Brexit : vos signatures électroniques sont-elles valables ?

Pour comprendre l'impact du Brexit sur les signatures électroniques, il est essentiel de connaître le cadre réglementaire européen qui les encadre : le règlement eIDAS.

eIDAS (pour Electronic IDentification Authentication and trust Services) est le règlement européen n°910/2014 qui établit un cadre juridique harmonisé pour les services de confiance numérique et l'identification électronique à l'échelle de l'Union européenne.

• Adoption par le Parlement européen : juillet 2014
• Entrée en vigueur dans tous les États membres : juillet 2016

1. Harmoniser les règles : Créer un cadre juridique commun aux 27 États membres de l'UE pour les signatures électroniques, les cachets électroniques, l'horodatage et les services de confiance.
2. Garantir la reconnaissance mutuelle : Une signature électronique conforme eIDAS délivrée en France est automatiquement reconnue en Allemagne, en Espagne, en Italie et dans tous les autres pays de l'UE.
3. Sécuriser les transactions : Définir des niveaux de sécurité clairs (simple, avancé, qualifié) et des exigences techniques pour garantir l'intégrité et l'authenticité des documents signés.
4. Faciliter le commerce transfrontalier : Permettre aux entreprises de choisir librement leur prestataire de services de confiance dans n'importe quel pays de l'UE, avec la garantie que leurs signatures seront juridiquement valables partout en Europe.

Le règlement eIDAS vous permet de signer des contrats commerciaux, des bons de commande, des accords de confidentialité ou tout autre document avec des partenaires européens en toute sécurité juridique. Les solutions de signature électronique conformes eIDAS, comme Yousign, garantissent que vos documents signés ont la même valeur juridique qu'un document papier signé à la main.

Le règlement eIDAS distingue trois niveaux de signature électronique, chacun offrant un degré de sécurité et de valeur probante différent :

La SES est le niveau de base. Elle permet d'identifier le signataire de manière élémentaire, par exemple via un code reçu par SMS ou un clic sur un lien dans un email. Bien que juridiquement recevable, elle offre une valeur probante limitée en cas de litige.

La signature avancée répond à des exigences renforcées :

• Elle est liée uniquement au signataire
• Elle permet d'identifier le signataire de manière certaine
• Elle est créée par des moyens que le signataire garde sous son contrôle exclusif
• Elle garantit l'intégrité du document signé

La plupart des solutions professionnelles, dont Yousign, proposent ce niveau de signature adapté à la majorité des transactions commerciales.

C'est le niveau le plus élevé. La QES repose sur un certificat qualifié délivré par un prestataire de services de confiance qualifié (PSCQ). Elle est juridiquement équivalente à une signature manuscrite dans tous les pays de l'UE et au Royaume-Uni. Elle est obligatoire pour certains actes spécifiques (actes notariés, certaines démarches administratives).

Pour en savoir plus sur les différences entre ces trois niveaux, consultez notre guide complet sur les niveaux de signature électronique.

Un prestataire de services de confiance (ou Trust Service Provider - TSP en anglais) est une organisation certifiée qui fournit des services permettant de sécuriser les transactions électroniques.

Ces services incluent :

• La délivrance de certificats électroniques
• Les services d'horodatage électronique
• Les services de signature électronique
• Les services de validation et de conservation des signatures

Avant le Brexit, les TSP britanniques figuraient sur la liste européenne EU Trust Services List. Depuis le 1er février 2020, le Royaume-Uni maintient sa propre liste : la UK Trusted List, supervisée par l'Information Commissioner's Office (ICO).

Pour les entreprises françaises travaillant avec des partenaires britanniques, il est recommandé de vérifier que votre fournisseur de signature électronique est bien reconnu des deux côtés de la Manche.

Maintenant que nous avons posé les bases du règlement eIDAS, abordons la question centrale : qu'advient-il de ce cadre réglementaire maintenant que le Royaume-Uni a quitté l'Union européenne ?

La réponse est nuancée mais rassurante.

En théorie : Le règlement eIDAS est un texte législatif de l'Union européenne. En quittant l'UE le 31 janvier 2020, le Royaume-Uni n'est plus automatiquement soumis à ce règlement.

En pratique : Le Royaume-Uni a pris une décision stratégique majeure : transposer l'intégralité du règlement eIDAS dans sa législation nationale, sous le nom de "UK eIDAS Regulation".

Les signatures électroniques conformes au règlement eIDAS européen restent pleinement valables au Royaume-Uni. Si vous signez un contrat avec un partenaire britannique via une solution certifiée eIDAS (comme Yousign), ce contrat conserve exactement la même valeur juridique qu'avant le Brexit.

Le UK eIDAS reprend les mêmes exigences techniques que le règlement européen :

• Les trois niveaux de signature (simple, avancée, qualifiée)
• Les critères de conformité pour les prestataires de services de confiance
• Les obligations en matière de sécurité et de traçabilité

L'Information Commissioner's Office (ICO), l'autorité de régulation britannique, est claire sur ce point :

L'un des enjeux majeurs du Brexit concernait la reconnaissance mutuelle des certificats électroniques qualifiés entre l'UE et le UK.

Avant le Brexit : Les certificats qualifiés délivrés par un PSCQ britannique étaient automatiquement reconnus dans les 27 États membres de l'UE, et inversement.

Après le Brexit : Le UK ne fait plus partie du système de reconnaissance automatique européen. Cependant, la transposition du règlement eIDAS dans la loi britannique garantit que :

• Les certificats conformes eIDAS émis dans l'UE restent valables au UK
• Les certificats UK conformes aux standards eIDAS conservent leur validité juridique

Cette continuité réglementaire évite toute rupture pour les entreprises qui signent régulièrement des contrats transfrontaliers entre la France (ou tout autre pays de l'UE) et le Royaume-Uni.

Vous êtes une entreprise française et vous travaillez régulièrement avec des clients, fournisseurs ou partenaires britanniques ? Voici ce que le Brexit change concrètement pour vos signatures électroniques :

• La valeur juridique de vos contrats signés électroniquement avec des partenaires britanniques
• La conformité de votre solution de signature électronique (si elle était conforme eIDAS avant le Brexit)
• Les types de documents que vous pouvez signer électroniquement
• Le niveau de sécurité et de traçabilité des signatures

• Vérifier que votre prestataire de signature électronique maintient sa conformité avec les deux réglementations (EU eIDAS et UK eIDAS)
• S'assurer que les données personnelles transférées vers le UK respectent la décision d'adéquation RGPD
• Anticiper une éventuelle révision de la décision d'adéquation en 2025

Pour les entreprises françaises et européennes, cette continuité réglementaire est une excellente nouvelle. Des solutions comme Yousign, certifiées eIDAS et conformes aux standards européens les plus stricts, permettent de signer des documents avec des partenaires britanniques en toute sérénité juridique.

Que vous travailliez avec des clients à Londres, Manchester ou Édimbourg, vos contrats conservent la même valeur juridique qu'avant le Brexit. Mieux encore : avec Yousign, vous bénéficiez d'un dossier de preuve complet pour chaque signature, incluant :

• L'horodatage qualifié de chaque action
• L'identification certaine des signataires
• La traçabilité complète du processus de signature
• La garantie d'intégrité du document signé

Plus de 25 000 entreprises européennes font confiance à Yousign pour leurs signatures électroniques transfrontalières.

Au-delà de la validité des signatures électroniques, une autre question essentielle se pose : qu'advient-il de la protection des données personnelles échangées avec le Royaume-Uni ?

Lorsque vous utilisez une solution de signature électronique, vous traitez nécessairement des données personnelles : identité des signataires, adresses email, adresses IP, horodatages, etc. Ces données sont protégées en Europe par le Règlement Général sur la Protection des Données (RGPD).

Durant les six premiers mois suivant le Brexit, le Royaume-Uni et l'Union européenne ont convenu d'une période de transition. Le RGPD européen restait applicable au UK, et les transferts de données personnelles vers le Royaume-Uni n'étaient pas considérés comme des transferts vers un pays tiers.

Le 28 juin 2021, la Commission européenne a formellement adopté deux décisions d'adéquation concernant le Royaume-Uni :

• Une décision pour le RGPD (protection des données à caractère personnel)
• Une décision pour la directive "Police-Justice" (LED)

La Commission européenne reconnaît que le Royaume-Uni offre un niveau de protection des données essentiellement équivalent à celui garanti par le RGPD européen. Concrètement :

• Vous pouvez continuer à transférer des données personnelles vers le UK sans avoir besoin de mettre en place des garanties supplémentaires (comme des clauses contractuelles types).
• Les droits des personnes concernées sont préservés : les citoyens européens dont les données sont transférées au UK conservent leurs droits (accès, rectification, effacement, portabilité, etc.).
• Vos processus de signature électronique restent inchangés : vous pouvez continuer à utiliser votre solution habituelle pour signer des contrats avec des partenaires britanniques.

Cette décision d'adéquation n'est pas définitive. Elle est soumise à deux conditions importantes :

La décision est valable pour une période de 4 ans (jusqu'en juin 2025). Elle sera ensuite réexaminée par la Commission européenne pour vérifier que le Royaume-Uni maintient bien un niveau de protection adéquat.

Si le Royaume-Uni modifiait substantiellement sa législation sur la protection des données d'une manière qui réduirait les garanties offertes, la Commission européenne pourrait suspendre ou révoquer la décision d'adéquation.

Tant que la décision d'adéquation est en vigueur, vos signatures électroniques avec des partenaires britanniques ne nécessitent aucune démarche supplémentaire en matière de protection des données. Vous devez simplement continuer à respecter les principes du RGPD, comme vous le faites déjà pour vos transactions intra-européennes.

La décision d'adéquation adoptée par la Commission européenne le 28 juin 2021 repose sur plusieurs garanties que le Royaume-Uni s'est engagé à maintenir :

e UK Data Protection Act 2018 et le UK GDPR (version britannique du RGPD) offrent des protections similaires à celles du RGPD européen.

Les citoyens européens dont les données sont transférées vers le UK conservent leurs droits : accès, rectification, effacement, limitation du traitement, portabilité et opposition.

Si une entreprise britannique transfère des données européennes vers un pays tiers (hors UE et UK), elle doit respecter des garanties appropriées, exactement comme le ferait une entreprise européenne.

L'Information Commissioner's Office (ICO) reste l'autorité de protection des données au UK, avec des pouvoirs équivalents à ceux des autorités européennes comme la CNIL en France.

Bien que le scénario soit peu probable à court terme, il est important de comprendre les conséquences d'une éventuelle révocation de la décision d'adéquation RGPD entre l'UE et le UK.

Si la décision d'adéquation est révoquée :

Les transferts de données personnelles vers le UK seraient alors considérés comme des transferts vers un pays tiers, nécessitant la mise en place de garanties supplémentaires :

• Clauses contractuelles types (CCT) : Clauses standardisées approuvées par la Commission européenne à intégrer dans vos contrats avec des partenaires britanniques
• Règles d'entreprise contraignantes (BCR) : Pour les groupes internationaux disposant d'entités au UK et dans l'UE
• Codes de conduite ou mécanismes de certification : Dispositifs sectoriels reconnus
• Dérogations spécifiques : Dans certains cas limités (consentement explicite, exécution d'un contrat, intérêt public)

Pour les signatures électroniques : Une révocation de la décision d'adéquation RGPD n'affecterait pas directement la validité juridique des signatures électroniques (qui dépend d'eIDAS), mais compliquerait le traitement des données personnelles associées (identité des signataires, adresses email, etc.).

Recommandation : Choisissez un prestataire de signature électronique qui héberge ses données en Europe et qui a anticipé ces évolutions réglementaires. Yousign, par exemple, héberge l'ensemble de ses données en France, garantissant une conformité totale au RGPD européen.

Le Brexit a soulevé de nombreuses inquiétudes sur la validité des transactions électroniques entre l'Union européenne et le Royaume-Uni. Heureusement, les faits sont rassurants : la transposition du règlement eIDAS dans la législation britannique et l'adoption de la décision d'adéquation RGPD garantissent une continuité quasi-totale.

Les contrats signés avec des partenaires britanniques conservent leur pleine valeur juridique, avant comme après le Brexit. Le UK ayant transposé le règlement eIDAS dans sa loi nationale (UK eIDAS Regulation), les standards de sécurité et de conformité restent identiques.

La décision d'adéquation adoptée le 28 juin 2021 permet le libre flux de données personnelles entre l'UE et le UK jusqu'en 2025 minimum. Vous n'avez pas besoin de mettre en place de garanties supplémentaires pour vos transferts de données dans le cadre de signatures électroniques.

Si vous utilisez une solution conforme eIDAS comme Yousign, vous pouvez continuer à signer vos contrats transfrontaliers exactement comme avant le Brexit, sans modification de vos workflows ni de vos procédures internes.

Pour les entreprises françaises et européennes qui travaillent régulièrement avec le Royaume-Uni, le message est clair : les législateurs ont bien anticipé le Brexit et ont mis en place les garde-fous nécessaires pour éviter toute rupture dans vos relations commerciales.

Il reste néanmoins important de :

• Rester vigilant sur l'évolution de la décision d'adéquation RGPD (réexamen prévu en 2025)
• Choisir un prestataire de signature électronique qui maintient sa conformité des deux côtés de la Manche
• Privilégier des solutions hébergeant leurs données en Europe pour une sécurité juridique maximale

Le présent article vous est fourni à titre informatif et pédagogique. Il reflète l'état de la réglementation en vigueur au 6 juillet 2022 (dernière mise à jour : octobre 2025). Les informations contenues dans cet article ne constituent pas un conseil juridique et ne sauraient se substituer à l'avis d'un professionnel du droit. Pour toute question spécifique à votre situation, nous vous recommandons de consulter un avocat spécialisé en droit numérique.