La numérisation de la société ainsi que la dématérialisation des documents ont permis de développer la signature électronique en France. La tendance est si forte que même les organisations publiques permettent désormais aux citoyens de signer électroniquement des documents administratifs[1].
Comment s’assurer de la légalité de son logiciel de signature électronique ?
Hormis quelques exceptions[2], tous les documents peuvent être signés de manière électronique. Cependant, ce développement se heurte encore à une grande méconnaissance du cadre légal entourant la signature électronique.
Contrairement à l’idée répandue, il ne suffit pas d’insérer une image de sa signature sur un document numérique pour que celui-ci ait une valeur juridique. Afin d’éviter les désagréments, le logiciel de signature électronique doit avoir une valeur légale irréfutable face à un tribunal. Concrètement, celle-ci nécessite de s’inscrire dans un cadre législatif précis, via une solution logicielle fournie par un tiers de confiance certifié.
Découvrons ensemble comment bien utiliser la signature électronique !
Une réglementation en vigueur bien définie en France et en Europe
Le concept de signature électronique n’est pas nouveau d’un point de vue légal. En effet, dès 2000, la signature électronique a reçu une valeur juridique au travers l’article 1316-4 du code civil (article 1367[3] depuis 2016) en France. Le droit Français donne des conditions précises pour qualifier une signature électronique. Celle-ci doit identifier clairement le signataire, garantir son lien unique avec l’acte, et enfin, garantit son lien unique avec l’acte. En 2016, le Règlement européen eIDAS[4] (Electronic IDentification And Trust Services) a renforcé la sécurité juridique de la signature électronique en y apportant un cadre légal clair, de référence, et uniforme au niveau des 28 États membres. L’article 25.1 du règlement européen pose le principe de non-discrimination en vertu. En d’autres termes, celui-ci rappelle que les signatures électroniques ont un effet juridique certain et sont recevables dans le cadre de procédures judiciaires.
D’un point de vue technique, celui-ci définit trois types de signatures électroniques : les signatures électroniques simples, avancées et qualifiées, qui peuvent être utilisées dans les États membres et qui prévoient une réglementation supplémentaire dictant leur utilisation. Le niveau de sécurité et de fiabilité ainsi que les conditions d’utilisation des signatures varient d’une catégorie à l’autre.
Trois niveaux de signature électronique : simple, avancée, qualifiés
D’un point de vue technique, le Règlement européen eIDAS définit trois types de signatures électroniques, qui peuvent être utilisées dans les États membres et qui prévoient une réglementation supplémentaire dictant leur utilisation. Le niveau de sécurité et de fiabilité ainsi que les conditions d’utilisation des signatures varient d’une catégorie à l’autre.
La signature « simple »
C’est le procédé le moins fiable mais paradoxalement le plus couramment utilisé de par sa rapidité et sa facilité. Ce niveau ne nécessite pas la mise en place d’un processus de vérification de l’identité du signataire. Ce type de signature convient aux documents à faible risque juridique (ex: conditions générales d’un site internet, état des lieux, …). Point important, cette signature n’est pas admise en droit des sociétés (droit français).
La signature « avancée »
Plus sécurisée que la précédente, la signature avancée doit répondre à plusieurs critères comme le recours à des techniques de vérification de l’identité du signataire, la création d’un certificat comprenant les données collectées grâce à la pièce d’identité du signataire, la constitution d’un fichier de preuves destiné à prouver différents éléments de sécurité de la création de la signature électronique, et de traçabilité du document signé. Ce niveau correspond aux documents commerciaux, juridiques et administratifs, avec un faible risque de litiges.
La signature « qualifiée »
Garantissant le niveau de sécurité le plus élevé, elle nécessite une vérification visuelle de l’identité du signataire par une autorité de certification, une sécurisation des documents (cryptage) et l’ajout d’un certificat qualifié émis par un prestataire habilité par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), en France. Cette signature est idéale pour les transactions réglementées.
Comment choisir un prestataire de confiance
Afin d’évoluer dans un cadre légal précis et adapté à son organisation, il est judicieux d’avoir recours à l’expertise d’un prestataire de solution de signature électronique qui soit agréé et qualifié.
Les décisionnaires doivent savoir qu’en France, une liste de prestataires remplissant ces critères et conformes aux exigences légales existe et est mise à jour par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) et envoyée à la commission européenne. Il est fortement recommandé de collaborer avec un prestataire de services en conformité avec le règlement eIDAS et certifié par l’ANSSI.
Au-delà de la qualification ANSSI, la sélection d’une solution de signature électronique doit d’effectuer selon des critères à prioriser. De manière évidente, la capacité d’une solution à se conformer aux législations étrangères peut s’avérer déterminante si votre entreprise opère ou envisage d’opérer à l’échelle internationale. Ensuite, la simplicité d’utilisation de la solution par vos équipes, le degré de personnalisation possible ainsi que sa flexibilité doivent aussi influencer votre décision.
Autre élément à considérer : l’intégration de la solution dans vos applications. Une solution qui s’intègre parfaitement aux outils utilisés (SAP, Microsoft, etc.) dans votre entreprise nécessite moins d’efforts et favorise son adoption.
Enfin, la capacité du prestataire à comprendre vos besoins en matière de signature selon le niveau de complexité requis est déterminante. Une solution vous permettant de facilement adapter vos signatures (simples, avancées, qualifiée) en fonction du risque juridique d’un document est à privilégier. Le législateur a apporté une définition claire et un cadre précis à la signature électronique ; au niveau national et européen, afin de reconnaître sa valeur légale au même titre qu’une signature classique. Si l’offre de solutions de signature électronique se développe, les organisations se doivent de choisir une solution selon des critères non seulement légaux, mais aussi techniques et organisationnels, à prioriser selon son activité, son expositition aux risques juridiques et son besoin au niveau des signatures.
[1] https://connective.eu/fr/integration-franceconnect-signature-electronique/
[2] https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000038311018
[3] https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032042456/
[4] https://digital-strategy.ec.europa.eu/en/policies/discover-eidas
