C'et quoi la réglementation générale sur la signature électronique ?
Il est important de rappeler que la signature électronique, bien qu'elle puisse être utilisée pour de nombreux documents d'entreprise, ne possède pas la même valeur juridique qu'une signature de livraison simple effectuée sur un écran tactile.
La loi n°2000-230 du 13 mars 2000 a donné 2 conditions quand on utilise la signature électronique :
- Le signataire doit être identifiable,
- Le document ne doit pas être modifié après sa signature.
La règlementation eIDAS vient s’ajouter au niveau européen avec trois catégories de signature qui reflètent le niveau de sécurité. Nous allons vous présenter ces trois niveaux de sécurité :
La signature électronique simple
La signature électronique simple est très répandue et convient à de nombreux documents pour un processus rapide et fluide. Cependant, sa sécurité est relativement faible car l'identité du signataire n'est pas rigoureusement vérifiée. Elle est donc conseillée pour les actes à faible enjeu ou à faible risque de litige, tels que les documents RH, les attestations de réception, ou certains contrats commerciaux.
En cas de litige potentiel, il est nécessaire de démontrer que le processus d'identification du signataire offre des garanties de fiabilité.
Pour renforcer la valeur légale de la signature électronique simple, il est possible d'ajouter une étape d'authentification du signataire, comme l'envoi d'un code d'authentification par SMS.
La signature électronique avancée
La signature électronique avancée propose une vérification plus approfondie de l'identité du signataire, assurant ainsi un niveau de sécurité supérieur. Conformément au règlement eIDAS, elle inclut les éléments suivants :
- Une liaison univoque avec le signataire.
- Une identification claire de la signature.
- Une création par des moyens contrôlés exclusivement par le signataire (tel que son téléphone ou son ordinateur).
- La garantie de l'intégrité du document signé.
Pour satisfaire ces exigences, la signature électronique avancée peut se baser sur un certificat qualifié obtenu par une vérification physique de la pièce d'identité lors d'une rencontre en personne.
La signature électronique qualifié
C’est le niveau maximum en ce qui concerne la sécurité d’une signature électronique, mais elle possède beaucoup de contraintes pour vérifier l’identité du signataire et peut demander à des personnes externes au document signer d’intervenir.
Conformément au décret n° 2017-1416 du 28 septembre 2017, seule la signature électronique qualifiée est considérée comme équivalente à une signature manuscrite. Cette catégorie exige notamment la validation de l'identité du signataire avant la signature.
Comment vérifier techniquement une signature électronique ?
Pour vérifier techniquement une signature électronique, vous devez valider différents aspects techniques :
L'évaluation des fournisseurs de services de signature électronique
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'organisme français chargé d'identifier et de superviser les prestataires de services, garantissant ainsi la conformité à la réglementation eIDAS.
Vérification de la certification
La numérisation ou la création de documents numériques, tels que les feuilles de présence électroniques, nécessite une vérification de leur fiabilité et un contrôle des signatures électroniques. Dans des logiciels tels qu'Acrobat ou Reader, la signature d'un document est acceptée uniquement si la relation avec le signataire est approuvée, conformément à la norme NF Z 42-013.
Un certificat numérique RGS ou eIDAS est utilisé pour une identification sécurisée lors de la signature, attribuant une valeur numérique à la signature d'une feuille de présence, par exemple. Il est important que le certificat soit valide à la date de la signature, permettant d'identifier l'émetteur et le destinataire, ainsi que de vérifier l'intégrité du document.
En outre, grâce à un certificat RGS, la validité du chiffrement du destinataire peut être vérifiée, ce qui confère à la signature une valeur légale.
La vérification d'une solution de signature électronique comprend plusieurs étapes :
- le contrôle de l'authenticité du signataire et de l'émetteur par leur identité,
- la vérification de l'intégrité du document après la signature pour éviter toute répudiation du document par les signataires,
- la notarisation du document, notamment par son horodatage.
Ces vérifications peuvent être réalisées de manière automatisée, à l'exception de la vérification de l'identité. Le système de validation de la signature électronique fournit les résultats de ces vérifications et met en évidence, le cas échéant, les problèmes de sécurité.
D’autres certifications de signature
Il existe des solutions payantes comme RGS, mais aussi des offres gratuites telles que le certificat fiscal pro (CFP) des services fiscaux, où la DGFIP agit en tant qu'autorité de certification.
Les certificats électroniques se répartissent en trois classes :
- Le certificat de Classe 1 assure la validation de l'adresse e-mail de l'émetteur, mais il n'atteste pas de son identité.
- Le certificat de Classe 2 garantit les informations de l'entreprise à l'aide de pièces justificatives envoyées par voie postale.
- Le certificat de Classe 3 garantit, en plus, l'identité du gérant de l'entreprise.
Il existe ainsi plusieurs niveaux de sécurité pour la signature électronique, et c'est aux entreprises, éventuellement conseillées par leur expert-comptable, de trouver un équilibre entre le risque de contentieux et la robustesse du dispositif de signature.
Outre le gain de temps, la simplicité de mise en place et l'économie financière, l'un des principaux avantages de la signature électronique est sans aucun doute la sécurité.
