Questions les plus fréquemment posées par les utilisateurs de Transfer.legal
Le service transfer.legal propose une très large palette d’outils vous permettant d’assurer la confidentialité et la traçabilité de vos envois volumineux de données : horodatage, chiffrement, tracking, journalisation… A notre connaissance, c’est la seule solution qui offre à ce jour un aussi grand nombre de services qui respectent la législation sur la gouvernance des données.
Le service s’appuie sur un ensemble de normes françaises, européennes ou internationales dont les plus significatives sont :
- RGS (http://www.ssi.gouv.fr/administration/reglementation/confiance-numerique/le-referentiel-general-de-securite-rgs/) ;
- tronc commun PSCO (ETSI EN 319 401 ) ;
- archivage électronique ( NZ42-013 https://fr.wikipedia.org/wiki/NF_Z_42-013 ) ;
- horodatage (ETSI TS 102-023).
Transfer.legal s’appuie également sur des politiques internes qui décrivent les différents services. Parmi celles-ci, les plus importantes sont :
- la politique des gestion des clés et des secrets ;
- la politique de preuve ;
- la politique d’archivage.
Nous mettons à votre disposition une API pour pouvoir intégrer très facilement le service transfer.legal au sein de votre système d’information.
Vous disposez de deux versions :
- une version REST qui nécessite notamment la connaissance des mécanismes de chiffrement;
- des librairies prêtes à l’emploi que vous pouvez intégrer directement dans vos projets.
Si vous êtes intéressé(e) par l’utilisation de l’API, nous vous remercions de nous contacter directement.
Une transaction peut être de quatre types :
- un envoi de données pour livraison ;
- le téléchargement des données ;
- la demande d’envoi de données (sollicitation) ;
- la réponse à une sollicitation et l’envoi associé.
Pour chacune de ces transactions, un ensemble d’éléments est collecté : l’expéditeur, le ou les destinataire(s), les dates d’envoi et de réception, les événements liés à l’expédition et aux alertes (par sms et email) et un ensemble d’informations techniques permettant d’identifier les parties.
Ces transactions font l’objet d’une consignation dans un journal infalsifiable.
La traçabilité permet de savoir qui a envoyé quoi à qui et à quelle date. Pour s’assurer de la pertinence de ces informations, le service doit utiliser des techniques dites probatoires : horodatage certifié des journaux, chaînage cryptographique…
Un service de preuve va fournir des procédés techniques qui vous permettront de connaître de façon fiable notamment :
- l’identité de l’expéditeur et du destinataire,
- la date de l’envoi et l’existence de la donnée à cette date,
- la date de réception.
L’ensemble de ces preuves peut être produit par la suite pour faire valoir vos droits.
Un service de confiance est plus fiable s’il repose lui-même sur un ensemble d’acteurs certifiés.
C’est une notion que l’on pourrait traduire par une invitation simple : reprenez le contrôle sur vos données ! La plupart des services sont opaques sur la question ou fournissent des explications peu convaincantes sur la localisation réelle des données. Pis, cette localisation commande souvent le régime juridique applicable.et les conséquences pour les propriétaires légitimes peuvent être considérables.
Un tiers horodateur est un service qui atteste de la date d’une donnée et de son existence à cette date. Il s’engage, au-delà de la fiabilité de la date qu’il fournit, à stocker la preuve de cette date (jeton d’horodatage) dans le temps.
Le jeton d’horodatage est émis par un tiers horodateur. Il contient :
- L’empreinte de la donnée (hash) qui a été horodatée ;
- La date et le temps UTC ;
- L’identifiant du certificat qui génère le jeton.
Ce jeton permet de garantir qu’une donnée (représentée sous forme d’une empreinte ou valeur de hachage) est associée à une valeur de temps.
Transfer.legal utilise une partie de la technologie de blockchain notamment pour le journal des événements. En effet, celui-ci utilise le chainage cryptographique entre chaque transaction. Le recours à un tiers de confiance sur chaque transaction permet d’en assurer l’inviolabilité. Bien entendu, il est parfaitement possible d’intégrer la technologie transfer.legal dans une blockchain publique (bitcoins et assimilés) ou privée.
La blockchain est aujourd’hui présentée comme un modèle de confiance alternatif à l’approche traditionnelle. De la confiance, considérée comme la capacité qu’a un autre que soi à délivrer une information ou un service fiable, découle la notion de preuve. Le recours à un tiers est indispensable pour donner une date à un document ou attester de son existence.
Dans une approche classique, le tiers est dit de confiance car il tire sa légitimité d’un environnement légal ou normatif qu’il s’engage à respecter. Il est opéré un contrôle extérieur qui assure cette conformité.
Dans une approche décentralisée, comme le système Bitcoin, la confiance repose sur des modèles de vérification par consensus des acteurs entre eux. Le jeu ainsi mis en place assure la confiance sans besoin de régulation ou de contrôle externe. Le système produit de façon endogamique et par construction sa propre légitimité.
Au-delà de cette approche théorique, les différences concrètes que l’on peut relever sont :
- Le stockage des données : les services de blockchain ne stockent, le plus souvent, que l’empreinte des données. Il revient au propriétaire d’en assurer la pérennité et la conservation dans le temps ce qui est une tâche souvent plus difficile qu’attendu. L’option archivage de transfer.legal permet de garantir la conservation des données sur le long terme ;
- L’engagement contractuel et la prévisibilité : les services de blockchain ne fournissent aucun engagement contractuel de bonne fin des opérations, de pérennité dans le temps, de reprise et de reversibilité des données… Avec des engagements clairs, le service transfer.legal s’engage réellement à vous fournir un service précis et prévisible de ces modalités dans le temps ;
- Anonymat préservé : cet aspect est oublié mais la blockchain, lorsqu’elle est dite publique, ne fournit aucune garantie d’anonymat. Notre service s’appuie sur un log privé qui est uniquement accessible à des auditeurs externes dans des conditions déterminées par des autorités publiques ou par vous-même ;
- La localisation des données : par hypothèse, les données sont disséminées chez l’ensemble des acteurs qui forment le consensus. L’option d’archivage permet de localiser ses données dans le pays de son choix.
Les services habituels sont souvent focalisés sur un cas d’usage :
- Le transfert de fichiers volumineux ;
- Le recommandé électronique de lettre dématérialisée ;
- La collaboration et le partage de fichiers ;
- Le chiffrement des correspondances.
Transfer.legal assure, à la demande, l’ensemble de ces services et y ajoute des éléments de preuve.
Il s’agit d’un engagement contractuel. Dans le cas de l’offre Entreprise, c’est vous qui choisissez le lieu de localisation au sein du service d’archivage.
La fonction d’auditabilité est la garantie de la maîtrise et de la traçabilité complète et permanente des événements survenant sur le système pour pouvoir retracer tous les événements liés aux transactions.
Transfer.legal utilise la technologie de chiffrement AES 256 CBC.
Les données sont chiffrées sur nos serveurs et les clés ne sont accessibles que par vous, après authentification.
Vous pouvez récupérer les clés de chiffrement sur simple demande.
L’authentification peut être définie comme un procédé visant à vérifier l’identification d’une personne physique par des moyens techniques, tels que mot ou phrase de passe, un code secret, une réponse à un défi ou encore une sécurisation numérique (par exemple certificat électronique).
Au sein du service transfer.legal, vous avez accès à différents modes d’authentification en fonction du niveau d’identification que vous exigez du destinataire :
- Uniquement par messagerie électronique ;
- Par l’utilisation d’un OTP ;
- Par l’inscription sur le service.