La signature électronique est un processus, utilisant des mécanismes cryptographiques (au contraire de la signature dite « numérique »), permettant de garantir l’intégrité d’un document électronique et d’en authentifier l’auteur, par analogie avec la signature manuscrite d’un document papier.

De la carte à puce à la signature à la « volée »

En France comme dans le reste de l’Europe, il existe plusieurs tiers de confiance « Autorités de Certification » (AC). Leur rôle est d’émettre des certificats numériques et pour certaines d’effectuer une signature électronique « à la volée ». C’est ce second point qui a permis de simplifier et généraliser l’usage de la signature électronique, devenu depuis une simple transaction ne demandant plus le déploiement d’une clé privée côté client (dans une carte à puce par exemple).

Selon la certification de l’AC, cette dernière peut délivrer une signature électronique « simple », « avancée » ou « qualifiée ». Seule la dernière peut se prévaloir de la même valeur légale que la signature manuscrite mais elle nécessite un face-à-face pour vérifier l’identité du signataire. Pour cette raison, la stratégie répandue dans la vente en ligne consiste à mettre en œuvre une signature « simple » ou « avancée » tout en automatisant la création d’un fichier de preuve solide, archivé chez un tiers de confiance. Ainsi, en cas de litige, la preuve peut-être facilement apporter en allant lever son séquestre.

Image

Un exemple de signature électronique Netheos sur Desktop

Réglementation eIDAS, la généralisation européenne

Si la directive européenne sur la signature électronique existe depuis 1999 et la loi française depuis 2000, la date du 1er juillet 2016 marque un changement significatif avec la mise en application d’un règlement européen connu sous le nom de eIDAS. A partir du 1er juillet 2016, il n’est plus possible de refuser une signature au motif qu’elle est électronique partout en Europe. L’uniformisation du marché ouvre d’importantes opportunités pour tous les professionnels désireux d’utiliser ce nouvel effet levier business.

Afin d’être reconnue valide, la signature électronique doit donc reposer sur une identification fiable du signataire. Cette identification est de la responsabilité de l’Autorité d’Enregistrement (AE). Les obligations de l’AE sont énoncées dans les documents normatifs ETSI EN 319 411-3 (signature avancée) et ETSI EN 319 411-2 (signature qualifiée). Sans une identification fiable du signataire, le risque de constituer des stocks de contrats où la signature est « faible » et donc répudiable est important. Pour les organismes financiers, cette obligation est similaire à celles regroupées communément sous l’acronyme « KYC » (« Know Your Customer ») et visant principalement à lutter contre le blanchiment de capitaux et le financement du terrorisme.

Image

Un exemple de signature électronique Netheos sur tablette

Netheos, la solution d’entrée en relation et de souscription digitales