Les types de signature électronique conforme en Europe

You are currently viewing Les types de signature électronique conforme en Europe

Les types de signature électronique conforme en Europe

        Etymologiquement, le terme signature vient du substantif latin « signum, i » qui correspond notamment au signe, à la marque, à l’empreinte mais aussi au sceau ou au cachet. Elle doit permettre l’identification de la personne qui l’appose sur un acte. 

        D’ailleurs, le dictionnaire Larousse la définit comme « Toute marque distinctive et personnelle manuscrite, permettant d’individualiser, sans doute possible, son auteur et traduisant la volonté non équivoque de consentir à un acte. ». Cette définition, aussi large qu’elle soit, n’inclut pas la signature électronique, elle se limite à la seule signature « manuscrite », alors qu’il s’agit de la dernière version du dictionnaire. Mais elle a tout de même le mérite d’avoir conservé l’essence de la définition d’une signature.  

        Le lexique des termes juridiques de Dalloz, quant à lui, la définit comme une « apposition manuscrite et invariable, au bas d’un document, du nom d’une personne ou, lorsque la signature est électronique, procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. ». Celle-ci prend en compte la signature dans sa dimension manuscrite et électronique. 

Premier cadre communautaire de la signature électronique

La directive 1999/93/CE du Parlement européen et du Conseil, du 13 décembre 1999, fut le premier cadre communautaire pour les signatures électroniques. Cette directive avait pour objectif de faciliter l’utilisation des signatures électroniques et de contribuer à leur reconnaissance juridique. Elle institua un cadre juridique à la fois pour les signatures électroniques mais aussi, certains services de certification afin de garantir le bon fonctionnement du marché intérieur, comme le prévoit le premier article de cette directive.

         Elle a pris le soin de définir certains termes, notamment la signature électronique en tant qu’ « une donnée sous forme électronique, qui est jointe ou liée logiquement à d’autres données électroniques et qui sert de méthode d’authentification. ». 

       En revanche, les différences dans la transposition de cette directive, d’un Etat à un autre, n’ont pas permis d’atteindre une émergence du socle commun d’interopérabilité souhaité, nécessaire au développement des échanges dans l’espace communautaire.

       L’élaboration d’un nouveau cadre juridique commun entre les Etats s’est imposé pour répondre à ces difficultés.  C’est ainsi, que le règlement 910/2014 sur l’identification électronique et les services de confiance pour les transactions  électroniques au sein du marché intérieur, dit eIDAS, fut adopté le 23 juillet 2014, en abrogeant et remplaçant la directive 1999/93.

 Règlement européen en vigueur en matière de signature électronique

 Le règlement eIDAS, texte européen en vigueur au moment où nous écrivons cet article, élargit le champ d’application de la directive 1999/93 sur la signature électronique. Il traite plusieurs technologies à la fois, à  savoir, l’identification électronique incluant la signature électronique, le cachet  électronique , l’horodatage électronique, les services d’envoi recommandé électronique, l’authentification de sites internet et les services de confiance dans les transactions électroniques.

        Son application directe, sa portée générale et son caractère obligatoire dans toutes ses dispositions, en tant que règlement, aurait dû permettre de mettre fin aux interprétations diverses au sein de l’union. Mais, quelques années après son adoption, des lacunes et difficultés de mise en œuvre suscitent la révision du  texte existant. 

         A l’instar de ses homologues européens, le législateur français avait transposé la directive 1999/93/CE, puis, a inscrit l’actuelle réglementation dans son droit interne.            Le 28 septembre 2017, un peu plus de trois ans plus tard, le décret n° 2017-1416 relatif à la signature électronique a aligné le droit français avec le texte européen. Même si ce texte est resté peu connu par les acteurs, à l’époque, il fait surface au grand jour, à la suite de l’intérêt que suscite la signature électronique. 

 

Les niveaux de signatures électroniques reconnus au niveau européen

 La plupart des acteurs du marché de la signature électronique distinguent trois niveaux de signature (simple, avancée et qualifiée) alors que l’ANSSI en distinguent quatre sur la base du règlement eIDAS. La distinction des acteurs est certes pratique et permet à l’utilisateur de comprendre facilement et de faire un choix parmi les différentes « gammes » de produits, mais elle ne permet pas de marquer certaines différences techniques et juridiques entre les différents niveaux. L’analyse des niveaux de signature électronique se fera suivant la distinction proposée par l’ANSSI, c’est à dire, 4 niveaux.

Le 1er niveau: la signature électronique simple  

        La signature électronique simple constitue l’une des plus utilisées selon les acteurs du marché, comme le précise Matthieu Duault, Brand Manager chez Yousign. Comme son nom l’indique, elle regroupe tout un ensemble de systèmes ou méthode de signature électronique facile à mettre en place et propre à elle-même. Elle ne requiert aucune exigence technique ou juridique particulière. Elle est utilisée, à priori, par des personnes qui souhaitent faire apparaître simplement une signature sur un support. Elle constitue la catégorie de signature électronique la moins fiable. 

       En effet, aucune exigence particulière n’est imposée par les textes pour sa mise en œuvre.  Par ailleurs, la conformité des dispositifs concourant à la signature électronique simple ne fait aucun objet d’audit ni d’un tiers compétent et indépendant ni d’une décision par  l’organe de contrôle, notamment l’ANSSI. En réalité, les éventuelles garanties affichées par les acteurs du marché de solution de signature électronique simple sont purement déclaratives.  

Exemples de signatures électroniques simples

 Il peut s’agir d’une simple signature, sous forme de dessin, réalisée avec le stylo d’une tablette. Elle peut, également, avoir une forme « un peu plus sécurisée » avec une confirmation par un code reçu via un canal de communication du signataire tel que le sms ou via la boîte mail. Toutefois, la signature se fait sans aucune procédure d’identification du signataire tout au long du procédé. Le numéro de téléphone ou la boîte mail peuvent ne même pas appartenir au signataire.  Il peut s’agir, en outre, d’une case à cocher, lors d’un achat sur un site internet  de vente en ligne. 

          Le niveau de sécurité de la signature électronique simple est donc très faible, l’identité du signataire peut difficilement être garantie, ainsi, la signature ne permet pas de garantir la non-répudiation du document.

Il  s’agit d’un niveau conçu essentiellement pour le grand public. La signature électronique simple peut donc être utilisée dans certains cas, notamment, lorsqu’il n’existe pas de risque substantiel de litige, ni d’obligation légale imposant un niveau particulier de signature électronique. 

      

Le 2ème niveau: la signature électronique avancée 

              La signature électronique avancée constitue le niveau le plus couramment utilisé par les entreprises, selon Francenum. Elle constitue le deuxième niveau prévu par le règlement eIDAS. Tout comme, la signature électronique simple, ce niveau de signature électronique ne fait pas l’objet d’audit par un tiers compétent et indépendant ni d’une décision par l’organe de contrôle. Toutefois, les signatures avancées répondent à des exigences spécifiques formalisées dans la réglementation et doivent, en  principe,   permettre   d’identifier le signataire. 

Exigences applicables à la signature électronique avancée.

La signature électronique avancée est définie à l’article 26 du règlement eIDAS. Au sens de cette disposition, elle doit satisfaire à des exigences telles que lier de manière univoque le signataire, permettre son identification, avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif et être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable. Ainsi, elle répond à plus d’exigences et à un niveau de sécurité plus élevé que la simple signature électronique.

Exemple de signature électronique avancée

La signature électronique avancée peut être mise en œuvre par la confirmation de la signature via un code reçu par sms avec un numéro de téléphone enregistré d’une manière procédurale permettant d’identifier le signataire. La vérification de l’identité du signataire se fait  par l’envoi d’une pièce d’identité au sens de l’article 26 du règlement eIDAS. 

 

Le 3ème niveau: la signature électronique avancée reposant sur un certificat qualifié 

       La signature électronique avancée reposant sur un certificat qualifié doit respecter les exigences particulières posées par l’article 26 d’une signature électronique avancée, celles de l’article 28, ainsi que celles prévues par l’annexe 1 du règlement eIDAS. Ces dispositions combinées permettent d’établir des processus de vérification de l’identité du signataire, du demandeur du certificat, de la délivrance et de la gestion du cycle de vie du certificat qualifié répondant à des exigences de sécurité importantes, qui permettent de garantir que ce certificat est uniquement délivré au signataire légitime. Le règlement exige la limitation des exigences, en principe, qu’à celles prévues dans le règlement. 

Exemples de signature électronique avancée reposant sur un certificat qualifié

Il peut s’agir d’une signature créée à travers un logiciel de signature électronique exigeant tout de même, la présentation d’un certificat qualifié préalablement délivré au signataire lors d’un face-à-face physique. Ou encore, d’une signature confirmée par un code reçu par SMS sur un numéro de téléphone ou sur une application mobile, enregistré et lié à l’identité du signataire à l’occasion d’un face-à-face physique ou d’une vérification d’identité à distance couplé à l’utilisation d’un certificat qualifié de signature électronique.

Le 4ème  niveau: la signature électronique qualifiée 

La signature électronique qualifiée est le niveau moins couramment utilisé de tous les niveaux. 

       Les dispositifs de création de signature électronique qualifiés doivent respecter les exigences fixées à l’annexe II du règlement eIDAS. Ils doivent garantir au moins, par des moyens techniques et des procédures appropriés, certains éléments de sécurité. Elle reste, à ce jour, le procédé le plus fiable nécessitant un prestataire de services de confiance qualifié pour sa gestion que les précédents niveaux.  Elle permet, d’une part, de s’assurer de la fiabilité de l’identité du signataire en se reposant sur un certificat qualifié de signature électronique et d’autre part, de  s’assurer  de  la  sécurité   des   données contenues dans le document signé grâce  à  l’utilisation  d’un dispositif de création de signature électronique qualifié.

Prestataire de services de confiance qualifié 

En France, les certificats de signature électronique qualifiés au sens du règlement eIDAS sont délivrés par des prestataires de services de certification électronique qualifiés. Ces prestataires de services sont eux-mêmes établis par l’ANSSI. Ils font l’objet d’audits réguliers effectués par des organismes d’évaluation de la conformité accrédités par l’ANSSI.  

Responsabilité du prestataire de services de confiance qualifié

La responsabilité du prestataire de services de confiance qualifié peut être engagée, conformément à la loi du 21 juin 2004, dite LCEN (Loi pour la confiance dans l’économie numérique). En effet, « sauf à démontrer qu’ils n’ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés dans chacun des cas suivants : les informations contenues dans le certificat, à la date de sa délivrance, étaient inexactes; les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes; la délivrance du certificat n’a pas donné lieu à la vérification que le signataire détient la convention privée correspondant à la convention publique de ce certificat; les prestataires n’ont pas, le cas échéant, fait procéder à l’enregistrement de la révocation du certificat et tenu cette information à la disposition des tiers ».

La responsabilité du prestataire pourra cependant être écartée lorsqu’il sera établi que l’utilisateur aura fait du certificat un usage « dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé, à condition que ces limites figurent dans le certificat et soient accessibles aux utilisateurs ».

La signature électronique qualifiée constitue, la signature la plus « robuste » techniquement et la mieux protégée juridiquement. Un tel dispositif est conçu pour garantir, avec un haut niveau de confiance, que la signature ne peut être réalisée que par le signataire légitime.

Conclusion

            Le choix du niveau de signature dépend de l’usage, et de l’enjeu du document à signer.  Les entités publiques comme privées utilisent majoritairement la signature électronique simple malgré sa valeur juridique limitée, ne garantissant pas l’intégrité des données signées ni l’identité du signataire. Certains estiment que leurs clients ou usagers sont suffisamment identifiés préalablement par la constitution de dossier contenant la pièce d’identité du futur signataire. La signature, n’est donc, rien d’autre, qu’une formalité après toutes les autres phases d’identification et de vérification d’identité préalable à la souscription ou l’adhésion à un contrat. Malgré tout, la signature électronique avancée reste le niveau le plus adapté pour la plupart des contrats. Pour d’autres contrats plus sensibles ou importants, la signature électronique avancée reposant sur un certificat qualifié pourrait être la plus appropriée.  Enfin, le grand niveau de sécurité qu’offre la signature électronique qualifié en fait une option recommandée principalement pour les documents dont l’authentification est fondamentale. Notamment, pour des actes authentiques notariés ou d’huissiers ou encore dans le cadre des marchés publics. En revanche, sa complexité opérationnelle, ne ferait pas d’elle, le dispositif de signature privilégié pour des actes moins sensibles. 

Le choix de la signature électronique est un moment délicat. Il doit donc être fait au regard de nombreuses conséquences juridiques que ce choix pourrait susciter. 

Auteur:

Stéphane KOUAKOU-KAN, Juriste en conformité spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.

Pour aller plus loin

Bibliographie:

  • La Signature Électronique: Un Outil Devenu Incontournable | France Num, Portail de La Transformation Numérique Des Entreprises. https://www.francenum.gouv.fr/comprendre-le-numerique/la-signature-electronique-un-outil-devenu-incontournable. Accessed 21 May 202
  • Dictionnaire de droit et de pratique, p.760
  • D.DALLOZ et A. DALLOZ, Répertoire de législation, de doctrine et de jurisprudence
  • CHEVALLIER, Observation sur la notion de signature dans les actes instrumentaires, Annales de la faculté de droit de Beyrouth, 1948, p.47
  • J. CARBONNIER, Les Obligations 
  • D. LAMETHE, op. cit., P10
  • M. A. GUERRIERO, l’acte juridique solennel, 1975, p.326
  • Signature électronique simple, avancée, qualifiée: quelle différence? https://yousign.com/fr-fr/blog/signature-electronique-simple-avancee-qualifiee-quelle-difference.
  • Guide de sélection du niveau des signatures et des cachets électroniques. ANSS
**Nombre de vue: 297

Laisser un commentaire