Tous les articles

11 min de lecture

Preuve juridique et e-discovery : horodater des documents et des exports de pièces

Comment utiliser la preuve d'existence Label 309 pour démontrer qu'un document ou un export de pièces existait à une date publique donnée et correspond toujours à ses octets d'origine — et où cette preuve s'arrête pour laisser place au processus judiciaire.

Une preuve d'existence permet à une équipe juridique de démontrer deux choses au sujet d'un fichier : qu'il existait à une date publique précise, et qu'une copie produite ultérieurement présente la même séquence d'octets. Vous calculez l'empreinte d'un document, d'un dossier de pièces ou d'un export de pièces, vous publiez cette empreinte sur la blockchain Cardano sous Label 309, et vous conservez le fichier d'origine ainsi que la référence de transaction. N'importe qui — y compris la partie adverse ou un expert désigné par le tribunal — pourra ensuite recalculer l'empreinte et confirmer la correspondance par rapport à la chaîne publique, sans avoir à faire confiance à vos serveurs.

Ce qu'elle ne fait pas, c'est rendre une preuve recevable, authentique, couverte par le secret professionnel, complète ou juridiquement suffisante. Un horodatage n'est qu'un élément à l'appui d'un processus bien plus vaste. Il peut renforcer un récit d'authenticité et d'intégrité ; il ne peut pas trancher l'affaire. Considérez-le comme une couche d'intégrité et de datation, et consultez un conseil juridique avant de vous appuyer sur un quelconque système de preuve dans un contentieux.

Quel problème un horodatage résout-il concrètement ?

Les litiges se jouent sur la chronologie, et les chronologies sont contestées.

Une équipe doit souvent répondre à des questions comme :

  • ce document existait-il avant la naissance du litige ?
  • s'agit-il du même fichier que celui qui a été examiné ou produit ?
  • cet export a-t-il été créé avant l'échéance de production ?
  • ces fichiers précis faisaient-ils partie du dossier de pièces ?
  • le rapport a-t-il été modifié après sa finalisation ?
  • l'ensemble des pièces existait-il avant la réception d'un avis de conservation ?

Les systèmes internes peuvent stocker des documents et des journaux, mais ces records résident dans une infrastructure que contrôle une seule partie ; l'autre partie peut donc contester la date réelle d'une entrée. Un engagement public et horodaté place l'ancre temporelle hors de portée de tous. L'affirmation « cette séquence d'octets exacte existait au plus tard à l'heure de bloc T » est vérifiable sur la chaîne Cardano par quiconque, sans avoir à faire confiance à l'éditeur, à un domaine ou à un quelconque serveur.

Que peut-on horodater ?

Pratiquement n'importe quelle séquence d'octets. L'empreinte se moque de ce que les octets signifient.

Les équipes juridiques peuvent s'engager sur :

  • des contrats et des annexes ;
  • des PDF et des rapports signés ;
  • des courriels exportés dans un format stable ;
  • des productions de pièces ;
  • des images forensiques ou des manifestes d'images ;
  • des journaux de chaîne de possession ;
  • des journaux d'examen du secret professionnel ;
  • des supports et transcriptions de dépositions ;
  • des inventaires de pièces ;
  • des rapports d'expertise ;
  • des projets d'accord transactionnel ;
  • des dépôts réglementaires ;
  • des dossiers d'affaire complets.

Le contenu lui-même n'a jamais besoin d'être public. Le record sur la chaîne peut ne porter que l'empreinte — ou, pour une collection entière, une seule racine de Merkle. Rien de lisible sur les pièces ne touche la chaîne.

Comment cela fonctionne-t-il pour un seul document ?

Pour un fichier unique, le déroulé est court :

  1. Créez ou collectez le document.
  2. Calculez son empreinte.
  3. Publiez l'empreinte dans un record Label 309.
  4. Conservez ensemble le fichier d'origine et la référence de transaction.
  5. Plus tard, recalculez l'empreinte à partir du fichier.
  6. Comparez-la au record sur la chaîne.

Si les empreintes correspondent, le fichier en main présente la même séquence d'octets que celle engagée au moment de la transaction. C'est exactement le couple intégrité-datation dont un litige a souvent besoin : les octets sont inchangés, et ils existaient à un instant public connu.

Comment cela fonctionne-t-il pour un grand ensemble de pièces ?

Utilisez un manifeste et une racine de Merkle, pas l'empreinte d'une seule archive géante.

Les pièces arrivent rarement sous la forme d'un fichier unique. C'est un dossier, un export, un ensemble de production, une collecte forensique. Vous pouvez hacher un gros zip, mais alors chaque vérification impose de tout rehacher, et un seul octet modifié invalide la totalité de l'engagement, sans aucun moyen de désigner ce qui a bougé. Un manifeste et un arbre de Merkle résolvent ce problème.

Le manifeste liste chaque fichier et son condensé. La racine de Merkle engage l'ensemble de la liste ordonnée en une seule valeur de 32 octets, et vous ne publiez que cette racine dans une seule transaction. Plus tard, une partie peut prouver qu'un fichier précis figurait dans l'ensemble grâce à une preuve d'inclusion compacte — qui ne croît qu'avec le logarithme de la taille du lot — sans révéler ni retraiter le reste du dossier. Construire l'arbre et vérifier une preuve d'inclusion sont des calculs purement hors ligne ; seule la publication de la racine sollicite un gateway. Le même schéma fait passer une preuve unique à l'échelle de milliers de fichiers, ce que détaille un seul record pour des milliers de fichiers.

Cela convient à :

  • des productions issues de la communication électronique de pièces (e-discovery) ;
  • des exports d'examen documentaire ;
  • des inventaires de salle des pièces ;
  • des collectes forensiques ;
  • des dossiers de réponse réglementaire ;
  • des dossiers d'enquête interne.

La racine ancre l'ensemble. Le manifeste l'explique.

Faut-il sceller les preuves juridiques ?

Souvent, oui — car la plupart des pièces sont couvertes par le secret professionnel, confidentielles, personnelles ou commercialement sensibles, et publier le texte en clair serait une erreur.

Il existe trois approches, par confidentialité croissante :

  • Preuve par empreinte seule : publiez uniquement l'engagement et gardez les pièces entièrement privées. Rien du contenu ne va sur la chaîne au-delà de son empreinte.
  • Preuve Merkle : publiez une seule racine couvrant de nombreux fichiers privés, puis ne divulguez les preuves d'inclusion individuelles qu'aux parties qui y ont droit.
  • Preuve scellée : chiffrez les pièces ou le manifeste et stockez le texte chiffré là où les destinataires autorisés peuvent le récupérer. La chaîne ne porte toujours que l'empreinte du texte en clair, l'heure de bloc et les clés enveloppées — jamais le texte en clair, et jamais l'identité des destinataires.

Un record scellé est le bon outil lorsque les octets d'origine doivent rester récupérables plus tard sans être publics dès maintenant : le destinataire déchiffre côté client et recalcule l'empreinte du texte en clair pour la confronter à l'engagement sur la chaîne. Soyez toutefois clair sur la limite — le scellement ne maintient le texte en clair lisible que pour les détenteurs de clés ; il ne garantit pas l'anonymat, et un destinataire peut toujours divulguer le texte en clair après l'avoir déchiffré. Le schéma consistant à prouver l'existence de quelque chose tout en gardant le fichier confidentiel est exploré dans divulgation confidentielle sans fichiers publics.

Cela peut-il remplacer la chaîne de possession ?

Non. La preuve d'existence étaye la chaîne de possession ; elle ne s'y substitue pas.

La chaîne de possession concerne les personnes et le processus : qui a collecté les pièces, comment elles ont été stockées, qui y a eu accès, comment elles ont été transférées, quels outils ont été utilisés, si les procédures ont été respectées et si les éléments ont été protégés contre toute altération. Une preuve Label 309 peut démontrer qu'un fichier ou un manifeste existait à une date publique et qu'une copie ultérieure correspond à l'empreinte engagée. Elle ne dit rien sur qui a manipulé les octets, ni comment.

Utilisez-la comme une couche d'intégrité et d'horodatage au sein d'un processus de preuve plus large et documenté — non comme le processus lui-même.

Un horodatage peut-il rendre une preuve recevable ?

Pas à lui seul. La recevabilité dépend de la juridiction, des règles de procédure, du contexte de l'affaire, de l'authenticité, de la pertinence, du ouï-dire, du secret professionnel, des règles de discovery, du témoignage d'expert, et plus encore.

Une illustration concrète tirée de la pratique fédérale américaine, qui dépend de la juridiction et ne constitue pas un avis juridique : selon la Federal Rule of Evidence 901(a), le requérant doit « produire des éléments suffisants pour étayer la conclusion que l'objet est bien ce que le requérant prétend qu'il est ». Un horodatage cryptographique peut contribuer à cette conclusion — en particulier sur l'intégrité et la datation — mais il ne constitue pas le fondement entier. La règle 901(b)(9) reconnaît l'authentification par « la description d'un processus ou d'un système et la démonstration qu'il produit un résultat exact », ce qui est précisément la voie dans laquelle s'inscrit un engagement vérifiable par empreinte. La règle 902(14) va plus loin et envisage spécifiquement l'authentification de « données copiées depuis un appareil électronique, un support de stockage ou un fichier » par une identification numérique telle qu'une valeur d'empreinte. Rien de tout cela n'est automatique : les parties adverses peuvent toujours contester l'authenticité ou soulever d'autres objections, et d'autres juridictions traitent les preuves électroniques différemment.

Ainsi, une preuve « peut étayer » et « peut aider » ; elle ne garantit pas la recevabilité, ne prouve pas la propriété et ne tranche pas la question de la paternité. C'est le conseil juridique qui décide de la manière dont elle s'inscrit dans l'affaire.

Que doit contenir un manifeste de pièces ?

Gardez-le clair, stable et reproductible.

Un manifeste de pièces juridiques peut consigner :

  • l'identifiant d'affaire ou de dossier ;
  • la date de collecte ;
  • le détenteur ou la source ;
  • le nom de fichier ou un identifiant neutre ;
  • la taille du fichier ;
  • l'algorithme de hachage ;
  • le condensé ;
  • le statut de secret professionnel ;
  • le statut de confidentialité ;
  • la version de l'outil de collecte ;
  • l'examinateur ou l'approbateur ;
  • l'emplacement de stockage ;
  • l'index de feuille Merkle ;
  • la référence de preuve d'inclusion ;
  • la référence de transaction Label 309.

Ne mettez pas de faits couverts par le secret professionnel ou sensibles dans un manifeste destiné à devenir public, sauf approbation d'un conseil juridique. Le manifeste lui-même peut rester privé ou être scellé ; seule sa racine doit aller sur la chaîne.

En quoi la signature d'un record aide-t-elle ?

Une signature montre qu'une clé donnée s'est portée garante du corps du record. Elle est facultative dans Label 309 — le standard est indépendant de l'émetteur, et une preuve est pleinement valide sans aucune signature — mais la responsabilité compte parfois.

Un record signé peut être produit par :

  • une identité de cabinet d'avocats ;
  • un service juridique d'entreprise ;
  • un prestataire d'e-discovery ;
  • une équipe forensique ;
  • un responsable de la conformité ;
  • un détenteur de pièces désigné.

La signature ne prouve aucun fait juridique. Elle prouve seulement que la clé de signature a signé le corps du record. Quiconque s'y fie doit encore expliquer qui contrôle cette clé et ce que signifie son processus de signature — la cryptographie atteste de la clé, non de l'organisation qui se trouve derrière.

En quoi le remplacement aide-t-il lorsque les records changent ?

Les records juridiques sont corrigés, complétés et révisés. Un manifeste est régénéré, un ensemble de production est complété, un rapport est modifié, un journal du secret professionnel est mis à jour.

Label 309 porte un pointeur de remplacement facultatif : une empreinte de transaction de 32 octets, dans un nouveau record, qui pointe vers un record antérieur. Le pointeur ne supprime, ne révoque ni n'invalide en aucune manière le record antérieur — la chaîne est en ajout seul, et les vérificateurs doivent continuer à traiter le record antérieur comme existant et vérifiable de façon indépendante. Il crée simplement un lien visible et indépendant du service entre la correction et ce qu'elle corrige.

Cette visibilité est tout l'intérêt. L'histoire juridique ne devrait pas disparaître en silence ; les corrections devraient se lire comme des corrections, les deux versions restant prouvables.

Qu'est-ce qui peut mal tourner ?

Beaucoup de choses, et l'essentiel relève du processus, pas de la cryptographie.

Une équipe peut hacher le mauvais fichier. Elle peut perdre les octets d'origine. Elle peut ne pas conserver le manifeste ou la liste de feuilles, laissant une racine valide pour laquelle personne ne peut construire de preuve. Elle peut divulguer des données sensibles par accident. Elle peut signer avec une clé que personne ne gère. Elle peut brandir une preuve sans aucune procédure documentée derrière.

Une preuve peut être cryptographiquement solide et rester juridiquement faible si le processus qui l'entoure est négligé. La limite plus large s'applique ici aussi : une preuve d'existence démontre que des octets exacts existaient à une date publique — elle ne prouve ni la véracité, ni la propriété, ni la paternité, ni la légalité, ni l'existence de droits exclusifs. Cette frontière mérite d'être intériorisée, et elle est exposée dans ce qu'une preuve ne prouve pas.

Un bon usage juridique exige des procédures, pas seulement des empreintes.

En bref

Label 309 aide les équipes juridiques à horodater leurs pièces : hacher des documents, utiliser des racines de Merkle pour les ensembles de pièces, sceller les éléments sensibles et signer les records lorsque la responsabilité compte. Conservez ensemble les manifestes, les listes de feuilles, les références de transaction et les fichiers d'origine — une preuve dont vous ne pouvez pas reconstruire les entrées ne vaut pas grand-chose.

La preuve peut démontrer l'intégrité et la datation. Elle ne remplace ni la chaîne de possession, ni le jugement juridique, ni les règles de procédure, et elle ne décide jamais de la véracité ou de la propriété. Intégrée à un processus solide, elle donne à la chronologie une ancre qu'aucune partie ne contrôle à elle seule.

Pour aller plus loin

  • Le standard ouvert Label 309 et sa spécification : label309.org.
  • Les implémentations de référence — les SDK et l'outil en ligne de commande cardanowall — sont open source sur github.com/cardanowall.
  • La proposition est soumise au processus CIP de Cardano et examinée par les éditeurs CIP en tant que CIP de catégorie Metadata : pull request #1205.
  • Federal Rule of Evidence 901 — Authenticating or Identifying Evidence : law.cornell.edu/rules/fre/rule_901.
  • Federal Rule of Evidence 902 — Evidence That Is Self-Authenticating (voir 902(13) et 902(14)) : law.cornell.edu/rules/fre/rule_902.

legalevidenceproof-of-existence