Trois niveaux de signature électronique
Cadre eIDAS pour la signature électronique dans l'UE
Trois niveaux de signature électronique
Le règlement eIDAS définit trois types de signatures électroniques : Signature électronique (de base), Signature électronique avancée et Signature électronique qualifiée.
Selon l’eIDAS, la “signature électronique” est définie comme “des données sous forme électronique qui sont jointes ou associées logiquement à d’autres données sous forme électronique et qui sont utilisées par le signataire pour signer”.
Signature électronique de base
Dans la pratique, une signature électronique de base peut être n’importe quel type de signature effectuée dans un environnement électronique où le signataire a manifesté son intention (par exemple, en cliquant sur un bouton ou en cochant une case) d’être lié par le contenu du document ainsi signé.
Signature électronique avancée
Selon eIDAS, “une signature électronique avancée doit répondre aux exigences suivantes :
- elle est liée de manière unique au signataire ;
- elle est capable d’identifier le signataire
- elle est créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
- elle est liée aux données signées de telle sorte que toute modification ultérieure des données soit détectable”.
Dans la pratique, ces éléments d’identité unique, de contrôle exclusif et d’intégrité du document signé peuvent être obtenus par différents moyens, quelle que soit la technologie utilisée. Il convient de noter que l’identification à des fins de signature peut ou non être “électronique” pour atteindre le niveau avancé de la signature électronique. Une identification électronique reconnue garantit une authentification sûre de l’identité du signataire dans l’environnement en ligne. Dans la pratique, l’utilisation de signatures électroniques qualifiées implique un niveau supplémentaire d’assurance (ou de confiance) qui se traduit par un effet juridique spécial qui sera reconnu par les tribunaux de l’UE.
Signature électronique qualifiée
Selon l’eIDAS, on entend par “signature électronique qualifiée” une signature électronique avancée qui est créée par un dispositif de création de signature électronique qualifié et qui est basée sur un certificat qualifié pour les signatures électroniques.
Un cadre juridique pour les signatures électroniques
Les principes juridiques de base qui sous-tendent l’utilisation des signatures électroniques ne sont pas définis par eIDAS. Ils relèvent plutôt du droit des contrats, dans lequel une offre de conclure un accord suivie de son acceptation constitue un accord contraignant. Ainsi, en l’absence d’exigences légales spécifiant la forme d’un contrat, le niveau de signature ou la méthode d’authentification, un contrat peut être conclu par n’importe quel moyen, y compris sur papier, oralement ou avec une signature électronique de base.
Le règlement eIDAS est un cadre juridique régissant l’utilisation des signatures électroniques, mais il n’impose pas leur utilisation en tant que telle et n’a aucun impact sur le droit des contrats. Le règlement stipule ce qui suit : “Le présent règlement n’affecte pas les dispositions nationales ou communautaires relatives aux signatures électroniques :
Le présent règlement n’affecte pas le droit national ou de l’Union relatif à la conclusion et à la validité des contrats ou d’autres obligations légales ou procédurales relatives à la forme.
En fait, une signature électronique de base est suffisante et juridiquement valable pour la grande majorité des transactions privées, B2B, B2C, et entre personnes privées. Pour dissiper tout doute à cet égard, eIDAS énonce explicitement ce principe fondamental :
“Une signature électronique ne peut se voir refuser l’effet juridique et l’admissibilité comme preuve dans une procédure judiciaire au seul motif qu’elle se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences relatives aux signatures électroniques qualifiées.”
Il convient de noter que, dans certains cas, les législations nationales peuvent exiger davantage qu’une signature électronique de base, par exemple lorsque des exigences spécifiques en matière de connaissance du client (KYC) s’appliquent. Par ailleurs, bien qu’il ne s’agisse pas d’une exigence légale pour une signature valide, une partie peut vouloir authentifier la contrepartie avec un certain niveau de sécurité lorsque la transaction comporte un risque commercial élevé.
La solution de signature électronique de Scrive
eIDAS reconnaît que le fait d’apposer son nom sur un simple courriel peut être considéré comme une signature électronique. Cela pourrait même être utile et suffisant comme preuve devant un tribunal, mais le courrier électronique est avant tout un outil de communication, et non une solution qualitative pour les signatures électroniques.
Une solution de signature électronique de base de bonne qualité, telle que celle proposée par Scrive, fournit au moins les éléments suivants
- la preuve de l’intention de signer
- des informations sur l’identité, y compris l’adresse IP, l’adresse électronique et la piste d’audit (journal des transactions)
- l’association de la signature avec le document
- la protection de l’intégrité du document
En fait, la solution Scrive dépasse ces critères de base : notre ensemble de preuves avancées garantit que les documents que vous signez avec Scrive, même au niveau de la signature électronique de base, intègrent toutes les preuves disponibles du processus de signature. De plus, chaque document est un conteneur de preuves dont l’intégrité est protégée et qui est virtuellement indépendant de Scrive, c’est-à-dire que vous n’avez pas besoin de dépendre de Scrive et de nos enregistrements pour avoir accès aux preuves. Toutes les preuves se trouvent dans le document scellé numériquement.
En d’autres termes, la solution Scrive est conforme et dépasse largement les exigences de l’eIDAS pour les signatures électroniques de base.
Signatures électroniques avancées de Scrive
Scrive intègre des versions locales des moyens d’identification électronique dans son service de signature électronique afin d’authentifier en toute sécurité l’identité du signataire au moment de la signature. Cela répond aux trois premières exigences de l’eIDAS pour une signature électronique avancée, à savoir qu’elle est “liée de manière unique au signataire ; capable d’identifier le signataire ; (et) créée en utilisant des données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son seul contrôle”.
Pour protéger l’intégrité des documents, Scrive, en partenariat avec son fournisseur Guardtime, applique une signature numérique (qui signifie “scellement” et non signature au sens juridique) en utilisant la technologie Keyless Signature Infrastructure (KSI). Cela répond à la dernière des quatre exigences de l’eIDAS pour une signature électronique avancée, à savoir “qu’elle soit liée aux données signées de telle sorte que toute modification ultérieure des données soit détectable”.
L’eIDAS étant neutre sur le plan technologique, il peut y avoir plusieurs méthodes pour respecter les exigences d’une signature électronique avancée. Scrive propose des solutions pour les signatures électroniques avancées basées sur la technologie KSI, ainsi que pour les signatures électroniques avancées conformes à la norme PAdES (PDF Advanced Electronic Signature).
La signature électronique qualifiée de Scrive
Scrive propose des services QES en partenariat avec différents prestataires de services de confiance qualifiés (QTSP) reconnus par l’UE, garantissant à nos clients la possibilité de choisir le type d’e-signature qui correspond à leurs besoins. Pour obtenir plus d’informations, veuillez nous contacter et en savoir plus sur notre solution QES.
Essai gratuit
Essayez eSign Online pendant 30 jours, sans carte de crédit, ni obligation
Commencer un essai gratuitement