Vous avez entendu parler de la norme ETSI mais vous ne savez pas vraiment ce qu’elle est ni à quoi elle sert ? Une chose est certaine, elle est très utile en matière de signature électronique. Elle permet notamment de garantir sa fiabilité. Quel est l’impact de la norme ETSI sur la signature électronique ? Nos réponses.
Qu'est-ce qu’une norme ETSI ?
L'Institut européen des normes de télécommunication (ETSI) est un organisme européen de normalisation (OEN). Basé en France, il est notamment chargé de la création de normes européennes harmonisées en matière de communications électroniques.
Une norme ETSI permet de prouver qu’un produit ou un service respecte des spécifications techniques adaptées ou suffisantes conformes à la législation européenne. Elle garantit alors la sécurité et la fiabilité juridique du produit ou du service visé.
Elle est soumise à l’approbation de l’ensemble des membres de l’ETSI.
il existe 2 autres OEN
Le Comité européen de normalisation (CEN) et le Comité européen de normalisation électrotechnique (CENELEC).
Essayez la signature électronique gratuitement pendant 14 jours
Quel est l’impact de la norme ETSI sur la signature électronique ?
La confiance dans la signature électronique est essentielle pour le succès et le développement du commerce électronique. Il est alors fondamental que les entreprises utilisant ce système possèdent des garanties pour protéger les transactions et gagner la confiance de leurs partenaires commerciaux. La norme ETSI en est une.
La signature électronique
La signature électronique est un procédé cryptographique permettant de garantir l’identité du signataire d’un document électronique et l’intégrité de celui-ci.
La réglementation eIDAS fixe les règles d’utilisation et de reconnaissance légales des services de délivrance de certificats de signature électronique des pays membres de l’Union européenne (Règlement UE n°910/2014 du 23 juillet 2014).
Il prévoit 3 niveaux de signature électronique :
- Le niveau simple.
- Le niveau avancé.
- Le niveau qualifié.
Le règlement eIDAS n’impose pas un type de signature électronique selon le document présenté à la signature. Il n’y a pas de règles particulières. Le choix de telle ou telle signature se fait au cas par cas, selon le risque encouru.
La France reconnaît juridiquement la signature électronique et lui confère la même valeur qu’une signature manuelle, aux articles 1366 et 1367 du Code civil (pour en savoir plus, V. notre article Valeur juridique de la signature électronique en France).
Le règlement eIDAS trouve à s’appliquer à travers différentes normes européennes de l’ETSI.
La signature avancée avec certificat qualifié
il existe un niveau intermédiaire entre la signature avancée et la signature qualifiée. La procédure de signature avancée avec certificat qualifié. Elle nécessite la vérification en face à face de l’identité du signataire.
La certification ETSI
Les certifications ETSI sont délivrées par le comité technique Signatures électroniques et infrastructures (ESI) de l’ETSI dès lors qu’une norme est respectée.
Citons par exemple :
- l’EN 319 401 qui permet d’évaluer les pratiques de gestion et d’exploitation d’un prestataire de services de Confiance.
- l’EN 319 102-1 qui valide la procédure de création et de validation des signatures numériques AdES.
- l’EN 319 142 : également appelée norme ETSI pour les formats de signature électronique, elle établit les spécifications pour les formats de signature électronique. Elle définit comment les signatures électroniques sont représentées, encapsulées et stockées dans différents types de fichiers et de formats de données.
Vous trouverez la liste exhaustive de toutes les normes ETSI sous ce lien.
Les formats de signatures couverts par l’ETSI sont :
- XAdES : Signature Numérique XML (EN 319 132-1/-2 et ETSI TS 103 171).
- PAdES : Signature Numérique PDF (EN 319 142-1/-2 et ETSI TS 103 172).
- CAdES : Signature Numérique CMS (EN 319 122-1/-2 et ETSI TS 103 173).
- ASiC : Associated Signature Container (EN 319 162-1/-2 et ETSI TS 103 174).
- JAdES : Signature Numérique JSON.
Un prestataire de certificats de signature électronique (un tiers de confiance, aussi appelé prestataire de service de confiance) qui se voit attribuer une certification ETSI offre des garanties de confiance et de fiabilité à ses utilisateurs.
💡 les normes ETSI pour la signature électronique évoluent constamment pour prendre en compte les avancées technologiques et les besoins changeants du marché.
Que faut-il vérifier avant de signer électroniquement un document ?
Avant de signer électroniquement un document, il est important de vérifier que l’intermédiaire de confiance dispose d’une certification ETSI.
Si c’est le cas, vous pouvez signer le document les yeux fermés ! Il présente tous les éléments de sécurité conformes aux standards du règlement européen précité.
En adoptant Yousign, vous optez pour une solution tiers de confiance, conforme eIDAS et possédant les certifications ETSI.
L'ANSSI
En France, le rôle d’organe de contrôle pour les services de confiance est assuré par l’ANSSI (l’agence nationale de la sécurité des systèmes d’information).
À retenir sur la norme ETSI en matière de signature électronique
L’ETSI ESI est le comité chargé de vérifier la conformité de signatures réalisées sous différents formats prédéfinis au règlement eIDAS. Son rôle est fondamental pour assurer la confiance dans les transactions électroniques.
Les normes ETSI établies garantissent la confiance des parties qui s'appuient sur la signature électronique.
Une personne qui constate une norme ETSI chez un fournisseur de services de confiance peut signer le document électroniquement les yeux fermés !
Les solutions proposées par Yousign intègrent les certifications ETSI pour la délivrance de certificats de signature électronique, de cachet serveur et pour l'horodatage électronique.