Niveau de signature électronique : simple, avancée, qualifiée, quelles différences ?

Il existe différents niveaux de signature électronique plus ou moins complexes et sécurisées. Maslow ne dira pas le contraire, il semble naturel de se diriger vers le type de signature qui présente le plus haut niveau de sécurité.

La réglementation européenne sur l’identification électronique et les services de confiance pour les transactions électroniques (dite réglementation eIDAS) définit trois niveaux de signature électronique :

• la signature simple*
• la signature avancée
• la signature qualifiée

* La signature “simple” est un terme vernaculaire qui regroupe l’ensemble des systèmes de signature électronique n’ayant pas les niveaux avancés ou qualifiés. Bien qu’utilisée par la grande majorité des fournisseurs de solutions de signature électronique, le règlement eIDAS n’utilise pas concrètement cette appellation. Afin de simplifier la compréhension de cet article nous utiliserons donc l’expression “signature simple” pour identifier le premier niveau de signature électronique.

Selon le règlement eIDAS une signature électronique correspond à “des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer”.

Idéalement, elle doit impliquer :

• le respect des normes de signature ETSI (Institut européen des normes de télécommunications) et du Règlement eIDAS sur l’identification électronique et les services de confiance pour les transactions numériques au sein du marché intérieur de l’Union Européenne.
• l’usage d’un certificat électronique
• un système de vérification de l’identité du signataire
• la possibilité de prouver que le document n’a pas été modifié depuis sa signature

Il est conseillé de réaliser ses signatures électroniques au moyen d’une solution créée par un tiers de confiance et une autorité de certification reconnue. Vous pouvez retrouver la liste des autorités de certification européennes qualifiées sur le site de la Commission Européenne.

La différence entre les trois types de signature concerne donc le niveau de sécurité attaché à chacun des critères précités et aux étapes de validation de l’identité du signataire qui pourront être plus ou moins poussées. La force de la signature réside ainsi dans le degré de confiance qu’elle apporte quant à l’identité de la personne qui a signé et dans la preuve que le document signé est bien celui présenté.

Cependant est-il toujours utile de s’imposer et d’imposer à vos interlocuteurs ou clients un système qui nécessite de multiples étapes, quand une signature simple ou avancée peut déjà présenter un niveau de validité et de sécurité adapté ?

Afin de vous aider à vous y retrouver, nous allons vous expliquer les différences entre les trois niveaux de signature électronique existants et leur utilité, qui sera évidemment fonction du type de contenu signé.

La signature électronique simple est la procédure actuellement la plus utilisée. Aujourd’hui, l’écrasante majorité des signatures électroniques réalisées sur le marché sont dites “simples” car plus adaptées et favorisant un usage rapide et fluide. La signature électronique simple correspond au premier stade de sécurité et de reconnaissance légale de la signature d’un document.

Il n’y a pas de liste établie des exigences liées à ce type de signature. Vous pouvez donc, en 2 clics, et sans processus concret de vérification d’identité ou de consentement, faire signer un document. Le signataire pourrait alors tout simplement nier l’avoir signé. Ainsi une signature scannée ou une signature numérique basique comme celle que vous réalisez par exemple sur la borne du livreur qui vous apporte vos colis sont des signatures dites simples.

Le processus de signature simple peut cependant être renforcé et acquérir une valeur légale plus importante si on ajoute une étape d’authentification comme le fait Yousign au moyen d’un code SMS reçu par les signataires et nécessaire à la signature du document.

De même, si la mise en place d’un dossier de preuves n’a rien d’obligatoire dans cette forme de signature, il est évident que sa création et son stockage, ainsi que le nombre et la qualité des preuves qui seront réunies dans ce dossier apporteront un niveau de crédibilité largement supérieur en cas de contestation du contrat. Ce dossier de preuves peut être constitué d’éléments tels que l’adresse email du signataire, son numéro de téléphone, l’adresse IP de l’ordinateur utilisé pour signer le document… L’objectif de ce dossier de preuves étant de pouvoir retracer pas à pas les différentes étapes d’une transaction.

Même dans les cas de signature simple, Yousign crée un dossier de preuves horodaté pour chaque procédure contenant un ensemble de traces informatiques qui seront conservées 10 ans chez Arkhineo tiers de confiance archiveur certifié au niveau européen.

Actes courants ou comportant des risques juridiques ou financiers limités :

• Contrats d’adhésion (contrats d’assurance de complémentaire santé, CGU/CGV, ...)
• Etat des lieux d’entrée et de sortie d’un logement
• Devis
• Facture
• Attestation de vente
• Contrat fournisseur
• Contrat de bail
• Contrat de travail
• Opérations de caisse
• Mandat de prélèvement SEPA
• Quittance de loyer
• ...

La signature avancée, plus sécurisée, est conseillée dans le cadre de transactions financières conséquentes ou de signature de documents pouvant présenter des enjeux juridiques importants

Comme nous l’avons vu, la définition de la signature électronique simple est plutôt large et peut-être soumise à interprétation. La signature électronique avancée doit quant à elle répondre à des critères de vérification d’identité plus poussés et dispose ainsi de niveaux de sécurité supérieurs tels qu’énoncés dans le règlement eIDAS.

Ainsi, la signature électronique avancée doit :

• être liée à son signataire de manière univoque (ie de manière unique et claire)
• permettre d’identifier formellement le signataire
• être créée par des moyens sous le contrôle exclusif du signataire comme son téléphone ou ordinateur personnel
• garantir que l’acte auquel elle s’attache ne pourra pas être modifié

Ces éléments peuvent se traduire par des systèmes comme le téléchargement puis la vérification de la pièce d’identité du signataire et son ajout au dossier de preuves, comme le propose Yousign. Un renforcement de la preuve de consentement du signataire, comme l’ajout d’une case à cocher attestant de la bonne compréhension du document ou encore un texte à recopier, démontreront encore davantage, en cas de contestation, la volonté du signataire de signer ce document. L’ensemble de ces systèmes de vérification d’identité et preuves de consentement peuvent se cumuler pour renforcer la validité de la signature.

Il existe également une procédure de signature avancée avec certificat qualifié qui nécessite la vérification en face à face (physique ou distant) de l’identité du signataire et qui peut être utilisée dans des cas précis comme les réponses à appels d’offre pour les marchés publics. C’est la solution intermédiaire entre la signature avancée et la signature qualifiée.

Vous souhaitez aller plus loin ? Découvrez notre article pour tout savoir sur la signature électronique avancée.

• Compromis de vente immobiliers

• Contrats d’ouverture de comptes bancaires

• Contrats de crédits déployés à l’échelon national

  • Contrats de crédits à la consommation
  • Contrats de crédits immobiliers

• Contractualisation en agence ou à distance de certains produits bancaires et d’assurance

  • Epargne
  • Assurance-vie
  • Contrat de prévoyance dit « loi Madelin »
  • …

La signature électronique qualifiée est le stade le plus poussé de sécurité en matière de signature électronique. Pouvant se révéler particulièrement contraignante, elle n’est utilisée que dans des cas bien précis.

D’un point de vue légal, la différence entre la signature qualifiée et les signatures simple et avancée est forte. Ce niveau de signature électronique a des contraintes règlementaires concrètement définies en matière de vérification de l’identité du signataire et de protection de la clé de signature. Par ailleurs, son effet juridique est équivalent à celui d’une signature manuscrite, là où les autres niveaux de signature électronique disposent, quant à eux, d’une valeur probatoire. Elle est ainsi réglementairement reconnue dans tous les Etats membres de l’Union Européenne.

Tout savoir sur la QES ici.

Un procédé de signature électronique est présumé fiable lorsque celui-ci fait appel à une signature électronique qualifiée, délivrée par une autorité de certification. Ces autorités de certification sont contrôlées par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France et par des instances équivalentes dans chaque pays européen.

Découvrez notre article pour tout savoir sur le visa de sécurité délivré par l'ANSSI.

La procédure de signature qualifiée reprend les mêmes critères de sécurité que la signature avancée mais nécessite que l’identité du signataire soit validée en amont et que la clé de signature se trouve dans un dispositif qualifié de création de signature électronique (QSCD). Si auparavant la vérification d’identité nécessitait une rencontre physique, elle peut désormais être réalisée à distance si certaines conditions sont respectées.

Cela peut donc se faire à l’occasion d’une rencontre physique durant laquelle le signataire se verra remettre un moyen d’identification matériel nommé “token” (carte à puce, clé USB, badge…) permettant à l’autorité de certification de valider son identité et au signataire de signer ses documents après saisie d’un code PIN personnel. Cette clé cryptographique doit être extrêmement fiable et protégée et donc logiquement stockée en lieu sûr. Elle aura été étudiée et validée en amont par l’ANSSI via l’octroi de la qualification du dispositif. Souvent, une même clé peut être utilisée pendant 3 ans. Une alternative à la remise d’une clé cryptographique est l’utilisation d’un HSM dans le Cloud, permettant ainsi de réaliser cette opération à distance avec au préalable un face à face physique pour vérification d’identité puis une authentification à 2 facteurs du signataire lors du déclenchement de la signature.

Les actes authentiques : notaires, huissiers de justice, greffes des tribunaux de commerce, commissaires-priseurs…

• Les actes d’avocats : conventions de concubinage, PACS, conventions parentales, mandat de protection future, statuts de société, contrat de cessions de fonds de commerce, contrat de cession de parts sociales ou d’actions…

• Les actes produisant des effets hors de la France et dans l’Union Européenne :

  • contrats de souscription de produits financiers européens,
  • opérations bancaires intra-UE (virements banque à banque, achats de valeurs mobilières, opérations boursières, …)

• Les actes auprès d’organismes publics exigeant des niveaux de confiance et de sécurité élevés :

  • la passation de marchés publics dématérialisés
  • factures transmises sous format électronique à l’administration fiscale (la signature électronique avancée est également prévue par le CGI).

Vous voulez tout savoir sur la réglementation liée à la facturation électronique ? Découvrez notre guide sur la facture électronique.

Le choix du mode de signature électronique doit donc se faire en positionnant votre curseur entre l’usage et la sécurité. La mise en place d’une procédure de signature qualifiée a lieu d’être dans certains cas spécifiques uniquement, cette procédure étant particulièrement complexe. A l’inverse, la nuance est plus faible entre la signature simple et la signature avancée. C’est donc à vous de vous positionner et d’estimer si la sécurité prime sur l’expérience utilisateur ou si un niveau de sécurité simple est déjà largement suffisant.

Nous vous conseillons ainsi une méthodologie de choix en 3 étapes :

1. l’analyse du contexte réglementaire et juridique pour identifier les contraintes et risques liés à l’utilisation de la signature électronique
2. l’analyse des autres types de risques et opportunités : image de l’entreprise, impact en terme de productivité, enjeux financiers…
3. le choix du niveau de la signature électronique, conciliant l’usage et les besoins en termes de sécurité.

L’équipe de Yousign peut vous conseiller et vous accompagner pour trouver la solution la plus adaptée à votre entreprise et à votre usage de la signature électronique.