search Le média de ceux qui réinventent l'entreprise

La signature électronique est-elle légale et devriez-vous l’utiliser ?

La signature électronique est-elle légale et devriez-vous l’utiliser ?

Par Olivier Pin

Le 24 juin 2020

Bien que l’adoption de la signature électronique n’a eu de cesse de grandir ces dernières années, les évènements récents ont encore accentué le phénomène. Aujourd’hui, la signature électronique convainc de plus en plus les entreprises comme les particuliers. Qu’il s’agisse de signer les différents accords nécessaires à l’entreprise ou les documents de location de son bail, on aimerait tous pouvoir être plus rapides, plus écolos, et finalement plus efficaces.

Toutefois, il est une question qui revient régulièrement puisqu’elle est fondamentale : la signature électronique est-elle légale ?

La signature électronique est-elle légale ?

Bien sûr ! La signature est 100 % légale en France et partout en Europe. La valeur légale de la signature électronique est renforcée par la réglementation européenne eIDAS (Electronic IDentification And Trust Services).

eIDAS est entrée en vigueur le 1er juillet 2016. Son but est de favoriser le développement des usages numériques en Europe. Elle met tout en œuvre pour faciliter le déploiement en Europe de la signature électronique.

Son principal apport est de standardiser le cadre légal de cette technologie. Le concept des trois niveaux de signature apparaît aussi dans eIDAS. Elle met l’accent sur l’identification et l’authentification des signataires en ligne.

Trois niveaux de signature électronique

Pour ce faire, trois niveaux de signatures électroniques existent :

  • La signature simple : suffisante pour la plupart des documents standards.
     
  • La signature avancée (SEA) : le signataire doit être identifié de façon univoque (à l’aide de copie de papiers d’identité par exemple). Un tiers de confiance fournit alors un certificat numérique pratiquement impossible à usurper.
     
  • La signature qualifiée (SEQ) : c’est le type de signature numérique la plus sécurisée. La QES est une signature à base de certificats. Le processus d’émission du certificat numérique n’est possible qu’une fois l’identité du signataire vérifiée en personne (visuellement). La signature est créée à l’aide d’un périphérique très sécurisé appelé QSCD qui ne peut fonctionner que sur un système cloud géré par un fournisseur de services de confiance (TSP).

La réglementation eIDAS fixe les règles d’utilisation et de reconnaissance légales des procédés de signature électronique des 28 états membres de la communauté européenne. Un prestataire de service de confiance doit être en conformité avec ce règlement. Les solutions de signature électronique de DocuSign sont conformes aux exigences techniques de la signature électronique au sens du règlement eIDAS.

Pour aller plus loin et découvrir en détail tout ce qu'il faut savoir sur le sujet avant de vous lancer, n'hésitez pas à télécharger gratuitement notre livre blanc :

Entreprises : votre guide ultime pour réussir le déploiement de la signature électronique

Télécharger le guide

La signature sur téléphone mobile et dans le cloud est-elle également légale ?

Le règlement eIDAS corrige les lacunes de la Directive de 1999 sur la signature électronique. Cela comprend la reconnaissance mutuelle des signatures électroniques qualifiées entre les États membres si nécessaire, notamment dans le secteur public qui est l’un des plus conservateurs en matière d’adoption de nouvelles technologies.

Il légitime également les signatures électroniques pour l’utilisation dans le Cloud et sur des appareils mobiles en autorisant explicitement les prestataires de services de confiance qualifiés à « gérer les données de création de signature au nom du signataire ».

Auparavant, le droit européen et les normes en matière de technologie recommandée préconisaient uniquement l’emploi de cartes à puce ou d’appareils USB de signature à jeton pour les types de signatures électroniques les plus astreignants. Le règlement eIDAS reconnaît désormais formellement les signatures électroniques dans le Cloud. Les fournisseurs de signature électronique peuvent gérer les appareils de création de signatures électroniques à distance et doivent suivre de nouvelles normes techniques et de sécurité afin de garantir que la création de la signature soit utilisée sous le contrôle exclusif du signataire.

Cette reconnaissance spécifique de la signature à distance renforce sa légitimité juridique auprès d’entreprises recherchant des solutions pratiques de signature électronique dans le Cloud, afin de démocratiser l’utilisation des signatures électroniques sur Internet et sur les appareils mobiles.

L’importance des normes

Le respect des normes maximise la conformité des signatures électroniques et réduit les risques juridiques. De nombreux fournisseurs de systèmes de signature électronique déclarent être conformes au règlement eIDAS, car il est neutre du point de vue de la technologie. Toutefois, si l’on considère le risque pour une entreprise, il est important de vérifier comment votre fournisseur s’y prend pour garantir la conformité de son service, en particulier pour les signatures électroniques avancées ou qualifiées.

Le règlement eIDAS permet à la Commission Européenne d’identifier les normes techniques qui donnent aux solutions la présomption de conformité avec le règlement dans toute l’Union Européenne. Plus précisément :

« Il convient de conférer des compétences d’exécution à la Commission, notamment pour ce qui est de spécifier les numéros de référence des normes dont l’utilisation donnerait lieu à une présomption de conformité à certaines exigences fixées par le présent règlement. »

eIDAS, Section 71

Le règlement eIDAS vise autant que possible à recommander les organisations normatives sur lesquelles la Commission Européenne doit s’appuyer :

“...La Commission devrait tenir dûment compte des normes et des spécifications techniques établies par des instances et organismes européens et internationaux de normalisation, notamment le Comité européen de normalisation (CEN), l’Institut européen de normalisation des télécommunications (IENT), l’Organisation internationale de normalisation (ISO) et l’Union internationale des télécommunications (UIT)… »

eIDAS, Section 72

Les nombreuses entreprises cherchant à réduire les risques liés à l’exercice de leur activité au sein de l’UE doivent vérifier que leurs fournisseurs de systèmes de signature électronique suivent les normes recommandées par la Commission Européenne et établies par ces entités normatives indépendantes, notamment l’IENT, le CEN, l’ISO et l’UIT. Par ailleurs, les fournisseurs respectant le plus fidèlement ces normes recevront une accréditation indépendante de la part d’auditeurs tiers réputés. Si les États membres ne peuvent pas imposer aux prestataires de services de confiance qu’ils observent les normes techniques, ces derniers peuvent minimiser le risque pour leurs clients en respectant celles recommandées par l’Union Européenne afin de prouver leur conformité aux exigences en matière de signatures avancées et qualifiées.

Olivier Pin

Olivier Pin,

Olivier Pin a passé huit ans au cœur de la Silicon Valley chez Salesforce, en qualité de VP Product Management, notamment sur les offres Service Cloud, App Cloud et Analytics Cloud.

Il est depuis 2018, VP Product Management International et Directeur Général de DocuSign France, solutions de gestion des transactions numériques et de signature électronique.