Le validateur discret extrait et vérifie uniquement les données du document PDF relatives à la signature mais ne recueille aucune information sur son contenu. Le document n’est pas téléchargé dans son entier et ne quitte donc pas l’infrastructure de l’utilisateur.
Cette fonctionnalité a été développée, car des notaires, des avocats et des autorités communiquant des écrits par voie électronique avaient exprimé des craintes quant au risque de violation du secret professionnel ou du secret de fonction lors du téléchargement de documents confidentiels ou de données sensibles sur un système externe.
Comment fonctionne le validateur discret et quelles sont ses composantes ?
Le validateur discret comprend le service web du validateur et une bibliothèque Java assortie de l’application Command Line Interface (CLI). Cette bibliothèque est nommée ci-après logiciel client pour la validation discrète. Pour être utilisé, le logiciel client doit être intégré dans une application web, une application spécialisée ou une application locale.
Le logiciel client pour la validation discrète calcule localement la valeur de hachage cryptographique du document à valider, extrait toutes les signatures électroniques contenues dans le document et procède à une vérification préalable en mode local. Si cette vérification se révèle positive, le logiciel client transmet la valeur de hachage et toutes les signatures au service web du validateur central afin que celui-ci en vérifie la validité. Pour finir, le service web renvoie le résultat et le rapport de vérification au logiciel client. Le document lui-même reste ainsi toujours sur l’infrastructure locale.
Qui est autorisé à utiliser la version web du validateur et le validateur discret ?
La version web du validateur est mise gratuitement à la disposition du public. Un émolument est toutefois facturé aux cantons et aux communes qui souhaitent configurer des types de documents spéciaux.
Le validateur discret peut être utilisé par les autorités des trois échelons de l’État et par les plateformes de messagerie reconnues par la Confédération. À cette fin, le service désigné dans un contrat SLA (l’OFIT pour l’administration fédérale et eOperations Suisse SA pour les cantons et les communes) fournit aux utilisateurs les droits d’accès nécessaires, ainsi que les programmes à intégrer dans leurs applications web ou spécialisées. Les autorités peuvent également configurer des types de documents spéciaux sur le validateur et leur attribuer les cachets réglementés (certificats ou chaînes de certificats) qu’elles utilisent.
S’agissant des actes électroniques, l’OFJ a défini la base légale pour le validateur à l’art. 19 de l’ordonnance du 8 décembre 2017 sur l’établissement d’actes authentiques électroniques et la légalisation électronique (OAAE ; RS 211.435.1) et instauré l’obligation, pour la Confédération, de l’utiliser durablement.
