ediverse Explorer la plateforme

À la une PEPPOL BIS Billing 3.0 L’obligation européenne d’e-invoicing arrive : France sept 2026, Belgique janv 2026, Allemagne 2025.

REPUDIATION

La garantie cryptographique qu'une partie ne peut pas nier ce qu'elle a fait — émission, réception, traitement — d'un message EDI.

Définition

Le glossaire NIST (CSRC) définit la non-répudiation comme « Assurance that the sender of information is provided with proof of delivery and the recipient is provided with proof of the sender's identity, so neither can later deny having processed the information ». La norme ISO/IEC 13888 (en trois parties : -1 General, -2 Symmetric, -3 Asymmetric) formalise la propriété et ses sous-classes :

  • NRO — Non-repudiation of Origin : l'émetteur ne peut pas nier avoir envoyé. Fourni par une signature de l'émetteur sur le message.
  • NRR — Non-repudiation of Receipt : le destinataire ne peut pas nier avoir reçu. Fourni par un accusé signé par le destinataire qui contient un MIC/hash du message reçu.
  • NRS — Non-repudiation of Submission : un acheminement intermédiaire (VAN, Access Point) ne peut pas nier avoir pris en charge.
  • NRD — Non-repudiation of Delivery : l'intermédiaire ne peut pas nier avoir livré.

En EDI : AS2 fournit NRO (signature S/MIME émetteur) + NRR (MDN signé avec MIC). OFTP2 fournit NRO + NRR via EERP signé. AS4 fournit NRO + NRR via signed receipt SOAP. XAdES (sur UBL ou CII) fournit NRO archivable long terme. Le combiné transport + XAdES couvre l'exigence eIDAS pour une facture électronique qualifiée.

Origine

Le concept apparaît dans la littérature sécurité dès les années 1980 avec les premiers travaux sur la signature numérique (Diffie-Hellman 1976, RSA 1978). La RFC 1421-1424 (Privacy Enhanced Mail, 1993) en pose les fondations pratiques. ISO/IEC 13888 (1997-1998, refondu 2009) fixe la terminologie internationale. En EDI, AS1 (RFC 3335, 2002) puis AS2 (RFC 4130, 2002) industrialisent l'usage avec le MDN signé. La directive 1999/93/CE puis le règlement eIDAS 910/2014 transposent l'exigence en droit européen pour la facturation B2B.

Exemple en contexte

Litige commercial entre un fournisseur et son client : le client affirme n'avoir jamais reçu l'INVOIC F-2026-0512. Le fournisseur produit son archive AS2 : copie signée de l'INVOIC d'origine, MDN signé du client avec MIC SHA-256 identique au hash de l'INVOIC, certificat X.509 du client encore valide à la date du MDN. La non-répudiation de réception est établie : le client ne peut pas nier. C'est juridiquement suffisant en France, en Allemagne, et dans la plupart des pays de l'UE.

Termes liés

  • MDN — l'instrument NRR en AS2.
  • AS2 — le protocole le plus déployé qui fournit NRO+NRR.
  • XAdES — la signature archivable long terme.
  • Audit trail — où la preuve s'inscrit.

Dernière mise à jour: 14 mai 2026