Table des matières
Vous avez certainement déjà entendu parler de la signature électronique. Le concept est plutôt simple : pouvoir signer un document en ligne et non plus sur papier, avec la même valeur légale. Cependant dans la pratique, cela se complique : différents types de signature électronique existent (simple, avancée et qualifiée) avec différents niveaux de sécurité, chacune venant avec leurs exigences établies par le Règlement européen eIDAS.
C’est là qu’entre en jeu le concept de certificat de signature électronique. Mais savez-vous exactement à quoi il sert, comment il fonctionne, comment l’obtenir et dans quels cas est-il nécessaire ? Nous vous expliquons tout dans notre blog.
La signature électronique est un outil qui permet à une personne de signer un document en ligne depuis un dispositif connecté à Internet : un ordinateur, une tablette ou un smartphone. Tout type de documents ou contrats peuvent être signés électroniquement, que ce soit pour souscrire un service en ligne ou signer un contrat de travail.
La signature électronique est encadrée dans l’Union européenne par le Règlement (UE) n° 910/2014, appelé eIDAS. Entré en vigueur le 1er juillet 2016, il régit les services électroniques de confiance au sein de l’Union européenne. L’eIDAS définit plusieurs niveaux de sécurité et de fiabilité pour les types de signature électronique, notamment quant à l’identification du signataire. Dans ce cadre, le certificat qualifié de signature électronique est un moyen qui permet de vérifier l’identité d’un signataire lors d’un processus de signature électronique. C’est une sorte de carte d’identité digitale.
Définition eIDAS : le certificat de signature électronique
Selon le Règlement eIDAS, un certificat de signature électronique est “une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne.”
Pour qu’un certificat de signature électronique soit qualifié selon l’eIDAS, celui-ci doit est délivré par un prestataire de services de confiance qualifié et doit satisfaire les exigences suivantes.
Les certificats qualifiés de signature électronique doivent contenir :
- « une mention indiquant, au moins sous une forme adaptée au traitement automatisé, que le certificat a été délivré comme certificat qualifié de signature électronique ;
- un ensemble de données représentant sans ambiguïté le prestataire de services de confiance qualifié délivrant les certificats qualifiés, comprenant au moins l’État membre dans lequel ce prestataire est établi, et :
- pour une personne morale : le nom et, le cas échéant, le numéro d’immatriculation tels qu’ils figurent dans les registres officiels,
- pour une personne physique : le nom de la personne ;
- au moins le nom du signataire ou un pseudonyme ; si un pseudonyme est utilisé, cela est clairement indiqué ;
- des données de validation de la signature électronique qui correspondent aux données de création de la signature électronique ;
- des précisions sur le début et la fin de la période de validité du certificat ;
- le code d’identité du certificat, qui doit être unique pour le prestataire de services de confiance qualifié ;
- la signature électronique avancée ou le cachet électronique avancé du prestataire de services de confiance qualifié délivrant le certificat ;
- l’endroit où peut être obtenu gratuitement le certificat sur lequel reposent la signature électronique avancée ou le cachet électronique avancé mentionnés au point g) ;
- l’emplacement des services qui peuvent être utilisés pour connaître le statut de validité du certificat qualifié ;
- lorsque les données de création de la signature électronique associées aux données de validation de la signature électronique se trouvent dans un dispositif de création de signature électronique qualifié, une mention l’indiquant, au moins sous une forme adaptée au traitement automatisé. »
Comme mentionné ci-dessus, le certificat qualifié doit être émis par un Prestataire de services de confiance qualifié ou une Autorité de certification. Le certificat est nominatif, il est remis à une personne physique après une vérification de son identité en face à face (physique ou virtuel).
Le certificat de signature électronique n’est pas un prérequis pour signer des documents électroniquement
Il est temps de déconstruire cette fausse idée : il n’est pas nécessaire d’avoir un certificat de signature électronique pour signer en ligne.
Pour vous en expliquer les raisons, nous devons revenir sur les définitions des types de signature électronique selon le Règlement eIDAS : signature électronique simple, avancé et qualifié.
- Signature électronique simple : “des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer.”
- Signature électronique avancée : une signature électronique qui satisfait aux exigences suivantes :
- “être liée au signataire de manière univoque ;
- permettre d’identifier le signataire ;
- avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
- être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.”
- Signature électronique qualifiée : “une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique.”
Selon le règlement eIDAS, seule la signature électronique qualifiée requiert un certificat de signature électronique qualifié. La signature électronique simple n’a pas d’exigences concernant l’identification du signataire. Quant à la signature électronique avancée, l’exigence (b) requiert certes que la signature électronique permettent « d’identifier le signataire”, cependant cela ne doit pas nécessairement être fait à travers d’un certificat de signature électronique
La signature électronique avancée de Signaturit : signature biométrique ou avec certificat qualifié
Signaturit offre deux options de signature électronique avancée. Nous vous expliquons ci-dessous les spécificités de chacune.
La signature électronique avancée avec technologie biométrique
Comment cela fonctionne ?
Avec notre solution de signature électronique avancée basée sur la technologie biométrique, le signataire signe comme s’il signait sur papier : en réalisant le tracé de sa signature, soit avec la souris ou le pavé tactile de son ordinateur, soit avec le doigt ou un stylet pour les écrans tactiles (tablette et smartphone).
La technologie de cette solution permet de capturer les données biométriques du signataire :
- les points du tracé et leur position ;
- la vitesse d’exécution ;
- l’accélération ;
- la pression exercée par le doigt ou le stylet sur le dispositif utilisé pour signer (mobile, ordinateur portable ou PC de bureau), pour les dispositifs qui le permettent.
À partir de ces variables, nous pouvons en obtenir d’autres, comme le temps passé pour réaliser le tracé, le nombre de fois où le signataire a levé son doigt (ou le stylet) ou l’angle sous lequel chaque trait a été réalisé. Toutes ces données servent à identifier le signataire de manière unique.
Le + : toute personne peut signer à tout moment, sans nécessité d’avoir de certificat. Cette option est particulièrement pratique si vous devez faire signer des documents à des personnes externes à votre entreprise de manière ponctuelle.
La signature électronique avancée avec certificat qualifié
Comment cela fonctionne ?
Tout d’abord, le signataire doit faire la démarche pour obtenir un certificat qualifié. Ensuite pour pouvoir signer, deux options s’offrent à lui :
- Télécharger le certificat au moment où il doit signer un document.
- S’enregistrer en tant qu’utilisateur de Signaturit et télécharger son certificat afin qu’il soit stocké. Le signataire n’a donc pas à le télécharger à chaque fois qu’il doit signer.
Nous recommandons la deuxième option, car elle permet au signataire de signer à partir de n’importe quel dispositif et à tout moment, sans se soucier de son certificat.
Le + : la possibilité de signer plusieurs documents simultanément en 1 clic. Ce type de signature inclut la fonctionnalité de signature massive, cela signifie que le signataire n’a plus à signer les documents un à un. S’il le souhaite, il peut signer tous ses documents en 1 clic de manière agile et sécurisée.
Ce document reprend les définitions des différents types de signature électronique, leurs caractéristiques et différences, ainsi qu’une présentation de nos solutions.