il y a 3 ans -  - 5 minutes

Signature électronique : fiable, sécurisée, incontournable ?

Grâce à sa capacité à garantir l’intégrité des documents signés et l’authentification des signataires, la signature électronique est un véritable gage de sécurité pour les entreprises, notamment pour leurs services juridiques. Elle est aujourd’hui très largement répandue dans tous les secteurs d’activités et le contexte lié à la crise sanitaire, avec la nécessité de travailler à distance, renforce cette tendance de fond. Intégrité d’un document, authentification du signataire, conservation dans le temps… le point sur les éléments clés que doivent garantir une solution efficace de signature électronique au sens juridique.

La signature électronique est un procédé fiable d’identification permettant de lier un acte dont l’intégrité est garantie à une personne dûment identifiée : le signataire. Avant toute chose, rappelons que l’intégrité est définie comme l’État de quelque chose qui a conservé son état originel sans avoir été modifié.

William Baldari, Responsable Juridique et Conformité chez Universign.

Dans tous les procédés de signature électronique, l’intégrité est techniquement assurée au moment de sa réalisation, par un procédé cryptographique d’horodatage. Il permet de garantir l’intégrité et l’authenticité du document à une date et heure précises. Il garantit également que celui-ci n’a pas été modifié depuis cette date. Lorsque l’horodatage est qualifié au sens du règlement européen eIDAS, la date, l’heure et la survenue du traitement ainsi que l’intégrité du document ne sont plus contestables.

Une fois le document signé, il doit être conservé dans des conditions de nature à en garantir son intégrité dans le temps. Il s’agit là d’une condition essentielle. Un problème peut néanmoins parfois apparaître lorsqu’un document signé doit être conservé pour des durées très longues. En effet, il est possible que les technologies et les algorithmes permettant de garantir la sécurité technique d’un horodatage électronique ne soient plus en mesure d’assurer ces mêmes garanties en raison de progrès technologiques.

Veiller aux évolutions technologiques

Il convient alors de se prémunir sur le très long terme des évolutions technologiques qui sont susceptibles de compromettre la démonstration de fiabilité d’une preuve électronique.

Cette garantie peut être apportée de plusieurs façons. Soit le document signé est stocké dans un coffre-fort électronique (répondant par exemple aux exigences de la Norme AFNOR NF Z42-020 en France). Ce dernier permet l’archivage à valeur légale. Il permet notamment d’assurer que le document déposé est bien celui d’origine lorsqu’il en est extrait. Soit le document signé est conservé dans des conditions lui permettant de recevoir à date régulière un horodatage complémentaire. Cela autorise une extension dans le temps la fiabilité de l’intégrité constatée à la date de signature initiale. Il s’agit alors d’une conservation à valeur probatoire se référant aux normes ETSI EN 319 142-1.

Vérification de l’identité du signataire : différents niveaux de signatures adaptés selon les besoins

Le règlement eIDAS est à l’origine de trois niveaux de signature : simple, avancée et qualifiée. Par ailleurs, la pratique commerciale a vu naître un quatrième niveau, avancé avec certificat qualifié. En fonction du niveau de signature la garantie de l’identité du signataire est plus ou moins forte.

La signature électronique simple est émise sans qu’il n’existe de contrôle sur l’identité du signataire. L’identité du signataire et les informations relatives (numéro de téléphone, adresse email) sont renseignées par la personne souhaitant lui faire signer le document. Elles sont souvent communiquées en amont par le futur signataire sur une base déclarative.

Ce niveau de signature est recommandé pour les actes dont la probabilité de répudiation est faible. Il peut également être utilisé dans les parcours clients intégrant, indépendamment des opérations de signature, des mécanismes de contrôle de vérification d’identité renforcés des futurs signataires (processus de KYC).

La signature avancée repose quant à elle sur des moyens d’identifications renforcés. En effet, celle-ci nécessite la création d’un certificat personnel. Il peut s’agir d’une carte d’identité électronique permettant d’identifier le signataire. Cela permet de lier cette identité à une paire de clés cryptographiques. Les informations présentes dans ce certificat sont renseignées par la personne demandant la création du certificat. Leur exactitude est vérifiée par l’autorité de certification sur la base de la pièce d’identité envoyée par le signataire. Le niveau d’identification est dans ce cas plus fiable.

Un certificat « qualifié » pour la signature électronique

Lors d’une signature avancée avec certificat qualifié, le certificat émis nécessite l’envoi d’un document d’identité et un face-à-face entre le futur titulaire du certificat et l’opérateur d’enregistrement. Ce dernier pourra ainsi vérifier que la personne en face d’elle est bien la même que sur le document d’identité. Mais également que les informations s’y trouvant sont exactes. Le certificat émis est alors dit « qualifié ».

Enfin, la signature qualifiée est établie au moyen d’un certificat qualifié. Mais aussi d’un dispositif qualifié de création de signatures. Elle bénéficie d’une présomption de fiabilité en droit français en application du décret du 28 septembre 2017. Cela entraîne un renversement de la charge de la preuve. La personne remettant en cause l’identité d’un signataire devra alors prouver qu’elle n’est pas la vraie.

Les effets juridiques de la signature électronique

Lorsque la signature électronique est finalisée, elle manifeste alors le consentement de l’auteur identifié aux obligations de l’acte dont le contenu a été accepté et ne peut être contesté dans son intégrité. L’article 25 du règlement eIDAS prévoit que tous les autres niveaux de signatures restent recevables en justice. A la charge ensuite pour la personne produisant ce document signé d’en démontrer la fiabilité du procédé. Un moyen efficace notamment en matière d’identification de l’auteur ou d’intégrité du document signé.

Cela est beaucoup simple lorsque le document a été signé via la plateforme d’un Prestataire de Services de Confiance qualifié (PSCO). Elle présente des garanties renforcées en permettant de vérifier l’identité du signataire. En particulier lorsqu’un certificat est délivré dans le cadre des opérations de signature. Elle peut aussi produire toute information concernant les documents signées pour alimenter le faisceau de preuves en cas de litige ou de contentieux. Elle peut enfin assurer la fiabilité du procédé technique de signature qui doit se conformer à des normes techniques, organisationnelles et de sécurité strictes. Ces dernières sont imposées par le Règlement eIDAS.

signature électronique TechTalks

La signature électronique qualifiée est la seule équivalente à une signature manuscrite d’un point de vue légal (art 25 du Règlement eIDAS). Elle reste paradoxalement celle qui est la moins utilisée dans le monde des affaires. Et cela en raison de son coût. Mais également de la complexité qu’elle induit dans le cadre de son intégration dans un parcours client.

Simple, avancée ou qualifiée… tout le monde reconnaît aujourd’hui les vertus de la signature électronique. Ainsi, pourquoi s’en priver ? La signature électronique, l’essayer c’est l’adopter !

Cette tribune a été rédigée par William Baldari, Responsable Juridique et Conformité chez Universign.