprise. Investir dans un certificat électronique, pourquoi pas ? Mais à condition que je puisse en avoir d’autres usages et que je sois reconnu notamment par la totalité des administrations. En définitive, ce qu’attend aujourd’hui le secteur privé de l’administration, c’est une généralisation de ces outils et une diversion de leurs usages. En gros, un outil qui m’est utile partout où je vais et dans tous les efforts administratifs de ma vie, pourquoi pas ? Mais quel intérêt s’il ne me sert qu’à déclarer ma TVA ?
M. Jean-Louis FERRACCI
Cela est indéniable. Mais je me permets toutefois de rappeler que le coût du certificat demandé pour télé-TVA est plus ou moins gagé sur le crédit de trésorerie dont dispose l’entreprise pour sa déclaration. Rapporté sur l’année, il pourrait aisément couvrir sinon tout, du moins une grande partie du prix du certificat. Ce qui est sûr, c’est qu’à l’heure actuelle, l’administration est en train d’élaborer tout un corps réglementaire visant à définir l’usage du certificat pour l’ensemble de l’administration publique. L’objectif de cette politique de référencement intersectoriel de sécurité est de déterminer les critères techniques, législatifs et organisationnels qui rendront possible l’usage d’un certificat pour toutes les télé-procédures de l’Etat. Grâce à ce document, la plupart des administrations devraient pouvoir proposer, d’ici un an ou deux, des télé-procédures sécurisées par ce type de certificat.
M. Jean SAPHORES
Pierre Georget, je me tourne à présent vers vous. Utilisez-vous, pour la distribution, des certificats en matière d’authentification ?
M. Pierre GEORGET
Nous avons effectivement recours à des certificats. Le premier usage s’est imposé à GS1 à la demande d’un certain nombre de distributeurs et de fournisseurs, lorsqu’il a fallu sécuriser les échanges de données informatisées (EDI) sur internet. Dans cette optique, le groupe a distribué des certificats afin d’identifier l’émetteur du message électronique et de sécuriser la transaction. Récemment, nous avons étendu cette distribution à la signature de documents non structurés (des factures non EDI). Pour satisfaire aux obligations imposées par la loi, nous avons donc distribué des certificats destinés, cette fois, à signer les documents factures. Aujourd’hui, la question que nous nous posons naturellement nous aussi, c’est : comment diversifier les usages de ce certificat pour nos adhérents. Ce qui nous manque, c’est un peu de visibilité sur les critères demandés par l’administration à ce sujet.
M. Jean SAPHORES
Je pense, en effet, qu’un certificat aux usages étendus cristallise les attentes des différents acteurs. Le constat de la nécessité d’un outil universel pour se faire connaître, s’authentifier, assurer l’intégrité des échanges et des messages est aujourd’hui largement partagé. Mais il convient cependant de faire un pas de plus dans la mise en œuvre de ces procédures de certification pour renforcer le marché de la confiance. En ce qui vous concerne, Pierre Georget, disposez-vous de procédures de certification ?
M. Pierre GEORGET
Pour GS1, la question de la certification s’est posée rapidement, dès lors que nous avons commencé à réaliser de l’échange de données informatisées. Il s’agissait, à l’époque, de garantir aux adhérents l’interopérabilité des différents outils fournis en vérifiant qu’ils répondaient bien aux spécifications techniques définies. La question s’est d’abord posée pour les traducteurs EDI : le groupe a alors vérifié qu’ils étaient bien capables de traiter les documents tels que définis sous format électronique, et que les données obligatoires définies dans une commande ou dans un avis d’expédition étaient bien respectées. Cette première forme de certification, pour avoir le mérite d’exister, ne reposait pas sur un test réel de l’outil mais sur des vérifications purement théoriques. C’est pourquoi, lors du passage à la facture électronique, ces mesures ont paru tout à fait insuffisantes aux utilisateurs. Essentiellement pour une raison historique, du reste.
Lorsqu’en 1990 le premier texte réglementaire encadrant la facture dématérialisée est sorti, une partie de la législation a chargé un département du MINEFI de procéder lui-même à une labellisation des outils autorisés à faire de la facture électronique. Les entreprises ont été globalement rassurées par cette garantie. Par la suite, cependant, ce département, faisant machine arrière, a décidé d’instaurer un contrôle a posteriori portant sur l’archivage des factures et leur contenu. Les entreprises sont alors revenues vers nous, en raison des garanties que nous offrions, pour nous demander de trouver une solution au problème. Après de longs débats, nous avons décidé de mettre sur pied un comité de certification constitué par des utilisateurs et habilité à délivrer des certificats de conformité aux outils. Pour être certifiés, ces outils doivent répondre à des critères technologiques (interopérabilité…) et juridiques (respect de la réglementation, capacité d’archivage et de restitution de l’information…) très précis.
La traçabilité est également encadrée par un certain nombre de directives européennes transposées à l’échelon national. Elles définissent les fonctionnalités que l’outil doit obligatoirement respecter, tant en termes d’archivage et de flux électronique qu’en termes de correspondance entre le contenu des messages électroniques et les étiquettes codes à barres qui marquent les produits. Depuis le début de l’année 2006, nous avons certifié deux outils de traçabilité (des outils Web en ASP, plutôt destinés aux TPE) capables de recevoir des commandes, d’émettre des avis d’expédition conformes, d’archiver les informations sur la durée réglementaire et d’imprimer en ligne, à la demande de l’utilisateur, les étiquettes correspondant aux avis d’expédition.
Le troisième aspect de la certification que nous avons mis en œuvre concerne les catalogues électroniques. Notre procédure de certification vérifie que les catalogues électroniques assurent bien la qualité des données, en fonction des spécifications définies par les utilisateurs.
M. Jean SAPHORES
On se rend bien compte que sans ces multiples garanties l’utilisateur ne peut pas entrer de façon massive dans la dématérialisation. En ce domaine, toute action non sécurisée n’est pas envisageable. Recourir à une facture électronique, ce n’est pas difficile. Mais reste que si je le fais mal, je mets quand même en cause la récupération de la TVA, qui représente 19,6 % de mes achats et de mes charges externes. Mieux vaut donc disposer d’un visa, d’une certification, d’une labellisation. C’est pourquoi la FNTC a entamé une démarche de labellisation afin de certifier la dématérialisation fiscale, qui mérite d’être mieux encadrée. Jean Donio, vous êtes le président du COREF : quel est cet organisme ? que va-t-il faire ? que propose-t-il aux entreprises ?
3. La labellisation
M. Jean DONIO
Le COREF, COnfiance et REférencement, est un comité de labellisation. Pour comprendre les objectifs du COREF, il faut retourner quelques années en arrière, au moment de l’émergence de tous les problèmes de qualité au début des années 1990. A cette époque, une organisation européenne de la qualité, essentiellement publique, a été créée. Parallèlement à cette réponse du domaine public, il était nécessaire d’avoir une réponse privée à ces questions. C’est l’objectif du COREF, qui a défini des concepts d’organisation, de qualité, d’évaluation avant de les mettre en pratique. Son principe, c’est essentiellement une reconnaissance, par l’intermédiaire d’un label, des efforts que vous consentez dans le domaine de la dématérialisation et des activités qui lui sont liées.
M. Jean SAPHORES
Quels sont les labels existants ? Quels sont ceux en préparation ?
M. Jean DONIO
Initialement, le premier label à avoir vu le jour était orienté FNTC, organisme dont dépendait l’ancêtre du COREF. Devant le succès de cette opération, la décision a été prise de la généraliser à un plus grand nombre d’entreprises, ce qui nécessitait de populariser la notion de label. Or, il était évident que les PME et les PMI n’avaient pas envie d’être toutes soumises aux mêmes procédures, aux mêmes contraintes, aux mêmes analyses, bref au même régime. D’où l’idée de généraliser les groupes d’entreprises autour de la notion de label.
Après avoir pris la suite de son prédécesseur, le COREF s’est finalement détaché, avec son accord, de la FNTC afin de mettre en œuvre un label indépendant et plus général, directement orienté vers les besoins de l’entreprise. Aujourd’hui, le COREF construit progressivement, avec l’aide des entreprises, des regroupements autour de concepts de labellisation par métiers ou par types d’entreprises. Un premier groupe a déjà été créé et le deuxième est sur le point d’être finalisé. Est prévue, en outre, la création de trois autres groupes pour offrir un maximum de possibilités aux PME et PMI.
Pour créer un label, il convient d’abord d’en déterminer le champ d’application (produit, service, société, expertise, type de métier, etc.). La notion de qualité peut ensuite se distribuer dans trois grands ensembles : l’ensemble de la qualité liée aux personnes, l’ensemble de la qualité liée aux produits et services et, pour finir, l’ensemble de la qualité liée aux entreprises. Aujourd’hui, l’accent est surtout mis sur le second ensemble. Après avoir arrêté les modalités de labellisation, il faut ensuite répondre à des règles strictes, contraignantes et internationales. Reste alors à remplir un dossier de labellisation et à se soumettre à une enquête menée par un expert et visant à vérifier les critères retenus (entre 50 et 200, généralement). Si les éléments sont positifs, l’expert propose au COREF la labellisation en rédigeant un rapport dans ce sens. Ce rapport est lui-même examiné par les contrôleurs du COREF qui vérifient non seulement la véracité et la fluidité des indications qu’il contient, mais qui prennent en outre des mesures pour s’assurer, dans un second temps, que toutes les obligations ont bien été remplies. Ce n’est qu’à l’issue de ce lourd processus que le COREF prend la décision de labelliser la société.
Ce label est valable pour une durée limitée, de l’ordre de deux à trois ans, en fonction du type de labels choisi par la société. Ce délai passé, il lui faudra le renouveler. Le renouvellement de label fait intervenir un contrôle plus léger, certes, mais sur une durée plus longue. L’objectif du COREF est de faire émerger, à partir de ce label, un esprit de la qualité et du respect des contraintes. Ce n’est qu’à ce prix que nos économies résisteront à la compétition qui est en train de se dessiner. Je vous signale, au passage, que celle-ci a ses propres critères de qualité, ses propres certifications et ses propres manières d’opérer. C’est donc un combat loyal, mais un combat quand même, qui s’engage et qu’il va falloir remporter.
M. Jean SAPHORES
De nombreuses procédures se mettent en place dans le privé, on a pu le voir à travers l’exemple de GS1 et du COREF. Est-ce que dans le public, M. Ferracci, la démarche sera semblable ? Comment cela se passera-t-il ?
M. Jean-Louis FERRACCI
La démarche adoptée par l’administration est, quoique dans un domaine différent, de nature identique. Ce que souhaite le MINEFI, c’est de pouvoir utiliser des produits à la qualité homologuée et évaluée. Nous avons entamé cette démarche aux alentours de l’année 2000 avec la définition d’une politique de référencement intersectorielle. L’objectif était de vérifier la qualité des produits proposés à une échelle assez globale. Alors qu’auparavant le Ministère n’effectuait que pour lui-même ce travail de certification, il en fait désormais bénéficier l’ensemble de la sphère publique. Autrement dit, un certificat acheté chez une autorité de certification est valable pour toutes les télé-procédures de l’Etat.
En outre, une politique de niveau deux, la politique de référencement intersectorielle de sécurité, devrait être finalisée du point de vue juridique aux alentours du mois de décembre 2006. Sa mise en place effective est prévue pour le premier trimestre 2007. Ce qui fait qu’à cette date, il y aura en France un référentiel de sécurité qui déterminera pour vous un certain nombre de produits, dont les certificats, le niveau de qualité nécessaire pour être reconnu dans les procédures qui sont liées à l’Etat.
Trois niveaux de qualité, techniquement définis par des groupes de travail depuis deux ans, ont été retenus, avec un système d’échelle à étoiles. Le document qui les expose est d’ailleurs publié sur le site du MINEFI. On y trouve le descriptif de la politique de référencement intersectorielle V2. L’intérêt principal du texte est bien évidemment de conformer toute la sécurité en interface avec les procédures de l’Etat. Surtout, pour rejoindre les propos de M. Donio sur la concurrence internationale, il aura l’avantage d’avoir une force internationale du fait de la convergence des normes européennes. Ce genre d’instruments va permettre à des produits différents de se vendre à l’extérieur et de reconnaître des procédures venant de pays étrangers. Aujourd’hui, sur le plan de la sécurité, chaque pays est un peu confiné ; du coup, les normes dégagées ne sont pas toujours interopérables. Dans ce domaine, le but est donc de travailler de la manière le plus uniforme possible et en collaboration avec le maximum de pays.
Conclusion : « La confiance est l’avenir des échanges dématérialisés ».
M. Jean SAPHORES
On voit qu’aujourd’hui une panoplie d’outils partagés (référencement intersectoriel, attestations, normes, interopérabilité, labels) apporte aux usagers de nombreuses garanties et permet d’assurer le service de la chaîne de confiance. Comme vous le disiez si justement, c’est à ce prix que nous pourrons permettre à nos organismes (établissements publics, entreprises, particuliers) de recourir à la dématérialisation en toute sérénité. Ce développement, tout autant que le fort besoin de sécurité qui l’accompagne, sont des nécessités. En définitive, l’avenir des échanges dématérialisés, c’est la confiance en leur sécurité.
Retour à l'article
