Certificat de Signature Électronique Avancée - Tout ce que Vous Devez Savoir
Signatures électroniques simples
D’après l’eIDAS, au niveau le plus simple, une signature électronique peut se définir ainsi :
Données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer.
Nous interpréterions cette définition dans le sens où, pour signer un document, vous n’avez qu’à numériser votre signature ou à cocher numériquement une case dans un document. Techniquement, les données sont sous forme électronique et jointes à un fichier, mais ce modèle pose quelques problèmes que l’eIDAS tente de résoudre avec ce règlement.
Tout d’abord, il est impossible d’affirmer avec certitude que le fichier/document n’a pas été modifié et deuxièmement, il est impossible de connaître la véritable identité de la personne signataire du document. La classification suivante apporte une réponse à ces problématiques.
Signatures électroniques avancées
En vertu de l’eIDAS, une signature électronique avancée doit satisfaire aux exigences suivantes :
- être liée de façon univoque au signataire ,
- permettre d’identifier le signataire ,
- être créée par des données de création de signatures électroniques que le signataire puisse, en toute confiance, garder sous son contrôle exclusif ,
- être liée aux données signées de sorte que toute modification ultérieure des données soit détectable.
Pour satisfaire à l’ensemble de ces conditions, vous pouvez utiliser des signatures numériques basées sur une PKI. Les signatures numériques sont appliquées à l’aide d’un certificat numérique — qui équivaut à la version électronique d’un passeport ou d’un permis de conduire. Ce certificat n’est délivré qu’après vérification exhaustive de votre identité par un tiers de confiance (appelé Autorité de certification ou AC). Propres à chacun et pratiquement impossibles à usurper, les certificats numériques et les signatures obtenues répondent aux deux premières exigences ci-dessus.
Le signataire étant le seul détenteur de la clé privée utilisée pour appliquer la signature (voir notre article sur les infrastructures à clé publique [PKI] pour comprendre le fonctionnement des paires de clés publiques/privées), vous aurez la certitude que le signataire est bien la personne qu’il ou elle affirme être. Enfin, une partie du processus de vérification des signatures — qui se déclenche automatiquement à l’ouverture du document par son destinataire — comprend la vérification d’éventuelles modifications apportées au document depuis sa signature.
Cachets (ou sceaux) électroniques
Les cachets électroniques ressemblent aux signatures électroniques. Seule l’identité derrière la signature diffère. Un cachet électronique garantit son origine et son intégrité de la même façon qu’une signature électronique, mais au lieu de signer un document en tant qu’individu, vous le signez en tant qu’organisation ou entité.
L’eIDAS mentionne l’utilisation de cachets électroniques par les États membres, mais ils peuvent aussi être utilisés dans n’importe quelle institution ou organisation. Pour savoir s’il vous faut un cachet électronique ou pas, vous devez vous demander si vous avez besoin de signer en tant qu’individu ou en tant qu’entité. Interrogez-vous aussi sur les volumes à signer : les cachets électroniques sont plus adaptés en cas d’automatisation des signatures ou de signatures de gros volumes.
À quel niveau de sécurité dois-je me conformer ?
En vertu de l’Article 25 de l’eIDAS :
La valeur juridique et l’admissibilité d’une signature électronique au titre de preuve ne peuvent être refusées aux seuls motifs que sa forme est électronique ou qu’elle ne répond pas aux exigences des signatures électroniques qualifiées.
En clair : pour prouver la validité de votre document dans un contexte juridique, vous aurez besoin d’une signature avancée, ou d’un niveau de sécurité supérieur.
D’après l’eIDAS, les entreprises qui exigent des niveaux de confiance et de sécurité élevés devraient utiliser des signatures électroniques avancées ou qualifiées. Cette recommandation s’étend aux organismes du secteur financier, aux organismes publics et aux états membres de l’UE.
Si vous prévoyez d’utiliser des workflows documentaires pour vos transactions (avec des clients ou des entreprises tierces, ou d’une valeur juridique), sachez que la fiabilité des données/informations de vos documents n’a d’égale que le niveau de sécurité de vos procédures.
Enfin, même si l’utilisation de certificats numériques n’est pas précisée dans l’eIDAS pour les signatures avancées, leur utilisation est vivement recommandée — leur achat devant être, de préférence, effectué auprès d’une autorité de certification de confiance publique. La confiance publique est un élément phare pour que vos signatures soient automatiquement vérifiées et acceptées par les principaux logiciels documentaires, comme Adobe ou Microsoft. Ainsi, lorsque vous signez vos documents, non seulement vous respectez les exigences réglementaires, mais vous offrez également une expérience utilisateur transparente aux destinataires de vos documents.
Signature électronique avancée - Obtenez un Certificat Qualifié Gratuit
Maîtrisez la Signature Électronique Avancée avec un Certificat Qualifié
Une signature électronique avancée - l'élégance d'un certificat qualifié gratuit
Le Guide Complet sur le Certificat Qualifié de Signature Électronique