Tout savoir sur la signature électronique qualifiée
Une certaine incompréhension subsiste toujours quant aux différents niveaux de signatures - en particulier la signature dite « qualifiée » (QES).
Un nombre croissant d'entreprises françaises utilisent la signature électronique pour accélérer leurs processus contractuels. La réglementation en vigueur définit 3 différents types de signature électronique : simple, avancée et qualifiée. La différence technique entre ces trois niveaux de signature réside au niveau des exigences sécuritaires à l'authentification des signataires. Pourquoi choisir la signature électronique qualifiée ? Comment fonctionne-t-elle concrètement ? Que dit la réglementation européenne à son propos ? C’est ce que nous allons voir ensemble !
Pourquoi utiliser une signature électronique qualifiée ?
En un mot : la sécurité ! Explications…
La signature électronique qualifiée (QES) est la signature la plus sécurisée car elle est basée sur de très hautes exigences de vérification et certification. Elle présente deux caractéristiques distinctives :
Le processus d'émission du certificat numérique n'est possible qu’une fois l**'identité du signataire vérifiée** en personne (en face-à-face). On parle de certificat qualifié pour désigner ce certificat numérique qui a un niveau d'identification élevé.
La signature est créée à l'aide d'un périphérique très sécurisé appelé QSCD (Qualified Signature Creation Device). C'est dans ce périphérique que se trouve le certificat qualifié de signature. Historiquement, le QSCD était un dispositif physique basé sur la technologie carte à puce. Il est désormais légal que ce QSCD soit un système cloud géré par un fournisseur de services de confiance (TSP).
Quels sont les éléments différenciants de la signature qualifiée ?
Utiliser une signature qualifiée pour une société équivaut à s’offrir la meilleure protection juridique en cas de contentieux. La signature électronique qualifiée a la particularité de renverser la charge de la preuve sur le signataire. En cas de litige, c’est donc au signataire de démontrer l’invalidité de la signature électronique.
De nombreuses entreprises nous indiquent aujourd’hui avoir besoin de signatures électroniques qualifiées. Souvent, le service juridique de ces sociétés a effectué des recherches préliminaires, pris connaissance du règlement eIDAS, et requiert en interne de mettre en place ce niveau de signature car il s’agit du niveau le plus sécurisé – quel que soit le cas d'utilisation.
Quand recourir à la signature qualifiée?
Utilisez la signature qualifiée lorsque cela est obligatoire en vertu de la loi, ou lorsque le risque business est important, par exemple:
Risque d’invalidité du contrat dans un environnement BtoC
Risque d’action collective
Contrats de crédit à la consommation
Souscriptions à l’assurance-vie
Le choix du type de signature à utiliser est donc avant tout un choix métier. Si la signature électronique qualifiée peut de prime abord sembler complexe à adopter du fait des vérifications qu’elle demande, après une première signature, une authentification à double facteur suffira pour toutes les suivantes. La signature électronique qualifiée est la signature électronique la plus sécurisée pour protéger vos données, il est logique qu’elle requiert plus de vérifications afin d’être conforme à toutes ses exigences.
Quels changements avec le règlement eIDAS ?
La signature qualifiée n’est pas un concept nouveau. Elle est connue et utilisée en France depuis 1999. La première directive européenne 1999/93 régulait d'ailleurs la signature électronique en Europe. Seulement, depuis 2019, Docusign est la seule offre cloud de signature électronique qualifiée en France.
La réglementation eIDAS (Electronic IDentification And Trust Services) – règlement en vigueur depuis 2016 visant à encourager l’adoption de la signature électronique partout en Europe – remplace cette directive de 1999 et modifie donc l'ancienne définition et régulation de la signature qualifiée. Le règlement définit que les signatures basées sur le cloud – sous certaines conditions – peuvent être qualifiées. Le cloud peut être aussi sécurisé qu'une carte à puce. La loi ne positionne d'ailleurs plus les cartes à puce comme seules solutions nécessaires pour effectuer une signature qualifiée. La signature électronique qualifiée peut être désormais gérée à distance par un un fournisseur de service de confiance qualifié pour le compte du signataire. Le règlement eIDAS a donc donné un véritable coup de boost à l’utilisation de la signature qualifiée, car elle supprime ce qui était considéré comme le principal obstacle à l’adoption de cette technologie : une mise en œuvre difficile.
Avant eIDAS, les secteurs nécessitant une signature qualifiée (comme le secteur financier par exemple) n’avaient jamais lancé de projet de forte envergure en raison de la logistique trop lourde pour fournir à leurs clients une carte à puce précédemment associée à leur signature. Le processus se révélait trop difficile, notamment dans des pays comme la France où la carte d’identité électronique n’existe pas… Désormais, et grâce la mise en œuvre du nouveau règlement européen, les entreprises sont légalement autorisées à utiliser des solutions cloud pour signer ou faire signer leurs documents ; elles peuvent enfin bénéficier de tous les avantages liés à la signature électronique, pour améliorer et accélérer leurs processus de validation et/ou de signatures d’accords, et ce, sans avoir à gérer les inconvénients des cartes à puce (distribution, utilisation, changement de drivers, problèmes de blocage, etc.).
Pour en savoir plus, découvrez notre Guide sur la légalité de la signature électronique.