Grâce à sa capacité à garantir l'intégrité des documents signés et l'authentification des signataires, la signature électronique est un véritable gage de sécurité pour les entreprises, notamment pour leurs services juridiques. Elle est aujourd'hui très largement répandue dans tous les secteurs d'activités et le contexte lié à la crise sanitaire, avec la nécessité de travailler à distance, renforce cette tendance de fond. Intégrité d'un document, authentification du signataire, conservation dans le temps… le point sur les éléments clés que doivent garantir une solution efficace de signature électronique au sens juridique.
La signature électronique est un procédé fiable d'identification permettant de lier un acte dont l'intégrité est garantie à une personne dûment identifiée : le signataire 1.
Signature électronique et intégrité : dans le détail du procédé
Avant toute chose, rappelons que l'intégrité est définie comme l'État de quelque chose qui a conservé son état originel sans avoir été modifié.
Dans tous les procédés de signature électronique, l'intégrité est techniquement assurée au moment de sa réalisation, par un procédé cryptographique d'horodatage qui permet de garantir l'intégrité et l'authenticité du document à une date et heure précises et que celui-ci n'a pas été modifié depuis cette date. Lorsque l'horodatage est qualifié au sens du règlement européen eIDAS2, la date, l'heure et la survenue du traitement ainsi que l'intégrité du document ne sont plus contestables.
Une fois le document signé, il doit être conservé dans des conditions de nature à en garantir son intégrité dans le temps. Il s'agit là d'une condition essentielle. Un problème peut néanmoins parfois apparaître lorsqu'un document signé doit être conservé pour des durées très longues. En effet, il est possible que les technologies et les algorithmes permettant de garantir la sécurité technique d'un horodatage électronique ne soient plus en mesure d'assurer ces mêmes garanties en raison de progrès technologiques.
Il convient alors de se prémunir sur le très long terme des évolutions technologiques qui sont susceptibles de compromettre la démonstration de fiabilité d'une preuve électronique.
Cette garantie peut être apportée de plusieurs façons :
- Le document signé est stocké dans un Coffre-fort Électronique (répondant par exemple aux exigences de la Norme AFNOR NF Z42-020 en France) permettant l'archivage à valeur légale. Il permet notamment d'assurer que le document déposé est bien celui d'origine lorsqu'il en est extrait.
- Le document signé est conservé dans des conditions lui permettant de recevoir à date régulière un horodatage complémentaire permettant d'étendre dans le temps la fiabilité de l'intégrité constatée à la date de signature initiale (conservation à valeur probatoire se référant aux normes ETSI EN 319 142-1).
Vérification de l'identité du signataire : différents niveaux de signatures adaptés selon les besoins
Le règlement eIDAS est à l'origine de trois niveaux de signature : simple, avancée et qualifiée. Par ailleurs, la pratique commerciale a vu naître un quatrième niveau, avancé avec certificat qualifié.
En fonction du niveau de signature la garantie de l'identité du signataire est plus ou moins forte.
La signature électronique simple est émise sans qu'il n'existe de contrôle sur l'identité du signataire. L'identité du signataire et les informations relatives (numéro de téléphone, adresse email) sont renseignées par la personne souhaitant lui faire signer le document. Elles sont souvent communiquées en amont par le futur signataire sur une base déclarative.
Ce niveau de signature est recommandé pour les actes dont la probabilité de répudiation est faible. Il peut également être utilisé dans les parcours clients intégrant, indépendamment des opérations de signature, des mécanismes de contrôle de vérification d'identité renforcés des futurs signataires (processus de KYC).
La signature avancée repose quant à elle sur des moyens d'identifications renforcés. En effet, celle-ci nécessite la création d'un certificat personnel (une carte d'identité électronique permettant d'identifier le signataire et de lier cette identité à une paire de clés cryptographiques). Les informations présentes dans ce certificat sont renseignées par la personne demandant la création du certificat et leur exactitude est vérifiée par l'autorité de certification sur la base de la pièce d'identité envoyée par le signataire. Le niveau d'identification est dans ce cas plus fiable.
Lors d'une signature avancée avec certificat qualifié, le certificat émis nécessite l'envoi d'un document d'identité et un face-à-face entre le futur titulaire du certificat et l'opérateur d'enregistrement. Ce dernier pourra ainsi vérifier que la personne en face d'elle est bien la même que sur le document d'identité et que les informations s'y trouvant sont exactes. Le certificat émis est alors dit « qualifié ».
Enfin, la signature qualifiée, qui est le niveau le plus élevé au sens du règlement eIDAS, est établie au moyen d'un certificat qualifié et d'un dispositif qualifié de création de signatures. Elle bénéficie d'une présomption de fiabilité3 en droit français en application du décret du 28 septembre 20174, ce qui entraîne un renversement de la charge de la preuve : la personne remettant en cause l'identité d'un signataire devra alors prouver qu'elle n'est pas la vraie.
Les effets juridiques de la signature électronique
Lorsque la signature électronique est finalisée, elle manifeste alors le consentement de l'auteur identifié aux obligations de l'acte dont le contenu a été accepté et ne peut être contesté dans son intégrité.
L'article 25 du règlement eIDAS prévoit que tous les autres niveaux de signatures restent recevables en justice, à la charge pour la personne produisant ce document signé d'en démontrer la fiabilité du procédé notamment en matière d'identification de l'auteur ou d'intégrité du document signé.
Cela est beaucoup plus simple lorsque le document a été signé via la plateforme d'un Prestataire de Services de Confiance qualifié (PSCO) qui présente des garanties renforcées en permettant notamment :
- de vérifier l'identité du signataire lorsqu'un certificat est délivré dans le cadre des opérations de signature ;
- de produire toute information concernant les documents signées pour alimenter le faisceau de preuves en cas de litige ou de contentieux ;
- d'assurer la fiabilité du procédé technique de signature qui doit se conformer à des normes techniques, organisationnelles et de sécurité strictes imposées par le Règlement eIDAS.
Notons que la signature électronique qualifiée est la seule équivalente à une signature manuscrite d'un point de vue légal (article 25 du Règlement eIDAS)5. Elle reste paradoxalement celle qui est la moins utilisée dans le monde des affaires en raison de son coût et de la complexité qu'elle induit dans le cadre de son intégration dans un parcours client.
Simple, avancée ou qualifiée… tout le monde reconnaît aujourd'hui les vertus de la signature électronique. Ainsi, pourquoi s'en priver ? La signature électronique, l'essayer c'est l'adopter !
………………………………………