La pérennité de la preuve numérique
Quatre modèles, quatre destins
Lorsque vous établissez une preuve d'antériorité, vous posez en réalité une question qui s'étend dans le temps : pendant combien d'années, et dans quelles conditions, cette preuve restera-t-elle vérifiable ?
La question paraît théorique. Elle ne l'est pas. Une preuve qui ne peut plus être vérifiée n'est plus une preuve. Une preuve qui dépend pour sa vérification d'un service ou d'une entreprise qui n'existe plus devient un objet juridique en suspens, dont l'opposabilité s'effrite avec chaque année qui passe.
Il existe aujourd'hui quatre grandes manières de construire une preuve d'antériorité numérique. Chacune a sa cohérence technique propre, ses avantages, et son point de vulnérabilité face au temps long. Cette page les examine sans hiérarchie morale, pour permettre au lecteur de comprendre les arbitrages réels qui se jouent derrière les apparences techniques.
La question critique : que reste-t-il si l'émetteur disparaît ?
C'est en posant cette question — rarement posée explicitement dans les discussions sur la preuve numérique — que la différence entre les quatre modèles devient structurelle plutôt que cosmétique.
Modèle 1 — Le jeton signé par une autorité de temps gratuite
Plusieurs services communautaires délivrent gratuitement des jetons d'horodatage électronique conformes au standard RFC3161 — notamment FreeTSA.org, qui opère depuis 2014. Le mécanisme est simple : l'empreinte cryptographique d'un document est envoyée à l'autorité, qui retourne un jeton signé attestant de la date.
Sur le plan technique, cette preuve est parfaitement valable. La signature peut être vérifiée avec OpenSSL ou n'importe quel outil cryptographique standard. Sur le plan juridique, le règlement européen eIDAS, par son article 41 paragraphe 1, garantit son admissibilité devant un tribunal.
Sa vulnérabilité est ailleurs. L'infrastructure qui délivre ces jetons est maintenue par une équipe restreinte, sans engagement contractuel de continuité, sans audit, sans supervision réglementaire. Si cette infrastructure disparaît — et l'histoire d'internet est jalonnée de services communautaires qui ont fini par s'éteindre — votre jeton reste cryptographiquement intact mais la chaîne de confiance qui permet sa vérification devient un exercice d'archéologie. Le certificat racine doit être conservé hors ligne, la vérification doit être contextualisée historiquement, et la lisibilité juridique de la preuve s'érode.
Modèle 2 — Le jeton signé par une autorité de temps commerciale non qualifiée
Plusieurs grandes entreprises (DigiCert, Sectigo, GlobalSign) opèrent des autorités d'horodatage commerciales, principalement destinées à la signature de code logiciel. Leurs jetons sont également conformes au standard RFC3161 et techniquement équivalents à ceux du modèle précédent.
L'avantage sur le modèle gratuit est l'assise économique. Une grande entreprise privée a moins de chances de disparaître brutalement qu'une infrastructure communautaire. La probabilité de continuité à dix ans est élevée.
L'inconvénient se situe dans la nature commerciale du service. Ces autorités appliquent des conditions d'utilisation qui peuvent évoluer, des politiques de prix qui peuvent changer, des décisions stratégiques qui peuvent fermer une branche d'activité du jour au lendemain. L'histoire de l'écosystème SSL/TSA en témoigne : Symantec a abandonné son activité d'autorité de certification, transférée à DigiCert dans des conditions qui ont créé des problèmes temporaires de chaîne de confiance pour les certificats antérieurs. Les services commerciaux durent, mais leurs politiques bougent.
Juridiquement, ces jetons sont admissibles au sens de l'article 41(1) eIDAS, sans présomption d'exactitude particulière.
Modèle 3 — L'horodatage qualifié eIDAS
C'est le modèle le plus protecteur juridiquement. Un horodatage qualifié est délivré par un Prestataire de Services de Confiance Qualifié (PSCQ), audité et inscrit sur la liste de confiance européenne (EUTL). En France, des prestataires comme Universign, Lex Persona, Certigna ou Datasure offrent ce service.
Conformément à l'article 41 paragraphe 2 du règlement eIDAS, un horodatage qualifié bénéficie d'une présomption juridique d'exactitude de la date et d'intégrité des données. Devant un tribunal européen, cette présomption renverse la charge de la preuve : c'est à la partie contestant la date de démontrer qu'elle est inexacte, et non au producteur de la preuve de l'établir.
Cette robustesse juridique a deux contreparties. La première est financière : un service qualifié implique un modèle d'abonnement et un coût par horodatage qui se traduit nécessairement dans le prix final pour l'utilisateur. La seconde est plus subtile : la pérennité de la preuve dépend du maintien de la qualification du prestataire. Si un PSCQ perd sa qualification — cas rare mais documenté — la présomption d'exactitude tombe rétroactivement pour les jetons délivrés pendant la période non qualifiée. Si le PSCQ fait faillite, ses obligations de conservation peuvent être transférées à une autorité de continuité, mais le processus est complexe et les conditions varient selon les juridictions nationales.
La force du modèle qualifié est la présomption juridique. Sa vulnérabilité résiduelle est la dépendance institutionnelle.
Modèle 4 — L'ancrage blockchain
Un ancrage blockchain consiste à inscrire l'empreinte cryptographique d'un document dans une transaction d'un registre distribué public, généralement Bitcoin ou Ethereum. La transaction est horodatée par le réseau, validée par des dizaines de milliers de nœuds indépendants à travers le monde, et inscrite dans un bloc dont la modification ultérieure est mathématiquement impossible.
Sur le plan juridique, cette preuve relève de l'article 41 paragraphe 1 d'eIDAS — admissible comme commencement de preuve par écrit, comme l'a explicitement reconnu le Tribunal judiciaire de Marseille dans son arrêt du 14 mars 2025 (AZ Factory contre Valeria Moda, RG 23/00046). Elle ne bénéficie pas de la présomption d'exactitude réservée aux horodatages qualifiés.
Sa vulnérabilité spécifique est différente des trois modèles précédents : elle ne dépend ni d'une entreprise, ni d'une autorité communautaire, ni d'un certificat à durée limitée. Elle dépend de la pérennité du réseau blockchain lui-même. Pour Ethereum, lancé en 2015 et n'ayant jamais connu d'arrêt total, cette pérennité est aujourd'hui largement attestée par les faits. Pour Bitcoin, plus ancien encore (2009), elle l'est plus encore.
Si une autorité de temps communautaire gratuite disparaît, le jeton qu'elle a émis reste valide cryptographiquement, mais sa vérifiabilité quotidienne se complique. Le certificat doit être préservé hors ligne, et la chaîne de confiance ne se reconstitue que par effort historique.
Si une autorité de temps commerciale ferme son service de timestamping, la situation est similaire — meilleure en pratique, parce que les grandes entreprises laissent souvent des traces accessibles, mais structurellement identique : la preuve devient un objet à reconstituer plutôt qu'un objet à consulter.
Si un PSCQ qualifié fait faillite ou perd sa qualification, la présomption juridique qui faisait la force du modèle peut s'effondrer, et la preuve doit être défendue comme un horodatage non qualifié ordinaire.
Si le service qui a délivré une preuve d'ancrage blockchain disparaît, la preuve reste strictement intacte. Le hash est dans la blockchain. La transaction est consultable par n'importe quel explorateur public. La vérification ne nécessite aucun outil propriétaire, aucun certificat, aucune chaîne de confiance commerciale. Il suffit de recalculer l'empreinte SHA-256 du document avec un outil standard, et de la comparer à celle inscrite dans la transaction Ethereum.
Tableau comparatif
| Critère | TSA gratuite | TSA commerciale non qualifiée | Horodatage qualifié eIDAS | Ancrage blockchain |
|---|---|---|---|---|
| Valeur cryptographique | Forte | Forte | Forte | Forte |
| Admissibilité juridique (eIDAS 41.1) | Oui | Oui | Oui | Oui |
| Présomption d'exactitude (eIDAS 41.2) | Non | Non | Oui | Non |
| Indépendance vis-à-vis d'un tiers commercial | Moyenne | Faible | Faible | Forte |
| Pérennité à 30 ans | Incertaine | Probable | Probable sous condition | Élevée |
| Vérification sans accès au service émetteur | Possible mais complexe | Possible mais complexe | Possible mais complexe | Triviale |
| Confidentialité du document | Totale | Totale | Totale | Totale |
| Coût marginal pour l'utilisateur | Quasi-nul | Bas à moyen | Moyen à élevé | Bas |
La doctrine d'ETcH
Cela ne signifie pas que les autres modèles sont sans valeur. L'horodatage qualifié eIDAS reste préférable lorsque la présomption juridique de l'article 41(2) est décisive pour le dossier — par exemple dans un contentieux à très fort enjeu où la charge de la preuve devient elle-même un enjeu stratégique. Pour ces usages, nous recommandons à nos utilisateurs d'envisager un horodatage qualifié complémentaire, et nous étudions activement les conditions d'un enrichissement futur de notre service dans cette direction.
Mais pour la grande majorité des usages — protection d'œuvres de l'esprit, preuves d'antériorité de documents commerciaux, attestations RGPD, traçabilité réglementaire — la robustesse cryptographique et l'auto-portabilité d'une preuve blockchain offrent la meilleure combinaison de pérennité, d'accessibilité et d'indépendance.
La pérennité économique : payer une fois pour toujours, activer si nécessaire
La pérennité technique d'une preuve n'a de valeur économique que si elle s'inscrit dans un modèle de coût soutenable. Une preuve qui dure trente ans mais qui exige chaque année une dépense récurrente — abonnement, renouvellement périodique, vigilance administrative à maintenir sur plusieurs décennies — n'est pérenne que sur le papier : son coût total accumulé peut dépasser la valeur de ce qu'elle protège, surtout pour les œuvres et les documents dont le contentieux n'arrivera jamais.
Si un litige survient un jour, l'utilisateur peut alors faire intervenir un commissaire de justice pour établir un constat formel à partir de l'ancrage. Cette procédure, validée par l'arrêt du Tribunal judiciaire de Marseille du 14 mars 2025 (AZ Factory contre Valeria Moda, RG 23/00046), permet de transformer une preuve cryptographique en une preuve dotée de la force probante d'un acte authentique — sans avoir eu à anticiper ce coût en amont, pour une œuvre dont la contestation n'arrivera peut-être jamais.
C'est ce que nous appelons le modèle du recours différé : payer la cotisation minimale aujourd'hui, activer la couverture complète seulement si et quand le besoin se manifeste.
Ce que cela signifie concrètement pour vous
Si demain ETcH n'existait plus, votre preuve resterait :
- •Cryptographiquement intacte. Le hash de votre document est dans la blockchain Ethereum. Il y restera tant qu'Ethereum existera.
- •Juridiquement opposable. La transaction est horodatée et consultable. L'admissibilité comme commencement de preuve par écrit, reconnue par la jurisprudence française, ne dépend pas de notre existence.
- •Vérifiable par vous-même ou par un tiers. Avec n'importe quel ordinateur, n'importe quel calculateur SHA-256, n'importe quel explorateur Ethereum public. Aucune compétence cryptographique avancée n'est requise — nos guides accompagnent la vérification pas à pas.
C'est notre engagement structurel. Pas une promesse commerciale, qui s'évanouirait avec nous : une propriété mathématique de votre preuve, qui ne dépend pas de nous pour exister.