Terravis révolutionne la SuisseID

Terravis révolutionne la SuisseID

Les transactions électroniques Terravis entre les Offices du registre foncier, les notaires et les banques ont démarré le 23 janvier 2012 dans le canton de Thurgovie.

Les réquisitions envoyées aux Offices du registre foncier sont soumises à des prescriptions de forme et doivent, conformément à la SCSE, être signées avec la SuisseID. Terravis fournit pour ce faire un service de signature centralisé, qui permet aux utilisateurs de générer avec facilité, simplicité et sécurité des signatures SuisseID dans le cadre d’un processus donné.

Terravis est un service de SIX Securities Services qui a vu le jour dans le cadre du projet eGRIS, en collaboration avec les cantons. Il est placé sous la haute surveillance de l’Office fédéral de la justice. Il s’agit du premier portail de renseignements national qui permet à des clients institutionnels d’accéder aux toutes dernières informations des registres fonciers et de la mensuration officielle.

Terravis autorise une communication sûre et standardisée pour les réquisitions notariales concernant la constitution de cédules hypothécaires de registre sans titre ou le rachat de crédits hypothécaires entre banques. Les échanges de données se font électroniquement (fichiers XML et PDF) par des canaux compatibles entre eux. Il n’existe dans le monde aucune solution semblable qui soit utilisée dans la pratique entre ces différentes parties.

Documents PDF signés avec la SuisseID

Différents processus entre les clients institutionnels, les notaires et les Offices du registre foncier sont soumis à des prescriptions de forme. C’est ainsi que, par exemple, les réquisitions adressées aux Offices du registre foncier requièrent la forme écrite. Dans le cadre d’une opération électronique, cela signifie que la réquisition doit être munie d’une signature qualifiée (SuisseID).

Toutes les données nécessitant la forme écrite sont traitées sous la forme de documents PDF dans le système Terravis. Dans le cadre du workflow Terravis, les documents PDF sont signés, individuellement ou collectivement, de manière qualifiée par les utilisateurs au moyen de leur SuisseID personnelle. La signature repose sur un certificat qualifié de QuoVadis, avec utilisation d’un service d’horodatage qualifié.

Service de signature centralisé pour la SuisseID

Jusqu’à présent, les signatures qualifiées ne pouvaient être générées qu’au moyen de smartcards (cartes à puce) ou de tokens UBS, que les utilisateurs devaient avoir sur eux. L’ordonnance révisée concernant la loi sur les signatures ainsi que les directives techniques et administratives sont entrées en vigueur le 1er août 2011. Elles permettent d’avoir recours non seulement des smartcards et des tokens UBS, mais aussi à des services de signature centralisés pour générer des signatures électroniques. Cette nouvelle possibilité, qui est mise en oeuvre pour la première fois dans le cadre du projet Terravis, révolutionne l’utilisation de la SuisseID.

L’utilisateur s’annonce sur le portail Web de Terravis. Il est soumis à une authentification à deux facteurs et peut, dans le cadre du processus concerné, apposer une signature qualifiée sur un document PDF en indiquant son code PIN personnel pour la SuisseID. Sa clé de signature personnelle est ici mémorisée de manière centralisée sur un Hardware Security Module, qui est géré dans l’environnement sûr de QuoVadis.

Utilisation de processus SuisseID existants

L’enregistrement des utilisateurs, la répartition et la gestion des codes PIN personnels ainsi que la révocation de certificats se déroulent comme pour les processus SuisseID déjà en place. Les entreprises peuvent enregistrer elles-mêmes leurs collaborateurs pour permettre à QuoVadis d’effectuer ultérieurement le contrôle d’identité. Autre possibilité: l’identité des collaborateurs peut être enregistrée dans un des fameux centres de vérification d’identité de QuoVadis.

Une fois l’enregistrement effectué, l’utilisateur reçoit son code PIN personnel pour accéder à sa clé de signature, qui est déposée dans lieu centralisé. Si l’utilisateur ne dispose pas encore d’une caractéristique d’authentification à deux facteurs, QuoVadis lui en fournit une.

Une solution d'avant-garde

Cette solution d’avant-garde a été conçue et mise en oeuvre par la société Keyon, en étroite collaboration avec SIX Terravis et QuoVadis. Elle repose sur true-Sign, un produit de la société Keyon qui a déjà fait ses preuves et qui est utilisé par des clients renommés actifs au niveau national et international.

Le respect des prescriptions légales ainsi qu’une répartition et une séparation claires des responsabilités organisationnelles et techniques ont été des aspects déterminants dans le cadre de la conception de la solution.

De nombreux avantages

Les services de signature centralisés offrent, en plus de la signature proprement dite et de la validation de documents, de nombreux autres avantages, dont voici quelques exemples:

  • Gestion centralisée
    Les utilisateurs et les clés de signature peuvent être gérés de manière centralisée. Les processus standard, de renouvellement et d’urgence liés aux certificats peuvent être mis en oeuvre sur la base de processus d’entreprise bien établis.
  • Utilisation contrôlée
    Les certificats conformes à la SCSE ne sont établis que pour des personnes physiques. Dans le cadre de Terravis, le nom de l’entreprise doit impérativement figurer dans le champ « Organisation » du certificat. L’entreprise certifie ainsi que le collaborateur a des liens avec elle (art. 5. al. 2 OSCSE). Par ailleurs, l’entreprise s’engage, dans le cadre de la SuisseID (spécification V1.3, chapitre 2.3.4), à révoquer le certificat d’un collaborateur si, par exemple, ce dernier quitte l’entreprise ou vient à occuper un poste qui n’est pas celui mentionné sur le certificat. Cette exigence doit être prise en compte dans les processus RH des entreprises.
    Etant donné que l’entreprise figure sur le certificat à la vue de tout le monde, il faut veiller à ce que les signatures électroniques ne puissent être utilisées que dans le cadre de l’entreprise et pas pour toutes sortes de buts privés. Avec les smartcards, cela ne pouvait jusqu’à présent se faire que par le biais de directives, mais pas techniquement.
    Par ailleurs, l’accès à la clé de signature peut être limité et contrôlé. L’utilisation d’une clé de signature peut, par exemple, être limitée à une certaine application. Par ailleurs, il est possible de mémoriser de manière centralisée chaque document signé durant une période de temps donnée à des fins d’audit.
  • Vérification contrôlée
    Les services de signature centralisés peuvent être utilisés pour vérifier des documents signés électroniquement. Le résultat de la vérification est présenté de manière claire et figure dans un procès-verbal. D’autres caractéristiques, comme les autorisations de signature, les rôles ou des responsabilités spécifiques, peuvent également être indiqués.
  • Conversion
    Avant la signature des documents, il est possible de convertir ces derniers dans un format unique (par ex. PDF/A) de manière centralisée.

« Le service de signature centralisé est une approche qui comporte des avantages pour la génération et la validation de signatures qualifiées », a déclaré Walter Berli de Terravis. « L’intégration précoce et en souplesse des clients dans les transactions électroniques Terravis ainsi que la génération contrôlée de signatures sont deux caractéristiques majeures de la solution », a-t-il encore ajouté.