Les normes ETSI sont les standards techniques publiés par l'European Telecommunications Standards Institute qui définissent les exigences précises que doivent respecter les services de confiance — dont l'horodatage qualifié — pour être conformes au règlement eIDAS. Elles forment le pont entre un texte juridique européen et sa mise en œuvre concrète par les prestataires.
À quoi servent les normes ETSI
Le règlement eIDAS fixe des principes, mais ne décrit pas le détail technique de leur application. Ce sont les normes ETSI qui le font. Pour l'horodatage, deux références sont clés : l'EN 319 421 énonce les exigences applicables aux autorités d'horodatage qualifiées (politique d'horodatage, sécurité, gestion de la source de temps), et l'EN 319 422 définit le profil du jeton d'horodatage et des protocoles d'échange. Le respect de ces normes permet à un prestataire d'être audité par un organisme d'évaluation de la conformité, puis inscrit sur les listes de confiance européennes — condition d'accès au statut qualifié.
Concrètement, lorsque Certifiles horodate l'empreinte SHA-256 de votre fichier via une autorité d'horodatage (TSA) qualifiée conforme RFC 3161, c'est l'alignement sur ces normes ETSI qui garantit que le jeton d'horodatage délivré est interopérable, vérifiable et conforme aux exigences eIDAS. Vous n'avez pas à connaître ces normes : elles travaillent en arrière-plan pour rendre votre preuve solide et reconnue dans toute l'Union.
Cadre normatif et légal
Les normes ETSI de la série EN 319 4xx déclinent les exigences du règlement eIDAS (n° 910/2014) pour les prestataires de services de confiance. Elles s'articulent avec les standards de l'IETF, notamment la RFC 3161 qui définit le protocole d'horodatage et le format du jeton. Un prestataire conforme à ces référentiels et régulièrement audité peut prétendre au statut qualifié, ce qui ouvre droit, pour ses horodatages, à la présomption d'exactitude de la date prévue à l'article 41 d'eIDAS. Cette présomption se combine ensuite, en droit français, à la force probante de l'écrit électronique reconnue par les articles 1366 et 1367 du Code civil.
Exemple concret
Le responsable conformité d'une banque doit choisir un service d'horodatage pour son archivage probatoire. Avant de contractualiser, il vérifie que le prestataire est audité selon les normes ETSI EN 319 421 et 422 et figure sur une liste de confiance européenne. Cette conformité lui garantit que les preuves de date produites résisteront à une contestation, en France comme dans le reste de l'Union, et qu'elles seront vérifiables par des outils tiers indépendants du fournisseur.
À ne pas confondre avec…
- La RFC 3161 : standard technique de l'IETF sur le protocole d'horodatage, complémentaire mais distinct des normes ETSI.
- Le règlement eIDAS : texte juridique qui fixe les principes, alors que les normes ETSI en précisent la mise en œuvre technique.
- Une certification ISO générale (ISO 27001, par exemple) : utile pour la sécurité, mais pas suffisante à elle seule pour le statut qualifié d'un service de confiance.
- Le label d'un éditeur : une mention commerciale ne vaut pas inscription sur une liste de confiance auditée.
Cas d'usage
Les normes ETSI intéressent surtout les organisations qui doivent sélectionner ou auditer un prestataire d'horodatage : directions conformité, RSSI, services juridiques, archivistes. Elles servent de grille de vérification pour distinguer un horodatage réellement qualifié d'un horodatage simple. Le comparatif horodatage qualifié contre simple illustre l'enjeu pratique de cette distinction, tandis que le comparatif horodatage interne contre tiers de confiance montre pourquoi un horodatage réalisé sur ses propres serveurs, même techniquement correct, ne procure pas la même neutralité qu'une TSA conforme ETSI.
Pour l'utilisateur final, l'essentiel se résume ainsi : il n'a pas besoin de maîtriser ces référentiels, mais il a tout intérêt à choisir un service qui s'y conforme. C'est précisément ce que Certifiles assure en s'appuyant sur une autorité qualifiée, sans aucune démarche technique à votre charge.
Il faut aussi comprendre que les normes ETSI évoluent : elles sont régulièrement révisées pour intégrer les progrès cryptographiques et les nouvelles exigences de sécurité. S'appuyer sur un prestataire qui suit ces mises à jour, plutôt que sur une solution figée, garantit que vos preuves resteront conformes dans la durée. C'est un facteur de pérennité souvent sous-estimé : une preuve produite selon un référentiel maintenu à jour traverse mieux le temps qu'un horodatage artisanal, dont rien ne garantit qu'il résistera aux contestations futures ni aux évolutions des algorithmes de hachage.