Il existe plusieurs niveaux de signatures électroniques plus ou moins sécurisées et il n’est pas toujours aisé d’en comprendre les subtilités et les cas d’usage.
Tout d’abord, nous devons comprendre comment la signature électronique est réglementée.
Depuis 2014, l’Union Européenne régit la signature électronique grâce à l’eID.AS (pour Electronic Identification And Trust Services). L’objectif est d’instaurer un cadre européen afin de faire une distinction entre les services de confiance qualifiés et non qualifiés. Pour entrer dans le premier cas, les prestataires doivent satisfaire des exigences particulières et font l’objet d’audits réguliers par des organismes nationaux. En France, cet organisme s’appelle l’ANSSI (Agence nationale de la sécurité des systèmes d’information).
Parmi les exigences, nous pouvons retrouver :
- La délivrance de certificats qualifiés
- La validation qualifiée des signatures et cachets électroniques qualifiés afin de garantir une sécurité juridique en fournissant une preuve de validation par un tiers qualifié.
- La conservation qualifiée des signatures et cachets électroniques qualifiés pour étendre la fiabilité de ceux-ci au-delà de leur période de validité technologique.
- L’horodatage électronique qualifié pour attester que les données sous forme électronique existaient à un instant donné.
- L’envoi recommandé électronique qualifié afin de transmettre les données entre tiers par voie électronique tout en protégeant ces données contre les risques de pertes, de vols, d’altérations ou de modifications.
L’Union européenne a également mis en place une liste des tiers de confiance qui regroupe les autorités de certification européennes qualifiées à retrouver sur ce site.
Il existe trois types de signatures électroniques avec des niveaux d’exigences et de sécurités différents. Il est naturel de se diriger vers le type de signature qui offre le plus haut niveau de sécurité mais est-il toujours utile d’imposer à nos clients et à nous-même des processus longs et contraignants quand ce n’est pas obligatoire ?
Afin de pouvoir choisir quel niveau est le plus adapté pour notre situation, il faut comprendre ces différents niveaux.
#1 La signature électronique simple
Le terme de signature électronique « simple » n’est pas concrètement utilisé dans la règlementation eI.DAS mais utilisé par la grande majorité des fournisseurs. Derrière cette appellation, on retrouve l’ensemble des systèmes de signatures électroniques n’ayant pas un niveau avancé ou qualifié.
La signature simple est la plus utilisée sur le marché car c’est la plus rapide et fluide.
Il n’y a pas de listes d’exigences liées à ce type de signatures. Une signature scannée ou numérique sur une borne par exemple peut être une signature dite simple. Néanmoins, ce sont des signatures qui n’ont aucune valeur juridique.
Regardons alors comment réaliser une signature électronique simple qui soit tout de même reconnue par la justice en cas de litiges, car c’est bien ce qui nous intéresse : être légalement protégé.
Tout d’abord voilà ce que nous dit la règlement eI.DAS concernant les signatures électroniques : ce sont « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer”.
Afin que la signature électronique soit légalement acceptée il faut donc pouvoir prouver que le signataire à bien accepter de signer lesdits documents. Pour cela, le tier de confiance qui propose ses services de signatures électroniques constitue un dossier de preuve dans lequel on retrouve plusieurs éléments essentiels :
- La carte d’identité électronique aussi appelé certificat à usage unique qui permet d’identifier le signataire
- L’horodatage de la signature
- Les éléments d’identification du signataire (adresse électronique, numéro de téléphone, adresse IP de l’ordinateur utilisé pour signer le document, …)
Ce chemin ou dossier de preuve doit ensuite être stocké dans un coffre-fort numérique afin d’assurer la pérennité de l’intégrité du document.
Ces signatures électroniques peuvent être utilisées pour des actes courants ou comportant des risques juridiques ou financiers limités tel que :
- Contrats (adhésion, fournisseurs, baux, travail, etc.)
- Devis
- Etat des lieux d’un logement
- Facture
- Mandat de prélèvement SEPA
- Etc.
#2 La signature électronique avancée
La signature électronique avancée doit répondre à des critères de vérifications d’identité plus poussés, elle permet ainsi de disposer de niveaux de sécurité supérieurs. Elle doit être liée de manière univoque au signataire et permettre de l’identifier très précisément. La signature électronique avancée doit donc :
- Être lié a son signataire de manière unique et claire
- Permettre d’identifier formellement le signataire
- Être créée par des moyens sous contrôle exclusif du signataire (téléphone ou ordinateur personnel par exemple)
- Garantir que le document ne pourra pas être modifié ultérieurement
On peut ainsi, avec ce type de signatures, être amené à télécharger une pièce d’identité avant de pouvoir signer le document qui sera ensuite ajouté au dossier de preuve. Une case à cocher, ou un texte à recopier peuvent venir accompagner le document afin de renforcer la preuve de consentement du signataire.
La signature électronique avancée est conseillée dans des transactions financières conséquentes ou dans des documents présentant des enjeux juridiques importants tels que :
- Compromis de vente immobiliers
- Contrats de crédits
- Contrats de certains produits bancaires et d’assurances (épargne, assurance-vie, prévoyance dit « loi Madelin »)
Une solution intermédiaire entre la signature avancée et la signature qualifiée consiste à ajouter une étape de vérification en face-à-face (physique ou distant) de l’identité du signataire permettant d’obtenir un certificat qualifié. Ce type de solution peut être utilisé pour des appels d’offres pour les marchés publics par exemple.
#3 La signature électronique qualifiée
D’un point de vue légal, la différence entre les signatures simples ou avancées et la signature qualifiée est importante. Ce niveau de signature est contraignant en matière de vérification de l’identité du signataire et de protection de la clé de signature. Elle permet toutefois d’avoir une valeur juridique équivalente à la signature manuscrite alors que les autres niveaux de signatures électroniques ont quant à eux une valeur probatoire.
La signature qualifiée reprend les mêmes critères de sécurité que la signature avancée avec néanmoins quelques subtilités :
- L’identité du signataire doit être validée en amont de la signature
- La clé de signature se trouve dans un dispositif qualifié de création de signature électronique aussi appelé QSCD
La signature électronique qualifiée est le niveau le plus poussé en sécurité. Elle n’est utilisée que dans des cas bien précis, car elle se révèle bien souvent très contraignante :
- Actes d’avocat (conventions de concubinages, PACS, statuts de sociétés, contrats de cessions de fonds de commerce, de parts sociales ou d’actions, etc.)
- Actes produisant des effets hors France, mais dans l’Union européenne (souscriptions de produits financiers européens, opérations bancaires intra-UE)
- Actes auprès d’organismes publics nécessitant de hauts niveaux de sécurité (passation de marchés publics, factures transmises sous format électronique, etc.)
Le choix du mode de signature électronique doit donc être un bon compromis entre l’expérience utilisateur et la sécurité. La signature électronique qualifiée possède des cas d’usage très précis. Lorsque l’on en sort, il faut donc se positionner entre la signature avancée ou simple, les axes de réflexion doivent alors se faire autour du contexte juridique de notre utilisation de la signature électronique, mais également l’analyse des risques et opportunités (enjeux financier, impact sur la productivité, expérience utilisateurs, etc.).
L’équipe de Gonexa peut vous conseiller et vous accompagner dans la recherche de solution la plus adaptée à votre usage et à votre entreprise. Contactez-nous.