La règlementation eIDAS (electronic IDentification And Trust Services) définit trois niveaux de signature électronique:
- la signature électronique simple,
- la signature électronique avancée,
- la signature électronique qualifiée.
Ces trois niveaux répondent à des critères différents et ont un cahier des charges propre au niveau qu’elle représente.
Nous avons traité en détail la signature électronique simple et la signature électronique avancée. Il nous reste donc le dernier niveau à traiter, et c’est chose faite dans cet article : partons à la découverte de la signature électronique qualifiée !
Qu’est-ce que la signature électronique qualifiée ?
La signature électronique qualifiée est le troisième et dernier niveau de signature électronique, comme défini par la Règlementation Européenne eIDAS. La signature électronique qualifiée est la seule signature électronique qui peut se targuer de posséder un effet juridique similaire à la signature manuscrite, et ce dans tous les États membres de l’Union Européenne.
La signature électronique qualifiée est le niveau de signature qui offre un niveau de sécurité et d’authenticité maximum. La signature électronique qualifiée se base sur des exigences de sécurité extrêmement élevées, et possède des caractéristiques propres à ce niveau. Elle n'est évidemment pas à confondre avec la signature électronique avancée avec certificat qualifié, qui est une signature électronique avancée mais qui s’agrémente d’un certificat spécifique qu’on appelle le “certificat qualifié”.
Pour résumer, pour qu’une procédure de signature électronique ait la même valeur qu’une signature manuscrite, il faut que ladite procédure ait eu recours à une signature électronique qualifiée, et que cette signature électronique ait été délivrée par une autorité de certifications.
Qu’est-ce qu’une autorité de certification ?
Ce sont en fait les prestataires de signature électronique, qui sont audités et contrôlés par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France. Bien sûr, chaque pays européen à son entité de contrôle et d’audit propre, dont le travail est de délivrer les certifications nécessaires aux prestataires de signatures électroniques.
D’un point de vue des critères nécessaires pour qu’une signature électronique soit qualifiée, il faut savoir que la signature électronique qualifiée reprend exactement les mêmes critères que la signature électronique avancée:
- établir un lien univoque avec le signataire: le lien entre signature et signataire doit être clairement et précisément établi, sans aucune confusion ou ambiguïté;
- formellement permettre d’établir l’identité du signataire;
- être créée par des moyens qui sont sous le contrôle exclusif du signataire (téléphone portable, PC, PC portable, etc.);
- garantir qu’aucune modification de l’acte qui est signé ne pourra être faite. Il est évidemment primordial de s’assurer de l’intégrité du document après signature.
Là où la différence se marque, c’est que la signature électronique qualifiée requiert que la clé de signature se trouve dans ce qu’on appelle un dispositif de création de signature électronique.
Qu’est-ce qu’un QSCD ?
On voudrait éviter d’être trop technique, donc les informations qui suivent vont être très vulgarisées. Dans les grandes lignes, un QSCD (Qualified electronic Signature Creation Device) est un dispositif sécurisé qui a été validé et approuvé pour la création de données de signatures. Ce dispositif QSCD est obligatoire dans le cadre de la signature électronique qualifiée.
Vérification d’identité
Après cette parenthèse technique, revenons à la signature électronique qualifiée.
Comme stipulé précédemment, la signature électronique qualifiée requiert une vérification d’identité préalable à toute signature de document. Il y a quelques temps, la vérification d’identité devait absolument se faire en face-à-face. Bien évidemment, les différents confinements que la France a subi en 2019/2020 ont largement rebattu les cartes et la vérification à distance s’est ajoutée à la vérification en face-à-face.
Le but ultime de la vérification d’identité est de s’assurer que le signataire désigné pour la signature électronique du contrat est bien la personne qui est sur le point de la signer. La vérification d’identité à distance propose quelques risques en plus. Ces risques sont inhérents à la nature même du distanciel : le risque de deepfakes est nécessairement augmenté tout comme le risque de tentatives d’usurpation d’identité en masse, notamment via l’utilisation de masques, par exemple.
Pour contrer ces risques, l’ANSSI a travaillé sur un système de recommandations et de règles qui ont été assemblées dans le référentiel PVID (prestataires de vérification d’identité à distance), et qui pour faire court, “classe” les mesures de réduction de la fraude prises par les prestataires, selon deux niveaux : substantiel et élevé.
Dans le cadre de eIDAS et de la signature qualifiée, ce référentiel va permettre la qualification du procédé de vérification d’identité au titre du règlement européen pour tous les services de confiance.
Essayez la signature électronique gratuitement pendant 14 jours
Dans quels cas utiliser la signature électronique qualifiée ?
Au vu des sacrifices de praticité qu’il faudrait faire, la signature électronique qualifiée se prête mieux aux documents officiels très précis et qui nécessitent absolument le niveau de sécurité le plus haut. Ces documents incluent:
- les actes légaux ou d’avocats: conventions de concubinage, conventions parentales, mandat de protection future, statuts de société, etc.
- actes ayant des effets hors des frontières européennes
- marchés publics
- …
e-signature qualifiée, comment ca marche ? Comment faire une signature électronique qualifiée ?
Concrètement, comment fonctionne un processus de signature électronique qualifiée avec vérification d’identité à distance ?
Une fois que le signataire a reçu l’email et s’est rendu sur la plateforme de signature électronique, le prestataire de signature électronique lui demande de vérifier son identité, en scannant un QR code. Ensuite, la marche à suivre est dictée directement via le téléphone et se divise en ces quelques étapes ( qui peuvent cependant être différentes selon le fournisseur de signature électronique):
- Le signataire prend une photo du recto et du verso de sa carte et en prenant soin de bien montrer l’hologramme qui y figure.
- le signataire fait un selfie vidéo en suivant les consignes d’inclinaisons de la tête, qui lui sont données à l’écran
- Pendant le selfie vidéo, il est possible que certains fournisseurs de signature électronique vous demande de dire des mots aléatoires, notamment afin de limiter le risque d’usurpation d’identité.
- L’utilisateur va ensuite stocker son identité dans un coffre-fort numérique protégé par un mot de passe
- Enfin, il est possible que l’utilisateur doive entrer un code OTP reçu par SMS, afin de confirmer l’acte de signature électronique
Quel est l’intérêt de la signature électronique qualifiée ?
Le principal bénéfice qu’une entreprise peut avoir à mettre en place un processus de signature électronique qualifié est sans aucun doute le gain de sécurité qu’elle apporte.
Le niveau qualifié de signature électronique est sans aucun doute le plus haut niveau de sécurité possible.
Par conséquent, tout son intérêt réside dans les mécanismes qui sont déployés pour s’assurer que l’identité du signataire est conforme et que personne ne se rend coupable d’usurpation d’identité.
En revanche, ce dernier niveau de signature électronique est aussi celui qui est le moins pratique et le moins facile à mettre en place. Il faut toujours garder en tête que lorsqu’il est question de signature électronique, l’extrême majorité des documents du quotidien (contrats de travail, baux, bons de commande, …) ne nécessitent pas de signature électronique qualifiée.
A noter
En réalité, l’écrasante majorité des documents que nous signons tous les jours peuvent être signés au moyen d’une signature électronique simple.
Différences entre signature simple, avancée et qualifiée
Comme toujours, le choix ne se situe pas forcément du côté de la plus haute sécurité. Le bon choix de signature électronique doit être fait selon les documents que vous avez à signer, et non pas systématiquement sur le niveau de sécurité le plus haut.
Une signature électronique qualifiée pour signer un bail de location est définitivement excessive. Il faut rappeler que le but ultime d’une signature numérique est avant tout de faire gagner du temps aux signataires et aux demandeurs de signature. Il faut donc toujours placer le curseur à mi-chemin entre sécurité et usage.
La signature électronique qualifiée est nécessaire pour des documents qui requièrent un niveau de sécurité certain, ou dans lesquels une somme d’argent est mise en cause, comme les offres des marchés publics par exemple. Toute la subtilité de ces signatures est donc de bien choisir entre contraintes et avantages.
Ainsi, il n’est pas utile d’opposer ces 3 niveaux de signature, car, en vérité, votre choix entre les trois doit se faire en fonction du document à signer.
En revanche, il convient de se souvenir que l’écrasante majorité des documents que l’on signe nécessite seulement une signature simple.
Combien coûte la signature électronique qualifiée ?
Vraiment très difficile de répondre à cette question !
Vous vous en doutez, le coût de la signature numérique qualifiée n’est pas du tout répertorié dans la loi, ni même dans la règlementation eIDAS.
Il n’existe donc pas de réponse toute faite et définitive à cette question. En réalité, le coût de la signature électronique qualifiée dépend du fournisseur de signature électronique que vous allez choisir.
On peut imaginer que la signature électronique qualifiée est probablement la plus coûteuse des signatures électroniques, puisqu’elle offre le niveau de sécurité le plus haut, et qu’elle contient des mécanismes de vérification d’identité à distance poussés.
En revanche, il ne faut pas oublier que la signature électronique, qu’elle soit simple, avancée ou qualifiée, vous fait économiser tous les coûts relatifs au papier. Eh oui, puisque vous baissez drastiquement vos impressions, vous économisez du papier, de l’encre, des toners et vous faites un geste crucial pour l’environnement.
Ainsi, l’équilibre entre coût probable d’une signature électronique, et gain une fois la signature électronique implémentée est clairement en faveur d’un tel procédé.