Mettre en place la signature électronique en entreprise permet d’optimiser les processus internes, l’expérience client et l’efficacité des équipes commerciales. Cependant il est parfois difficile de savoir quel niveau de signature est le plus adéquat en fonction de l’usage.
Choisir le bon niveau de signature électronique : la preuve par 4
Envoi d’un lien ou code par email ou SMS, transmission de pièce d’identité, vérification d’identité en face à face ou à distance, plus les méthodes d’identification sont fiables et nombreuses, plus elles diminuent le risque d’usurpation d’identité et de contestation de la signature, et plus le niveau de celle-ci sera élevé.
Pour harmoniser les pratiques, le règlement Européen eIDAS, qui encadre la signature électronique en Europe, a défini 4 niveaux de signatures qui se différencient principalement par les méthodes d’identification exigées.
4 niveaux de signature
La signature simple est la plus utilisée, et représente environ 90% des signatures électroniques. Elle n’impose pas de vérification de l’identité et repose sur des authentifications électroniques comme l’email, le numéro de téléphone et l’adresse IP. Elle est très simple à mettre en place, facile et rapide à utiliser, et peu contraignante pour les signataires. Elle offre un très bon compromis entre la protection juridique et l’expérience utilisateur dans la plupart des cas. En revanche elle est plus simple à invalider et offre un niveau de sécurité juridique faible. Elle n’est donc pas recommandée lorsque le risque de litige est important.
La signature avancée exige d’identifier le signataire de manière univoque, via la création d’un certificat d’identité émis à son nom. La personne doit transmettre une copie de sa pièce d’identité lors de sa signature mais cette information étant déclarative, il n’y a pas de contrôle par un tiers compétent. Elle est plus contraignante à utiliser car elle exige de transmettre une pièce d’identité. Elle offre une protection juridique moyenne qui ne permet pas de couvrir les risques importants.
La signature avancée avec certificat qualifié impose la création d’un certificat qualifié. L’identité du signataire doit être vérifiée en face-à-face par un Opérateur d’Enregistrement Délégué (OED). Celui-ci est lui-même mandaté par une Autorité de Certification. Cette vérification physique permet d’émettre un certificat qualifié valable pour une durée de 5 ans et d’identifier le signataire de manière fiable. Lors de chaque signature, le mandataire doit tout de même transmettre sa pièce d’identité. Elle offre une protection juridique très forte mais est très contraignante à mettre en place car elle exige un rendez-vous physique avec une personne mandatée (OED). Le règlement européen eIDAS a ouvert la voie à la création de solutions de vérification à distance et l’ANSSI a émis cette année les premières qualifications.
Enfin la signature qualifiée est le plus haut niveau de signature. Elle impose l’utilisation d’un certificat qualifié également mais la différence réside dans le fait que le dispositif informatique utilisé pour créer le certificat doit lui-même être certifié. On l’appelle QSCD pour Qualified Signature Creation Device. Le QSCD utilisé lors de la création du certificat qualifié est détenu par le Prestataire de Services de Confiance (PSCo), c’est-à-dire le fournisseur de solution de signature électronique. La signature qualifiée offre la protection juridique la plus forte possible, et inverse la charge de la preuve. C’est à la personne qui conteste la signature de prouver l’usurpation de son identité. Elle est extrêmement complexe à mettre en place et n’est recommandée que lorsque la loi l’impose.
5 critères de choix à prendre en compte
Pour choisir le bon niveau de signature, il est nécessaire d’analyser les risques pour chaque document à signer électroniquement en évaluant les quatre critères suivants :
- La portée du document : sa reconnaissance sera-t-elle nationale, européenne ou internationale ?
- Le type de document : s’agit-il d’un acte notarié, d’une décision administrative, d’une souscription ?
- Obligations réglementaires : y a-t-il un niveau minimal de signature électronique obligatoire à respecter ?
- Risque financier en cas de litige : est-il peu ou fortement probable ? Quel est l’impact de l’annulation de l’acte signé ?
- L’expérience utilisateur : Le parcours de signature est-il adapté à l’expérience recherchée ?
Par exemple, un document RH ou interne à l’entreprise ne présente quasiment aucun risque de fraude et financier. Il en est de même pour une souscription de particulier telle que forfait internet, assurance habitation ou encore complémentaire santé. Une signature simple fera l’affaire dans la majorité des cas.
Pour une souscription client ou fournisseur, le risque de fraude reste très faible. En revanche, l’impact juridique ou financier en cas de nullité, et la portée internationale du document peuvent orienter vers une signature simple, avancée, ou avancée avec certificat qualifié selon le cas de figure.
Avec un acte notarié, le risque juridique et financier est très important en cas de nullité de la signature électronique. Il sera alors recommandé d’opter pour une signature avancée avec certificat qualifié pour les actes sous seing privé, ou une signature qualifiée pour les actes authentiques. Ces deux signatures sont les seules à prouver l’identité du signataire avec certitude.
En résumé, plus le niveau de signature utilisé est élevé, plus la protection juridique en cas de contestation de la signature est forte, mais plus elle est complexe à utiliser par les signataires. D’où l’importance de faire le choix le plus judicieux afin de préserver la qualité et la sérénité de l’expérience des utilisateurs.