Comment vérifier si ma signature est conforme aux listes de confiance eIDAS ?

Les listes de confiance eIDAS, aussi appelées EU Trusted Lists, sont des registres officiels publiés par chaque État membre de l’Union européenne, conformément au règlement eIDAS (n°910/2014). Leur rôle est de garantir l’interopérabilité et la reconnaissance mutuelle des services de confiance à travers toute l’Europe.

Chaque Trusted List contient des informations essentielles sur les prestataires de services de confiance qualifiés (en anglais : Qualified Trust Service Providers – QTSP), notamment :

• leur statut de qualification (actif, retiré, suspendu, etc.),
• les services qu’ils fournissent (certificats, horodatage, signature électronique, etc.),
• les certificats qualifiés qu’ils délivrent.

Ces listes sont tenues à jour par les autorités nationales compétentes (en France, l’ANSSI), et publiées de manière centralisée par la Commission européenne via la plateforme EU Trusted List.

Il existe trois niveaux de signature définis par eIDAS, chacun avec un niveau de sécurité et de reconnaissance différent :

Vérifier la conformité d’une signature électronique aux listes de confiance eIDAS est une étape essentielle pour garantir sa validité juridique dans l’Union européenne. Trop d’organisations utilisent encore des solutions de signature non conformes, sans savoir qu’elles prennent un risque légal important.

Voici pourquoi cette vérification est indispensable :

Une signature électronique qualifiée, émise par un QTSP inscrit dans une Trusted List, est automatiquement reconnue dans tous les États membres. Elle a la même valeur qu’une signature manuscrite.

Une signature non conforme peut être :

• contestée plus facilement par une des parties,
• considérée comme non probante devant un tribunal,
• voire entièrement annulée en cas de litige.

Ces situations peuvent avoir des conséquences graves : perte de contrats, litiges commerciaux, sanctions réglementaires…

Le règlement eIDAS vise à créer un espace numérique unifié, où les signatures et certificats reconnus dans un pays le sont dans tous les autres.

Pour cela, il faut s’assurer que :

• le prestataire utilisé est bien reconnu au niveau européen,
• la technologie employée respecte les normes eIDAS (par exemple : ETSI EN 319 411 pour les certificats qualifiés).

Pour s’assurer qu’une signature électronique est conforme eIDAS, il ne suffit pas qu’elle soit lisible ou techniquement fonctionnelle. Il faut vérifier si elle a été émise par un prestataire qualifié inscrit dans une liste de confiance officielle. Voici les étapes à suivre :

Avant toute vérification, il est essentiel de comprendre quel type de signature électronique vous avez entre les mains.

Comment faire ?

• Ouvrez le document signé (PDF, XML, etc.) dans un logiciel compatible (ex. Adobe Acrobat, Yousign, etc.).
• Accédez aux informations de la signature : type, certificat utilisé, prestataire émetteur, date.
• Vérifiez si le certificat est marqué comme "qualifié".

Une fois le prestataire et le certificat identifiés, vous devez vérifier s’ils figurent dans la Trusted List officielle de leur pays d’émission.

Où trouver ces listes ?

• Site officiel : EU Trusted Lists Browser
• Chaque État membre met à jour sa liste régulièrement (par exemple : ANSSI en France).

Que chercher dans la liste ?

• Le nom exact du prestataire (QTSP)
• Le type de service fourni (certificat de signature, cachet électronique, horodatage)
• Le statut du certificat (actif, expiré, retiré)

Pour gagner du temps (ou automatiser la vérification), vous pouvez utiliser des outils gratuits ou intégrés permettant de valider la conformité d'une signature.

Outils gratuits recommandés :

• DSS Demonstration Tool de la Commission européenne
• Lecteurs de signature PDF avancés (comme Adobe Acrobat Reader)
• Portails de vérification de certains QTSP

Outils intégrés :

• Solutions de signature électronique comme Yousign intègrent ces vérifications en natif et assurent automatiquement la conformité eIDAS des certificats émis.

Une signature peut être émise par un prestataire qualifié, mais en dehors de la période de validité du certificat. D’où l’importance de vérifier l’horodatage électronique.

Ce qu’il faut vérifier :

• La date de signature correspond à une période où le certificat était actif.
• L’horodatage est qualifié (QTS – Qualified TimeStamp).
• Le certificat n’a pas été révoqué ou suspendu à cette date.

Assurer la conformité continue des signatures électroniques implique bien plus qu’un contrôle ponctuel. Cela nécessite une vigilance réglementaire, un choix rigoureux des prestataires et une montée en compétence des équipes concernées.

Voici les bonnes pratiques à mettre en place :

La meilleure garantie de conformité est de travailler avec un prestataire inscrit dans les Trusted Lists officielles de l’Union européenne. Ces prestataires :

• émettent des certificats qualifiés,
• offrent des services d’horodatage qualifié,
• assurent une traçabilité conforme eIDAS.

La réglementation évolue, notamment avec eIDAS 2.0, qui introduit :

• le portefeuille d'identité numérique européen (EUDI Wallet),
• de nouveaux services de confiance,
• des exigences renforcées en matière d’identification.

Pour rester à jour :

• Abonnez-vous aux actualités de l’ANSSI ou de la Commission européenne,
• Suivez les évolutions des normes ETSI applicables,
• Consultez régulièrement les Trusted Lists mises à jour.

La conformité ne repose pas uniquement sur les outils, mais aussi sur la bonne compréhension des mécanismes de signature.

Formations à prévoir :

• Lecture et interprétation des certificats numériques,
• Compréhension des différents niveaux de signature (simple, avancée, qualifiée),
• Maîtrise des outils de vérification.

Yousign est un prestataire de services de confiance qualifié (QTSP), inscrit dans les Trusted Lists officielles de l’Union européenne. En choisissant Yousign, vous vous assurez que :

• Les certificats de signature utilisés sont qualifiés et reconnus dans toute l’UE,
• Chaque signature bénéficie d’un horodatage électronique qualifié, garantissant sa validité dans le temps,
• L’ensemble du processus est conforme aux normes eIDAS et prêt pour la transition vers eIDAS 2.0.

Yousign accompagne de nombreux secteurs soumis à des exigences réglementaires fortes, notamment :

• le secteur juridique (signature de contrats, procurations…),
• les ressources humaines (contrats de travail, avenants…),
• les services financiers (mandats SEPA, souscriptions…).

Vérifier la conformité de vos signatures électroniques aux listes de confiance eIDAS est un réflexe essentiel pour garantir leur validité juridique dans toute l’Union européenne. Cela passe par l’identification du type de signature, la vérification du certificat, la consultation des Trusted Lists, et l’usage d’outils de validation fiables.

En suivant ces étapes et en collaborant avec un prestataire qualifié comme Yousign, vous sécurisez vos échanges numériques et anticipez les exigences futures d’eIDAS 2.0. C’est une garantie de confiance, de sécurité juridique et de fluidité transfrontalière pour vos documents électroniques.