L’inde s’appuie sur son système d’identification biométrique Aadhaar pour permettre à 1,1 milliard de personnes d’utiliser des signatures électroniques juridiquement recevables. « En 2015, une loi a été modifiée, supprimant la nécessité de recourir à des jetons matériels, ce qui a entraîné une formidable augmentation du nombre de signatures électroniques, » explique Tejas Lagad, responsable pour l’Asie de Nexus Group, une société qui joue un rôle important dans le développement numérique de l’Inde.
Aadhaar concerne 1,1 milliard de personnes, ce qui représente 99% des Indiens âgés d’au moins 18 ans. Le système enregistre les données personnelles et biométriques (empreintes digitales et/ou images rétiniennes) de chaque individu, et les associe à un numéro d’identification unique à 12 chiffres.
« Aadhaar a été initialement conçu pour associer les empreintes digitales des personnes à leurs comptes bancaires, de façon à ce que les allocations soient directement versées sur les comptes ; avant cela, la distribution de ces allocations étaient confiée à des agents de l’État, ce qui se traduisait souvent par des détournements. À présent que ce système d’identification biométrique est en place, nous avons tout intérêt à l’utiliser dans d’autres domaines, » ajoute Lagad.
Un de ces domaines d’application est la signature électronique. En l’an 2000, le gouvernement indien a légiféré sur la validité juridique des transactions en ligne, en adoptant une loi appelée IT Act (Information Technology Act).
Jetons matériels : un cauchemar logistique
« La loi prévoyait que pour rendre les signatures électroniques en ligne juridiquement recevables, celles-ci devaient être créées à l’aide de certificats numériques issus de l’identifiant Aadhaar de la personne, et générées sur des supports matériels tels que des cartes à puce ou des jetons avec chiffrement en dur, que les gens devaient avoir avec eux. Cela a été largement utilisé en Inde – mais la population est importante, et la distribution des jetons matériels est rapidement devenue un cauchemar logistique, » raconte Lagad.
Un autre problème était que les jetons engendraient une dépense que tous les Indiens ne pouvaient se permettre.
« Il n’existait pas non plus de solution simple pour utiliser les jetons matériels avec les téléphones mobiles, or en Inde plus de 25% du trafic internet passe par la téléphonie mobile, » ajoute Lagad.
C’est pourquoi en 2015 le gouvernement indien a décidé d’autoriser les services de signature basés sur le cloud, sans nécessiter le recours aux jetons matériels.
« Pour le moment, huit sociétés sont accréditées pour jouer le rôle d’autorités de certification (CA), c’est à dire qu’elles sont autorisées à générer des certificats électroniques, » précise Lagad.
Les services eSign résolvent les problèmes
Quatre des autorités de certification accréditées proposent des services de signature basées sur le cloud, appelés services eSign, aux organisations qui souhaitent intégrer la signature électronique à leurs e-services. Ces sociétés sont appelées des fournisseurs de services eSign.
Lagad : « Si une banque commerciale, par exemple, souhaite proposer la signature électronique juridiquement recevable pour les transactions en ligne, elle achète des services eSign à l’un de ces fournisseurs de services, et la signature pourra être intégrée de façon transparente à l’application bancaire en ligne. ».
Lorsqu’un usager souhaite signer électroniquement une transaction via l’application bancaire en ligne, la banque envoie une requête au fournisseur de services eSign, qui à son tour relaie la requête auprès des services eKYC (electronic Know Your Client) d’Aadhaar. Les services eKYC d’Aadhaar envoie un mot de passe à usage unique au téléphone mobile de l’utilisateur, que ce dernier saisira dans l’application bancaire.
« De son côté, la banque envoie ce mot de passe au fournisseur de services eSign, qui le vérifie auprès des services eKYC d’Aadhaar. Si les mots de passe correspondent, le serveur d’identification d’Aadhaar renvoie les données eKYC de l’utilisateur. À l’aide de ces données, le fournisseur de services eSign génère un certificat électronique à usage unique pour cet utilisateur, et la transaction est signée. Les mots de passe à usage unique ne constituent pas la solution la plus sécurisée au monde, mais en Inde c’est la meilleure méthode, car elle peut être utilisée sur des appareils mobiles bon marché, et ne nécessite pas de connexion internet, » poursuit Lagad.
Une solution logicielle complète
Les signatures électroniques peuvent également s’effectuer à l’aide d’empreintes digitales ou de la reconnaissance rétinienne, mais ces techniques nécessitent l’installation de matériel spécifique chez le fournisseur de services.
Nexus est la seule société présente en Inde qui offre une solution logicielle complète pour les autorités de certification proposant des services eSign.
Lagad : « Notre solution se compose de notre logiciel de certification d’autorité (CA) Certificate Manager, utilisé par de nombreuses organisations à travers le monde, et de notre Serveur eSign, conçu spécifiquement pour répondre aux exigences de l’État indien en matière de signatures basées sur le cloud. »
La solution Nexus a été choisie par l’Autorité indienne de contrôle des certifications (CCA) comme plateforme d’autorité de certification racine, qui accrédite les autres fournisseurs de services proposant les services eSign.
Une croissance exponentielle attendue
« Deux des huit autorités de certification accréditées ont déjà adopté nos solutions, et nous sommes en discussion avec d’autres. Si elles choisissent un autre fournisseur que Nexus, elles obtiendront uniquement l’équivalent de notre Certificate Manager – il leur faudra implémenter elles-mêmes l’équivalent de notre Serveur eSign, car aucun autre fournisseur de CA ne propose ce composant.
« Nous proposons une solution testée et approuvée, conforme aux exigences de la CCA et d’Aadhaar, collaborant de façon transparente avec notre logiciel de CA, et offrant de très hautes performances. De plus, Nexus dispose d’un centre de développement et de support en Inde, avec des spécialistes en infrastructures à clés publiques (PKI). Cela garantit de hauts niveaux de services pour nos clients, et la conformité constante aux exigences de la CCA, » ajoute Lagad.
À présent que les signatures électroniques juridiquement recevables ne nécessitent plus le recours à des jetons matériels, il est prévisible que leur utilisation va croître de façon exponentielle.
Faciliter la vie des clients
« Selon les dernières statistiques, le nombre de signatures en ligne juridiquement recevables a augmenté de 150% en quatre mois, passant de 2 millions en octobre 2016 à 5 millions en février 2017. Et comme 99% des Indiens adultes peuvent désormais utiliser facilement les signatures électroniques, de nombreuses organisations intégreront bientôt cette fonctionnalité à leurs e-services, » indique Lagad.
Les organisations susceptibles de tirer le meilleur profit des services eSign sont celles qui traitent des documents signés pour un grand nombre d’usagers, telles que les administrations, les entreprises impliquées dans des projets de type « smart city », les banques, les sociétés d’assurance, les organismes de prêt ou encore les entreprises télécom.
« Remplacer les signatures manuscrites par eSign réduit les coûts de gestion du papier, améliore l’efficacité opérationnelle et facilite la vie des clients, » affirme Lagad.