La valeur légale de la signature électronique renforcée

eIDAS est une véritable innovation juridique, dont le but proclamé est de favoriser le développement des usages numériques en Europe.

Un des usages les plus impactés par eIDAs est la signature de documents : eIDAS met tout en œuvre pour faciliter le déploiement en Europe de la signature électronique, en clarifiant et en standardisant le cadre légal de cette technologie.

 

Le règlement eIDAS, c’est quoi ?

La réglementation eIDAS (Electronic IDentification And Trust Services) est le règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein des 28 états membres de la communauté européenne.

eIDAS dans le détail couvre :

  1. L’interopérabilité et les effets juridiques d’un ensemble étendu de services de confiance – dont la signature électronique
  2. Les schémas de qualification des Prestataires de Service de Confiance (PSCE)
  3. La création de listes de confiance et de labels de confiance gérés par la commission européenne pour identifier les PSCE et produits qualifiés
  4. La reconnaissance mutuelle des eID pour identifier et authentifier les citoyens en ligne ; les eID sont catégorisées par niveau d’assurance (faible, substantiel et élevé)

 

eIDAS pour la signature électronique

eIDAS remplace la directive 1999/93/CE. On retrouve dans eIDAS le concept des trois types de signature – simple, avancée (SEA), qualifiée (SEQ), qu’on trouvait déjà dans ladite directive. Par contre on observe une mise à jour des points suivants :

  1. Un même texte de lois partout en Europe. La précédente directive avait été transposée sans uniformité dans les différentes lois nationales. Cela avait ralenti l’usage de la signature électronique dans les transactions transfrontalières.
  2. Une signature électronique qualifiée, qui repose sur un certificat qualifié délivré dans un État membre, est reconnue en tant que signature électronique qualifiée dans tous les autres États membres. Impossible donc de réfuter la valeur probante d’une signature électronique qualifiée à l’échelle européenne. Cette équivalence est reconnue de facto dans toute l’Europe.
  3. On peut créer des signatures qualifiées en mode cloud, sans hardware : Avant la mise en place d’EIDAS il fallait, pour obtenir une signature dite qualifiée, utiliser une carte à puce protégée par un code PIN. La signature électronique qualifiée nécessitait donc un support physique.
    Solution séduisante en apparence mais peu pratique en réalité : peu de citoyens européens sont équipés d’un tel dispositif, et encore plus rares sont ceux qui peuvent l’utiliser facilement sur leurs devices (ordinateurs PC ou MAC, tablettes tactiles, smartphones, …). L’innovation apportée par eIDAS consiste ici à pouvoir offrir ce dispositif et ce niveau de sécurité à distance. On peut ainsi activer sa signature qualifiée, à partir de son téléphone mobile par exemple. Bien entendu, le device utilisé doit tout de même disposer de certifications de sécurité très strictes, mais son utilisation devient simple et transparente, et la complexité est reportée sur les « Prestataires de Services de Confiance Qualifiés » qui peuvent mettre en œuvre ce type de dispositifs dans des conditions optimales de sécurité.
  4. L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée. Cela donne donc énormément de valeur légale à la signature dite simple qui avant eIDAS était considérée comme sans valeur juridique dans plusieurs pays d’Europe.

On distingue alors 2 grands types de signature électronique à valeur légale, chacun ayant des usages bien différents.

  • La signature simple et la signature avancée sont requises pour les documents ayant un facteur risque allant de très faible à moyen. Il s’agit souvent de documents externes à risque limité. Il peut s’agit de contrats de travail, de contrats commerciaux par exemple. Il peut aussi s’agir de documents internes : ordre de mission, note de frais, processus de validation de décision interne etc.
  • La signature électronique qualifiée se justifie pour les documents à fort taux de risque (les contrats de crédit ou les assurances vie) ou pour des transactions règlementées : certains usages dans le monde de la santé par exemple ont des contraintes qui nécessitent de la signature qualifiée.

 

DocuSign et eIDAS

Les solutions de signature électronique de DocuSign sont conformes aux exigences techniques de la Signature électronique avancée et également de la Signature électronique qualifiée (SEQ) au sens du réglement eIDAS. Nos offres sont certifiées par TUVIT selon la norme ETSI.

« DocuSign est PSCE qualifié ("Prestataire de Services de Confiance Qualifiés") et est listé dans la "Trust List" européenne. » 

Avec DocuSign, nous vous fournissons une solution clé en main : certificat ET service de signature électronique. Notre solution utilise des certificats numériques pour signer tout type de documents mais en même temps masque aux utilisateurs toute la complexité inhérente à l’utilisation de ces certificats digitaux. Avec notre solution et son système de certificats à la volée, plus de codes PIN rébarbatifs à retenir. Les utilisateurs peuvent signer en toute tranquillité, sans jamais avoir acquis de certificats au préalable – car c’est le système qui leur fourni au moment de la signature, de façon complètement transparente pour les signataires.

Pour approfondir le sujet

Guide sur la légalité de la signature électronique

TELECHARGER

Besoin de discuter avec un expert ?

Contactez-nous

7 questions/réponses sur signature électronique et légalité

Lire l'article
 

FAQ La valeur légale de la signature électronique

Quelle est la loi qui règlemente aujourd’hui les transactions numériques et la valeur légale des documents signés électroniquement ?

Le Parlement Européen et le Conseil de l’Union européenne ont adopté le 23 juillet 2014 le règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, connu sous le sigle « eIDAS » (Electronic IDentification And Trust Services).

Un nouveau pas a donc été franchi en termes de dématérialisation. A compter du 1er juillet 2016, le règlement eIDAS remplace la directive 1999/93/CE.

Il s’agit d’un règlement : cela veut dire que, le règlement prime sur les lois nationales lors d’éventuels conflits entre les règlementations locales et eIDAS, en Europe. Le règlement eIDAS remplace automatiquement les lois nationales non conformes en Europe.

Quel est le vrai avantage d’eIDAS?

eIDAS a supprimé le flou qui entourait la valeur juridique d’une signature électronique et surtout a harmonisé les règles régissant les signatures à l’échelle de toute l’Union Européenne. Elle a aussi donné de la légitimité aux solutions cloud, ce qui permettra des déploiements plus rapides et plus importants. eIDAS est donc une innovation juridique qui peut être considérée comme la meilleure façon d’accélérer les processus de dématérialisation initiés dans les entreprises. C’est aussi et surtout une avancée qui pourrait dynamiser toute l’économie européenne.

Dans EIDAS on parle de signature simple, signature avancée et signature qualifiée. Quelles sont les différences entre ces différents niveaux de signature ?

Une signature électronique simple est un procédé qui permet de garantir l’intégrité du document après signature et qui dispose d’un fichier de preuve pouvant prouver l’identité du signataire.

Une signature avancée requiert l’usage d’un certificat digital qui a été au préalable associé au signataire, l’usage du format de signature Pades ainsi qu’un processus conséquent de vérification de l’identité du signataire (Authentification à deux facteurs). Il est également produit lors de la signature un fichier de preuve pouvant prouver tous les points ci-dessus.

Une signature qualifiée est une signature avancée mais qui requiert qu’on ait au préalable au moins une fois vérifié l’identité du signataire en « face-à-face » (cela peut être également en visio conférence par exemple) et l’usage d’un système de signature certifié SSCD (via smart card ou à distance).

Comment faire pour vérifier l’identité d’une personne en face-à-face ou similaire ?

Cela est une condition importante dans les cas d’usages qui requièrent la signature qualifiée. La société qui envoie un document pour signature à une personne doit préalablement vérifier l’identité du signataire avec un niveau de fiabilité équivalent à la rencontre en face à face ; chaque Etat membre de l’union européenne pourra définir quel procédé est « équivalent », mais par exemple une visioconférence via web est reconnu comme équivalent à un face-à-face

Qu’est-ce qu’un SSCD à distance ?

eIDAS ouvre la voie au SSCD (dispositif sécurisé de création de signature) à distance. Le SSCD est un dispositif hautement sécurisé respectant des exigences fortes afin d’assurer la non falsification et d’éviter l’usurpation de la signature électronique d’une personne par une tierce partie. Ce type de dispositif peut être la propriété du signataire (token ou smart card) ou, dorénavant avec eIDAS, être géré à distance (s’il est hébergé par un Prestataire de Service de Certification Électronique - PSCE - qualifié). L’activation à distance du SSCD par le signataire légitime est effectuée par authentification sécurisée (avec un téléphone mobile par exemple, comme pour un paiement sécurisé en ligne). Ainsi, l’accès à la signature qualifiée sera simple et généralisé à tous grâce à cette amélioration majeure apportée par eIDAS.

Quand utiliser la signature simple ? Quand utiliser la signature avancée ? Quand utiliser la signature qualifiée ?

Lorsque le risque de litige est faible ou modéré et que le type de contrat ne fait pas l’objet d’une réglementation spécifique (contrats BtoB par exemple), on conseille l’utilisation de signatures simples ou avancées.

Lorsque le risque de litige est modéré à fort (risque d’actions collectives, transactions à fort montant) ou que le type de contrat fait l’objet d’une réglementation spécifique qui requiert la forme écrite à titre de preuve, l’usage de la signature qualifiée est de facto nécessaire. On conseille par exemple aux fournisseurs de crédit à la consommation et d’assurance vie de s’équiper de signature électronique qualifiée.

Avec eIDAS, est ce qu’une signature électronique a la même valeur légale qu’une signature manuscrite ?

Oui, l’article 25, 2 d’eIDAS précise: « l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite ». Les trois types de signatures (simple, avancée et qualifié) ont une valeur légale car admissibles comme preuves lors d’un jugement en tribunal. La signature qualifiée a de plus la même valeur légale qu’une signature manuscrite.

Qu’a apporté eIDAS à la signature avancée ?

Il n’y pas de nouveauté par rapport à la directive 1999/93. La signature doit toujours présenter les 4 caractéristiques suivantes:

  • être liée au signataire de manière univoque (par exemple, un certificat individuel associé à une clé privée unique pour le signataire)
  • permettre d’identifier le signataire (par exemple, un certificat individuel présentant son nom)
  • être créée par des moyens que le signataire puisse garder sous son contrôle exclusif (une autre personne ne pourra pas activer la signature à la place du signataire légitime, réutiliser le certificat pour générer une signature ou pour tout autre usage)
  • garantir, avec l’acte auquel elle s’attache, un lien tel que toute modification ultérieure de l’acte soit détectable (dans le cas d’un contrat par exemple, toute modification du contenu du contrat a postériori de la signature rendra cette dernière caduque).

Une jurisprudence de plus en plus favorable continue de s’étoffer aujourd’hui, à la condition de s’appuyer sur un PSCE et de disposer d’un mécanisme éprouvé de Gestion de la Preuve.

Est-ce qu’avec eIDAS nous pouvons maintenant être certains de la valeur légale de la signature électronique ?

Oui, mais il y a des petites exceptions. Il est important de comprendre que le règlement eIDAS ne statue pas sur le type de signature électronique nécessaire selon l’usage. C’est le rôle des lois nationales que de définir le type de signature à utiliser pour signer certains types de documents. Il se peut donc qu’un membre de l’Union Européenne légifère ou ait légiféré pour interdire l’usage de la signature électronique pour certaines transactions. Par exemple la loi française interdit l’usage de documents électroniques pour tout ce qui concerne les contrats « familiaux » (contrat de mariage, contrat d’adoption, contrats d’héritage).

Les exceptions existent donc mais elles sont rares et généralement dans la sphère du privé. La signature électronique a donc une valeur légale garantie et est utilisable dans la totalité des cas d’usage du monde de l’entreprise.