La valeur juridique de la signature électronique est acquise en droit français depuis plus de 20 ans. Pourtant, ce n’est que depuis l’entrée en vigueur du règlement eIDAS en 2016 que nous disposons d’un cadre juridique et technique harmonisé au niveau de l’UE. Niveaux de sécurité, formats de signatures, voici quelques explications pour tout comprendre.
Une valeur juridique depuis plus de 20 ans
Le droit français reconnaît la valeur juridique de la signature électronique depuis la loi du 13 mars 2000, transposant une directive européenne du 13 décembre 1999. Ces dispositions sont aujourd’hui énoncées par les articles 1366 et 1367 du code civil, qui précisent que la signature électronique doit reposer sur un “procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache”. Autrement dit, l’authenticité du signataire et l’intégrité du document doivent être garanties par un moyen technique.
Le règlement européen eIDAS (electronic IDentification And trust Services), adopté en 2014 et entré en vigueur le 1er juillet 2016, a abrogé la directive de 1999 et instauré un véritable cadre d’interopérabilité pour les services de confiance, parmi lesquels on retrouve la signature électronique, mais aussi le cachet (eSeal), l’horodatage (eTimestamp), l’envoi recommandé (eDelivery) et l’authentification de sites internet (WAC).
Règlement eIDAS : 3 niveaux de sécurité pour les signatures électroniques
Le règlement eIDAS établit 3 niveaux de sécurité pour les signatures électroniques. La sélection du niveau approprié dépend in fine des contraintes réglementaires applicables (par exemple, dans les marchés publics) et des risques de litiges identifiés.
- Niveau 1 – Signature électronique simple (SES)
Émise sans certificat personnel du signataire, la SES permet de vérifier l’identité du signataire mais ne comporte pas de protection contre la falsification. Elle offre donc une preuve limitée en cas de litige, ce qui limite son usage aux transactions à faible risque, comme une confirmation d’information ou une acceptation de termes généraux.
- Niveau 2 – Signature électronique avancée (AES)
Nécessitant la création d’un certificat, l’AES offre ainsi un niveau de sécurité supérieur. L’AES doit remplir 4 conditions :
-
- établir un lien univoque avec le signataire
- permettre d’identifier formellement le signataire
- être créée par des moyens qui sont sous le contrôle exclusif du signataire (PC, téléphone…)
- garantir l’intégrité du document.
L’AES est adaptée aux transactions plus sensibles, comme les contrats officiels, les licences ou les accords légaux dans le secteur public. Utilisée par 65 % des entreprises, la signature avancée est le type de signature le plus répandu en France.
Utilisée par 65 % des entreprises, la signature avancée est le type de signature le plus répandu en France.
Un niveau de sécurité intermédiaire est apparu avec les usages : la signature électronique avancée avec certificat qualifié. Il s’agit d’une AES à laquelle un processus a été ajouté pour garantir l’identité du signataire. Concrètement, elle implique l’émission d’un certificat par un prestataire de service de confiance qui vérifie l’identité du signataire.
- Niveau 3 – Signature électronique qualifiée (QES)
Forme de signature électronique la plus sécurisée, elle requiert un dispositif de création de signature qualifiée (QSCD) et doit être basée sur un certificat qualifié. Ce dernier ne peut être émis qu’une fois l’identité du signataire vérifiée en face-à-face par un opérateur habilité. Ce niveau de signature convient pour les transactions exigeant un niveau de confiance maximal (actes notariés, marchés publics, documents officiels de l’État, accords de propriété intellectuelle…).
Marchés publics : quel niveau de signature ?
L’arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique impose le recours à un certificat de signature électronique qualifié au sens du règlement eIDAS. Il peut donc s’agir d’une AES avec certificat qualifié ou d’une QES.
Qui certifie les certificats ?
Le règlement eIDAS encadre la délivrance de certificats qualifiés par les prestataires de services de confiance (PSC), qui sont des entités agréées et régulées que l’on retrouve sur une liste (Trusted Services List) tenue à jour par l’ANSSI. On citera notamment CertEurope, Certigna, ChamberSign ou encore DocuSign.
Les prestataires de confiance gèrent la durée de validité des certificats et sont à même de les suspendre ou de les révoquer.
En complément du règlement eIDAS, les PSC se plient à des normes techniques élaborées pour garantir la sécurité et l’interopérabilité de certificats qualifiés. En pratique, ils procèdent à la vérification de l’identité des signataires, stockent les certificats qualifiés sur des supports sécurisés répondant aux exigences QSCD (Qualified Signature Creation Device) tels qu’une clé USB chiffrée ou une carte à puce. Ils gèrent la durée de validité des certificats et sont à même de les suspendre ou de les révoquer en cas de compromission.
3 formats de documents en fonction des usages
Le règlement eIDAS accepte 3 formats de signature électronique, qui correspondent à différents types de fichiers :
- XAdES (XML Advanced Electronic Signatures)
Utilisée principalement pour les documents structurés XML (formulaires en ligne, déclarations électroniques, facturation électronique…), la signature XAdES est conçue pour répondre aux besoins des signatures électroniques avancées, et peut être incorporée au document ou stockée à part.
- PAdES (PDF Advanced Electronic Signatures)
La PAdES est une spécification pour les signatures électroniques avancées au format PDF. La signature est visuellement représentée dans le PDF. Ce format est adapté à de nombreux usages (documents juridiques, rapports financiers, dossiers médicaux…).
- CAdES (CMS Advanced Electronic Signatures)
Ce format repose sur la CMS (Cryptographic Message Syntax). Ce format est plus polyvalent et peut être utilisé pour une variété de formats de données, y compris des documents numériques et des messages électroniques.
En résumé, le choix du bon format de signature dépend de la nature du document à sécuriser, mais la valeur juridique d’une signature électronique dépend du niveau de sécurité sélectionné. Et à ce sujet, seules la signature avancée avec certificat qualifié et la signature qualifiée sont valables pour les marchés publics.
