Horodatage eIDAS : définition, niveau qualifié, application au vote.

Définition de l'horodatage en cryptographie

L'horodatage électronique, au sens cryptographique, désigne le procédé technique qui consiste à attacher à une donnée numérique une attestation de date et d'heure, signée par un tiers, de manière à pouvoir prouver ultérieurement que la donnée existait à l'instant indiqué et qu'elle n'a pas été modifiée depuis. La mécanique repose sur trois primitives cryptographiques : une fonction de hachage (typiquement SHA-256 ou SHA-512) qui produit une empreinte courte et univoque de la donnée, une horloge sécurisée synchronisée sur un référentiel de temps fiable (UTC, généralement) et une signature numérique posée par un certificat émis par un prestataire de confiance. Le tiers qui signe le token devient ainsi le garant de la concomitance entre la donnée et l'instant attesté. La vérification a posteriori est triviale : il suffit de recalculer l'empreinte de la donnée prétendument horodatée, de comparer à celle scellée dans le token et de vérifier la signature du tiers. Toute modification de la donnée produit une empreinte différente et invalide instantanément le token ; toute manipulation du token lui-même invalide la signature. La preuve est donc cryptographique, non répudiable et indépendante de toute confiance accordée à l'organisation qui détient la donnée. C'est cette propriété d'indépendance qui fait la valeur juridique de l'horodatage qualifié — le juge n'a pas à croire l'organisation, il peut vérifier lui-même.

Étymologie et bref historique

Le mot « horodatage » est un composé formé sur « horloge » et « datage », apparu en français à la fin du vingtième siècle pour traduire l'anglais time-stamping. La pratique elle-même est ancienne : depuis l'invention du tampon dateur mécanique au dix-neuvième siècle, l'apposition d'une date par un tiers de confiance est un rituel administratif courant. La transposition numérique date des années 1990, avec les premiers travaux de Stuart Haber et W. Scott Stornetta sur la chaîne de blocs horodatés — travaux fondateurs qui inspireront ultérieurement Bitcoin et plus largement les protocoles blockchain. La RFC 3161 « Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) » publiée par l'IETF en août 2001 standardise le protocole. La directive européenne 1999/93/CE puis le règlement 910/2014 eIDAS construisent le cadre juridique européen qui rendra l'horodatage opposable dans toute l'Union. La France complète ce cadre par le référentiel général de sécurité (RGS) v2.0 publié par l'ANSSI, qui détaille les exigences applicables aux TSP qualifiés français.

La norme RFC 3161 — Time-Stamp Protocol

La RFC 3161 spécifie le protocole d'horodatage utilisé par l'ensemble des TSP qualifiés européens. Le protocole définit deux messages : la Time-Stamp Request (TSR), formulée par le client, et la Time-Stamp Response (également TSR par abus de terminologie, ou plus précisément TST pour Time-Stamp Token), retournée par le TSP. La requête contient l'empreinte cryptographique du document à horodater, un identifiant de l'algorithme de hachage (typiquement SHA-256), un nonce aléatoire destiné à empêcher les attaques par rejeu et un drapeau indiquant si la politique de certification doit être incluse dans la réponse. La réponse contient l'empreinte soumise, la date et l'heure (au format generalizedTime ASN.1 avec précision configurable), une référence à la politique d'horodatage utilisée, un numéro de série unique et la signature du TSP apposée par son certificat qualifié. L'ensemble est encodé en ASN.1 DER et fait typiquement quelques kilooctets. La RFC 3161 est complétée par la RFC 5816 qui ajoute la prise en charge de SHA-2 dans certains champs et par les normes ETSI EN 319 421 et EN 319 422 qui précisent les exigences applicables aux services qualifiés européens.

Le règlement eIDAS UE 910/2014

Le règlement européen 910/2014 du 23 juillet 2014, dit eIDAS pour electronic IDentification, Authentication and trust Services, constitue le socle juridique unifié des services de confiance dans l'Union européenne. Il remplace la directive 1999/93/CE qui laissait subsister des transpositions hétérogènes entre États membres. Le règlement est d'application directe — il ne nécessite pas de transposition nationale — et produit ses effets depuis le 1er juillet 2016. Il définit cinq services de confiance et organise leur supervision. Pour l'horodatage, deux articles sont structurants. L'article 41 pose le principe de non-discrimination : un horodatage électronique ne peut pas être refusé comme preuve au seul motif qu'il est électronique ou qu'il ne satisfait pas aux exigences de l'horodatage qualifié. L'article 42 définit l'horodatage qualifié comme un horodatage respectant trois exigences cumulatives : il associe la date et l'heure à des données de manière à exclure raisonnablement la possibilité d'altération non détectable ; il repose sur une source de temps précise liée au Temps universel coordonné (UTC) ; et il est signé au moyen d'une signature ou d'un cachet électronique qualifié, ou par une méthode équivalente, par le prestataire de services de confiance qualifié. Lorsque ces trois exigences sont satisfaites, l'horodatage bénéficie d'une présomption d'exactitude de la date et de l'heure et d'une présomption d'intégrité des données auxquelles il est lié. La portée probatoire est considérable : un acte horodaté qualifié bénéficie de présomptions légales que la partie adverse doit renverser, alors que pour un horodatage simple c'est à celui qui s'en prévaut d'établir la fiabilité.

Les TSP qualifiés — Trust Service Providers

Le statut de prestataire de service de confiance qualifié, ou TSP qualifié, est délivré par l'autorité nationale de supervision après examen d'un dossier détaillé et après audit de conformité par un organisme accrédité. En France, c'est l'ANSSI qui délivre ce statut sur la base du référentiel général de sécurité (RGS) v2.0 et des normes ETSI applicables. Le TSP qualifié doit notamment démontrer qu'il maintient une horloge sécurisée synchronisée sur UTC, qu'il utilise un module cryptographique sécurisé (HSM) conforme aux normes en vigueur, qu'il assure une disponibilité élevée du service, qu'il conserve les preuves d'émission selon les durées requises, qu'il dispose d'une politique de continuité d'activité et qu'il engage une responsabilité civile par police d'assurance dédiée. L'audit de conformité est annuel et porte sur l'ensemble des exigences. En cas de manquement grave, l'autorité de supervision peut suspendre ou retirer le statut, ce qui prive instantanément le prestataire de la qualification européenne. La liste des TSP qualifiés français est publiée par l'ANSSI et inclut [FACT À CONFIRMER : liste précise des TSP qualifiés FR pour l'horodatage à la date courante]. Les principaux noms du marché français comprennent des prestataires spécialisés de services de confiance et des opérateurs intégrés à des PKI nationales.

Liste de confiance européenne LOTL et listes nationales TL

La Commission européenne publie et tient à jour la List of Trusted Lists (LOTL), un méta-fichier signé qui agrège les listes de confiance nationales (Trust Lists, TL) publiées par chaque État membre. Cette LOTL est consultable publiquement et constitue le référentiel officiel pour vérifier qu'un prestataire dispose bien du statut qualifié. Le format est défini par la norme ETSI TS 119 612. Pour vérifier un token horodaté qualifié, n'importe quelle partie peut récupérer la LOTL, identifier la liste nationale du TSP émetteur, extraire le certificat qualifié utilisé pour signer le token et vérifier la chaîne de confiance jusqu'à l'ancre nationale. Cette transparence cryptographique est l'une des innovations majeures d'eIDAS : la confiance n'est pas accordée par décret administratif mais vérifiée mathématiquement par toute partie intéressée. Sephos archive avec chaque token le contexte LOTL applicable, ce qui permet la vérification indépendante des années plus tard sans dépendre de l'évolution future de la liste.

Niveau simple, niveau avancé, niveau qualifié

Le règlement eIDAS définit trois niveaux pour les services de confiance : simple, avancé et qualifié. Pour l'horodatage, le niveau simple correspond à toute attestation de date qui ne satisfait pas aux exigences renforcées des niveaux supérieurs — typiquement, un horodatage par serveur NTP, un timestamp serveur posé sans signature cryptographique, ou une signature posée par un prestataire non qualifié. Le niveau avancé introduit la signature cryptographique : la date est signée par un certificat numérique permettant d'identifier l'émetteur, mais le prestataire n'est pas qualifié au sens d'eIDAS. La preuve est plus solide qu'un horodatage simple, mais elle ne bénéficie pas des présomptions légales de l'article 42. Le niveau qualifié exige en sus que le prestataire soit qualifié, c'est-à-dire inscrit sur la liste de confiance nationale et soumis à supervision. Seul ce niveau bénéficie de la valeur probante uniforme dans toute l'Union. Pour un acte de vote susceptible de produire des effets juridiques opposables, seul le niveau qualifié offre la sécurité juridique requise. C'est la raison pour laquelle Sephos n'utilise que des TSP qualifiés européens pour les scrutins de ses organisations clientes — un horodatage simple ou avancé pourrait être contesté avec succès en justice et fragiliserait la décision qu'il scelle.

Application au vote en ligne — quels actes horodater

Dans le contexte d'un vote électronique, plusieurs actes critiques exigent un horodatage qualifié pour produire des effets juridiques opposables. Le premier est la clôture du scrutin et le scellement de l'urne : à l'heure de clôture programmée, l'urne électronique doit être scellée par signature cryptographique horodatée, de manière à ce qu'aucun ajout, retrait ou modification ultérieur ne soit possible sans détection. L'horodatage qualifié atteste la date exacte de clôture et l'intégrité du contenu de l'urne à cet instant. Le deuxième acte est la cérémonie de déchiffrement collégial : chaque étape de la cérémonie (apport des fragments de clé par le bureau de vote, reconstitution de la clé, déchiffrement des bulletins) est horodatée pour produire une chronologie opposable. Le troisième acte est la signature du procès-verbal de dépouillement : le PV signé eIDAS qualifié inclut un horodatage qualifié qui scelle la date et l'intégrité du document — c'est le PV qui sera produit en justice ou transmis au greffe en cas de besoin. Le quatrième acte est l'archivage probatoire : les bulletins chiffrés, les fragments de clé, le PV et le journal d'audit sont scellés ensemble par un horodatage qualifié qui atteste leur intégrité au moment de l'archivage et permet la vérification a posteriori. Sephos automatise ces quatre horodatages sans intervention de l'organisateur — le paramétrage est intégré au moteur de scrutin par défaut.

Horodatage du scellement de l'urne

Le scellement de l'urne électronique est l'acte central qui distingue un scrutin sérieux d'un simple sondage. À l'heure de clôture programmée, le serveur Sephos calcule une empreinte cryptographique de l'ensemble des bulletins chiffrés présents dans l'urne, produit une racine de Merkle qui permet la vérification indépendante de chaque bulletin individuel, signe l'ensemble avec la clé du scrutin et soumet l'empreinte à un TSP qualifié pour horodatage. Le token reçu est archivé avec le scellement. Cette opération produit une preuve à valeur probante uniforme dans toute l'Union : à compter de cet instant, tout ajout ou retrait de bulletin invalide le scellement et produit une empreinte différente — la fraude est techniquement détectable. La date du scellement est opposable au sens de l'article 42 d'eIDAS, ce qui clôt le débat sur l'heure de fin du scrutin. Cette mécanique élimine l'une des sources de contentieux récurrentes en vote papier : la contestation de l'heure de clôture du bureau de vote. Voir aussi notre lexique sur l'urne électronique et sur le chiffrement bout-en-bout du vote.

Horodatage du procès-verbal de dépouillement

Le procès-verbal de dépouillement est le document juridique central produit à l'issue d'un scrutin. Pour qu'il soit opposable devant un juge, il doit être signé et horodaté qualifié. Sephos génère automatiquement le PV au format PDF à l'issue de la cérémonie de déchiffrement collégial, le fait signer électroniquement par les membres du bureau de vote avec leur signature qualifiée et y attache un horodatage qualifié émis par un TSP partenaire. L'ensemble — PDF, signatures, horodatage — constitue un document juridique à valeur probante immédiate. Aucune autre démarche n'est nécessaire pour en faire usage en justice : le PV remplit les conditions de l'article 42 d'eIDAS et bénéficie de la présomption d'exactitude de la date et d'intégrité du contenu. Le PV peut être communiqué aux parties par voie électronique et conservé selon la durée légale applicable au type de scrutin concerné. Voir notre page procès-verbal du vote électronique CSE pour le détail du format Cerfa applicable aux élections professionnelles.

Vérification a posteriori d'un horodatage qualifié

L'une des propriétés cardinales de l'horodatage qualifié est sa vérifiabilité indépendante. À tout moment, sans avoir à demander quoi que ce soit au TSP émetteur ni à Sephos, n'importe quelle partie intéressée peut vérifier qu'un token horodaté est authentique, qu'il correspond bien au document prétendument horodaté et qu'il a été émis à la date annoncée. La vérification se fait en quatre étapes. Premièrement, recalculer l'empreinte cryptographique du document avec l'algorithme indiqué dans le token (SHA-256 généralement). Deuxièmement, comparer l'empreinte recalculée à celle scellée dans le token — elles doivent être identiques. Troisièmement, vérifier la signature cryptographique posée par le TSP en utilisant le certificat qualifié inclus dans le token et la chaîne de confiance vers l'ancre racine. Quatrièmement, vérifier que le certificat du TSP était bien qualifié à la date d'émission, en consultant la LOTL européenne archivée pour cette période. Toute implémentation conforme aux normes ETSI peut effectuer cette vérification — il existe des bibliothèques open-source (Bouncy Castle, DSS, etc.) et des outils en ligne de commande (OpenSSL avec extensions). Sephos fournit un endpoint de vérification public qui simplifie cette tâche, mais l'organisation cliente n'est pas dépendante de cet endpoint pour produire la preuve en justice.

Conservation des tokens horodatés dans le temps

La conservation des tokens horodatés obéit à deux logiques superposées. La première est la durée légale applicable à l'acte que le token scelle : quatre ans pour un scrutin CSE (durée du mandat), cinq jours pour les bulletins d'élections politiques ordinaires (article R68 du Code électoral), deux mois minimum pour les résolutions de copropriété susceptibles de recours (article 42 de la loi du 10 juillet 1965), plusieurs années pour les actes patrimoniaux ou fiscaux. La seconde est la durée technique pendant laquelle la signature du TSP reste vérifiable : les certificats des TSP ont une durée de vie limitée (de cinq à dix ans typiquement), et les algorithmes cryptographiques évoluent au fil des recommandations de sécurité. Pour préserver la valeur probatoire dans le temps long, il faut soit renouveler régulièrement l'horodatage (en re-horodatant l'ancien token avec un nouveau TSP qualifié), soit recourir à un service de validation et de conservation qualifié (cinquième service eIDAS). Sephos applique par défaut une conservation de dix ans pour l'audit trail signé eIDAS, qui couvre largement l'ensemble des durées légales applicables, et procède à un renouvellement périodique des tokens les plus anciens pour maintenir leur vérifiabilité.

Différence avec la signature électronique qualifiée

L'horodatage qualifié et la signature électronique qualifiée sont deux services de confiance distincts au sens d'eIDAS, parfois confondus dans l'usage courant. La signature électronique qualifiée atteste qu'une personne physique identifiée a manifesté son consentement sur un document — elle remplace la signature manuscrite et engage juridiquement le signataire (article 25 d'eIDAS). Elle exige un certificat qualifié émis sur un dispositif sécurisé (QSCD) et un processus d'identification renforcé du signataire. L'horodatage qualifié, lui, n'identifie personne : il atteste seulement qu'une donnée existait à un instant et qu'elle n'a pas été modifiée depuis. Les deux services sont complémentaires : un acte signé qualifié sans horodatage qualifié n'a pas de date opposable, et un horodatage qualifié sans signature n'engage personne. C'est pourquoi un procès-verbal de vote sérieux combine les deux : chaque membre du bureau le signe qualifié, et l'ensemble est horodaté qualifié. La valeur probante est alors maximale : présomption d'origine (signature), présomption de date et d'intégrité (horodatage). Voir aussi le règlement eIDAS 2 (UE 2024/1183) qui introduit le portefeuille européen d'identité numérique destiné à simplifier l'usage combiné des deux services.

L'horodatage qualifié dans la pratique Sephos

Sephos a fait le choix architectural d'utiliser exclusivement l'horodatage qualifié pour l'ensemble des actes critiques de ses scrutins : scellement d'urne, cérémonie de déchiffrement, signature de procès-verbal, archivage probatoire. La plateforme route les requêtes vers plusieurs TSP qualifiés européens en bascule automatique, archive les tokens avec leur contexte cryptographique complet (certificat, chaîne LOTL, paramètres) et fournit un endpoint de vérification publique. Le coût marginal de l'horodatage qualifié est intégré aux abonnements sans facturation additionnelle à l'organisation cliente. Le bénéfice juridique est immédiat : tout acte de scrutin bénéficie de la présomption d'exactitude de la date et d'intégrité au sens de l'article 42 d'eIDAS, opposable dans toute l'Union européenne sans formalité. Voir l'architecture sécurité complète et demandez une démonstration commentée pour observer le mécanisme sur des données de test.