La signature électronique s’impose progressivement dans le monde professionnel. Ses nombreux avantages n’y sont pas pour rien : réduction des délais de traitement et des coûts, sécurité accrue avec l’utilisation d’un certificat permettant d’authentifier le signataire, intégrité du document assurée une fois signé, valeur probante… Or il faut savoir que certains de ces bénéfices ne sont accessibles qu’à partir d’un niveau particulier de sécurité, et que le stade le plus poussé en la matière correspond à la signature électronique qualifiée. De quoi s’agit-il précisément ? Comment fonctionne-t-elle ? Dans quels cas doit-on y avoir recours ? On fait le point.
Les 3 niveaux de signature électronique
Le règlement eIDAS (un cadre réglementaire pour les transactions électroniques au niveau européen, entré en vigueur en 2016) définit trois niveaux de signature électronique, qui correspondent à trois degrés d’exigences liées à l’identification des signataires. Dans le détail :
- La signature électronique simple correspond au premier niveau de sécurité et de reconnaissance légale. Elle englobe l’ensemble des systèmes de signature qui ne nécessitent pas d’identification préalable du signataire. Cette procédure concerne 90 % des créations de signature électronique.
- La signature électronique avancée correspond au deuxième niveau de sécurité. Elle est recommandée lorsque les enjeux juridiques relatifs aux documents signés sont importants. Les critères d’identification sont plus poussés : le signataire doit être formellement authentifié par un certificat numérique.
- La signature électronique qualifiée correspond au plus haut niveau de sécurité. Elle suppose de remplir des conditions strictes en matière de vérification de l’identité du signataire, notamment l’obtention d’un certificat qualifié. Le règlement eIDAS stipule que cette signature « est créée à l’aide d’un dispositif de création de signature électronique qualifié, et (…) repose sur un certificat qualifié de signature électronique » (article 3).
La signature électronique qualifiée est donc la plus sécurisée des trois, et la mieux adaptée à une entreprise qui désire bénéficier des garanties les plus élevées. Néanmoins, il faut garder en tête que chaque type de signature est légal, et valable devant les juridictions des différents pays européens. Toutes sont juridiquement contraignantes et admissibles comme preuves valables devant un tribunal. La seule différence n’est donc pas juridique, mais sécuritaire.
La signature électronique qualifiée
La signature qualifiée reprend les critères de sécurité de la signature avancée : elle doit être liée à son signataire de manière univoque, permettre d’identifier ce dernier de façon formelle, être attachée à des moyens de vérification qui sont la propriété personnelle du signataire (un ordinateur ou un téléphone personnel sur lequel il recevra ses codes de confirmation au moment de valider chaque signature), et garantir l’intégrité du document signé (pour signer un document un PDF par exemple). Ces exigences sont rappelées dans l’article 26 du règlement.
Mais la signature électronique qualifiée en ajoute deux autres, qui font toute la différence en matière de sécurité du processus : l’obtention préalable, par le signataire, d’un certificat qualifié ; la remise au demandeur d’une clé de signature intégrée à un dispositif qualifié de création de signature (QSCD). Ce dispositif peut être matériel ou logiciel et doit, lui aussi, respecter une série d’exigences. Quant au certificat électronique qualifié, il est délivré par une Autorité de Certifications. Il s’agit d’une attestation numérique associant les données de validation d’une signature à une personne physique. L’identité du demandeur doit être vérifiée en amont et en face-à-face, dans le cadre d’une rencontre physique, ou à distance à l’aide d’un logiciel de visioconférence.
Ce faisant, la signature électronique qualifiée est aussi le niveau de signature le plus complexe à mettre en œuvre (en raison des nombreux audits qui doivent être effectués) et le plus lourd à utiliser pour les signataires, qui doivent obtenir au préalable un certificat. Cela, en contrepartie d’un degré de sécurisation élevé. Autant de contraintes qui font de la signature qualifiée une option peu recommandée dans le cadre d’un emploi fréquent, notamment quand il s’agit de faire signer régulièrement des personnes extérieures à l’entreprise (partenaires, clients ou fournisseurs).
Les cas d’utilisation d’une signature numérique qualifiée
La signature électronique qualifiée est adaptée à des opérations de signature qui représentent des risques importants ou qui ont lieu dans des cadres légaux rigoureux (cadre qui peut être différent en fonction des pays). Elle s’applique essentiellement…
- Aux actes authentiques (rédigés par les notaires, les huissiers de justice, les commissaires-priseurs…) ;
- Aux actes rédigés par les avocats (statuts de société, contrat de cession d’actions ou de parts sociales, contrat de vente d’un fonds de commerce, PACS…) ;
- Aux marchés publics dématérialisés ;
- Aux actes dont les effets se produisent hors de France ou de l’Union européenne (souscription de produits financiers, opérations bancaires intra-européennes, etc.).
Pour tous les autres types de documents, la signature électronique qualifiée n’est pas indispensable. On peut tout à fait se contenter d’un logiciel de signature électronique avancée, plus simple à mettre en place, plus souple d’utilisation pour les signataires, et néanmoins suffisamment sécurisée (elle nécessite également l’obtention préalable d’un certificat électronique, sans toutefois imposer autant de contraintes de vérification).
En conclusion, le recours à la signature électronique qualifiée doit être limité à des usages spécifiques et à des secteurs d’activité particuliers (banque, assurance, droit, finances…). Le choix du niveau de garantie doit reposer sur une analyse pointue du contexte réglementaire et juridique, ainsi que sur une étude circonstanciée des risques relatifs aux documents signés et à l’entreprise qui les émet (en termes de productivité, de réputation, de risques financiers…). Enfin, compte tenu de la lourdeur du processus, il est indispensable de trouver un équilibre entre le besoin de la société en matière de sécurité et la souplesse de mise en place et d’utilisation de votre solution de signature électronique.
