Tout savoir sur la vérification d’identité

Tout savoir sur la Signature Électronique Qualifiée du règlement eIDAS

Qu’est-ce que la Signature Électronique Qualifiée ? Définition de la QES

La signature électronique qualifiée (ou QES pour Qualified Electronic Signature en anglais) représente la forme la plus aboutie et la plus sécurisée de signature numérique disponible à ce jour.

Conformément au règlement européen eIDAS (electronic IDentification, Authentication and trust Services), la signature numérique qualifiée est une signature électronique avancée agrémentée d’un certificat qualifié. Seuls les prestataires de services de confiance (ou Trust Service Provider – TSP – en anglais) ayant reçu le statut « qualifié » par les autorités compétentes (i.e. l’ANSSI en France) peuvent délivrer ce certificat.

La QES se distingue des 3 autres types de signature électronique sur 2 points :

  • La vérification d’identité est antérieure à la délivrance du certificat
  • Sa création requiert l’utilisation d’un dispositif de création de signature qualifié (QSCD).

Ces 2 spécificités garantissent l’authentification irréfutable de l’identité du signataire ainsi que l’intégrité et la non-répudiation de la signature. Une fois apposée, il est pratiquement impossible de la contester ou de l’altérer sans laisser de traces évidentes. Sa fiabilité est telle qu’elle jouit du même statut légal qu’une signature manuscrite. Cela signifie qu’en cas de litige, votre signature électronique qualifiée aura la même force probante devant les tribunaux qu’une signature traditionnelle tracée au stylo.

Enjeu de la QES

Comme vous pouvez l’imaginer, l’exigence de sécurité et d’authenticité est au cœur de vos préoccupations lorsque vous procédez à la vérification d’identité à distance. Pour répondre à ces besoins, la signature électronique qualifiée intervient comme une solution fiable et robuste. Elle vous assure que le signataire est bien celui qu’il prétend être, grâce à des mécanismes de contrôle stricts et à une technologie avancée.

À l’ère du numérique où la vérification d’identité à distance devient primordiale, la signature électronique qualifiée se distingue par sa capacité à protéger les transactions et les documents contre toute falsification. Utilisée dans un cadre professionnel ou personnel, elle confirme votre engagement avec une incontestable validité juridique.

Vous avez des questions ?

Prenez rendez-vous avec l’un de nos experts pour explorer comment les solutions Netheos vous permettent de vérifier l’identité de vos utilisateurs, en tout sécurité et sans perdre en conversion.

Fonctionnement de la signature électronique qualifiée

Logo eIDAS

La signature électronique électronique est la signature la plus sécurisée du règlement eIDAS car elle présente 2 spécificités distinctives :

  • Le certificat électronique qualifié, composant essentiel de la QES, ne peut être émis qu’une fois l’identité du signataire vérifiée.
  • La signature électronique qualifiée ne peut être créée qu’à l’aide d’un QSCD, validé par l’ANSSI, dans lequel se trouve le certificat qualifié.

Qu’est-ce qu’un certificat électronique qualifié ?

Un certificat électronique qualifié est, pour reprendre une métaphore, le sceau numérique qui solidarise irrévocablement votre identité à vos signatures électroniques. Ce certificat, délivré par une Autorité de Certification (AC) qualifiée, établit un lien indubitable entre vos données d’identification personnelle et la signature électronique que vous apposez sur les documents numériques. L’intégrité de votre signature repose sur la non-ambiguïté de votre identité, attestée de manière indiscutable par cet acte de certification. Le certificat électronique qualifié est en quelque sorte la carte d’identité numérique du signataire, qui atteste de la véracité de ses informations personnelles.

Ce document certificatif est le fruit d’un processus rigoureux. Votre présence, virtuelle ou physique, est requise pour sa délivrance, assurant ainsi un lien direct et vérifiable avec vous-même, garantissant ainsi un niveau de sécurité maximal.

Qu’est-ce qu’un QSCD ?

Le QSCD, ou Qualified Signature Creation Device, est le matériel ou logiciel sécurisé approuvé une autorité européenne de sécurité et de défense des systèmes d’information (i.e. l’ANSSI en France) qui crée et protège la clé cryptographique privée utilisée pour générer la signature électronique qualifiée. Ils sont fournis par des Prestataires de Services de Confiance Qualifié (QTSP) lors de l’étape de vérification de l’identité du signataire. Les QSCD sont incarnés physiquement par des “tokens” : clés USB, de cartes à puce ou de badges. Aujourd’hui, l’ANSSI autorise certains QTSP comme Netheos à les utiliser à distance, dans le Cloud.

Clé USB QSCD de Thalès
Token "USB Key" de Thalès

Leur rôle est de stocker de manière sécurisée la clé cryptographique privée de l’utilisateur et de s’assurer que celle-ci ne quitte jamais le token. Ils sont conçus pour être robustes contre toute tentative de piratage ou d’extraction forcée des données du token.

Les QSCD sont donc vitaux car ils s’assurent que votre signature numérique est valide et juridiquement équivalente à une signature en face à face. Il protège également votre identité en garantissant que la signature ne peut être falsifiée ou réutilisée.

Qu’est-ce qu’une clé cryptographique ?

C’est le composant technique central de la signature électronique. Techniquement, elle est basée sur le chiffrement RSA, un algorithme de cryptographie asymétrique très utilisé dans l’échange de données confidentielles sur internet. Mais kesako me direz-vous ! Ce terme mathématique signifie que 2 clés différentes sont utilisées pour créer puis lire une signature digitale  : une clé publique pour chiffrer des données confidentielles et une clé privée associée pour les déchiffrer. Pour la signature électronique, l’utilisation est inversée : seul le signataire peut chiffrer sa signature avec sa clé privée et toutes les personnes qui possèdent la clé publique associée pourra la déchiffrer.

Cryptographie asymétrique - Source Wikipédia

Voici les étapes de création d’une signature électronique qualifiée par cryptographie asymétrique :

  1. Préparation et protection du document à signer : Lorsqu’un utilisateur souhaite signer un document numériquement, il va tout d’abord créer une empreinte, aussi appelée condensat, du document à signer par fonction de hachage. L’empreinte est une suite alphanumérique unique (chiffres + lettres) permettant de condenser et de codifier les données textuelles du document. Même un changement minime dans le document initial entraînera la production d’une empreinte complètement différente.
  2. Chiffrage de l’empreinte avec la clé privée : La clé privée du signataire générée par le QSCD et validé par le prestaire de confiance va alors être utilisée afin de « chiffrer » l’empreinte, créant ainsi une signature numérique (au format alphanumérique). Cette technique permet d’attester que la signature a bien été crée par le signataire vérifié, étant le seul détenteur de la clé privée.
  3. Signature qualifiée : En parallèle, le certificat qualifié du signataire va être associé à la signature électronique afin de générer le document signé numériquement, répondant aux exigences du règlement eIDAS (QES = certificat qualifié + signature avancée). Pour rappel, le certificat lie votre clé publique, également crée par le QSCD, à votre identité. Cela permet à quiconque détenant cette clé de confirmer que l’empreinte a été chiffrée (signée) avec votre clé privée.
  4. Vérification de l’empreinte : L’expéditeur va à son tour créer une empreinte du document signé reçu avec la même fonction de hachage. Puis il utilisera la clé publique préalablement reçue pour déchiffrer la signature et retrouver l’empreinte initiale. Si ces 2 empreintes générées sont identiques, alors la signature est valide : le document n’a jamais été altéré après la signature.

Ce système permet de protéger le document contre toute altération et de prouver que le signataire est celui ou celle qui possède la clé privée associée à la clé publique.

Certificat électronique qualifiée physique ou à distance

Historiquement, la phase préalable de vérification d’identité était effectuée lors d’une rencontre physique entre le signataire et l’autorité de certification. Cette étape permet au QTSP de valider son identité et de lui remettre le « token » matériel dans laquelle se trouve sa clé cryptographique privée. Le signataire peut alors signer ses documents après l’avoir déverrouillé grâce à la saisie d’un code PIN.

Avec l’avènement des technologies cloud, vous avez désormais l’option d’un certificat électronique à distance. Ici, au lieu d’avoir un objet physique, votre clé cryptographique est sécurisée sur un serveur cloud par le biais d’un Hardware Security Module (HSM) à distance. Ce système cloud, géré par un fournisseur de services de confiance (TSP) offre plus de flexibilité qu’un dispositif physique car vous pouvez accéder à votre signature électronique où que vous soyez, pourvu que vous ayez une connexion Internet. Cela simplifie le processus de signature électronique en éliminant le besoin de matériel spécifique à transporter et à maintenir. Cette facilité d’accès ne compromet toutefois pas la sécurité, car les fournisseurs de services de confiance qui gèrent ces systèmes doivent satisfaire à des exigences de sécurité extrêmement strictes établies par le règlement eIDAS.

Valeur juridique de la signature électronique qualifiée

QES : seule équivalent juridique de la signature manuscrite

En matière de valeur juridique, la signature électronique qualifiée se distingue de manière significative des autres formes de signature électronique. En vertu du règlement européen eIDAS, la QES est explicitement reconnue comme l’équivalent juridique de la signature manuscrite dans tous les États membres de l’Union européenne.

Voici pourquoi son statut juridique la rend si particulière :

  • Reconnaissance légale : Conformément à l’article 25 du règlement eIDAS, la signature électronique qualifiée a la même valeur juridique qu’une signature manuscrite. Cela signifie que dans le cadre d’une procédure judiciaire, une signature qualifiée ne peut pas être refusée en tant que preuve uniquement du fait qu’elle est sous une forme électronique.
  • Authenticité et intégrité : La QES assure l’authenticité de l’identité du signataire grâce à des procédures de vérification rigoureuses établies par les Autorités de Certification. De même, elle assure l’intégrité du document, car toute modification du contenu après la signature est détectable techniquement, rendant la signature invalide en cas de litige.
  • Acceptation européenne : Le règlement eIDAS définit le cadre légal relatif à l’utilisation et à la reconnaissance des 3 types de signature électronique dont la QES fait partie pour l’ensemble des États Membres de l’Union Européenne, dont la France fait évidemment partie. Seuls les Prestataires de Services de Confiance Qualifiés (QTSP) reconnus et certifiés par l’eIDAS sont habilités à délivrer des certificats qualifiés.

Validité de la QES en cas de litige et renversement de la charge de la preuve

En cas de litige, votre signature électronique qualifiée détient la même valeur juridique qu’une signature manuscrite traditionnelle. Concrètement, cela signifie qu’elle est reconnue devant les tribunaux au même titre que les preuves écrites. Ce niveau de reconnaissance est rendu possible grâce à la conformité stricte aux réglementations qui obligent les Prestataires de Services de Confiance Qualifiés (QTSP) à suivre des procédures rigoureuses pour la vérification d’identité et pour émettre le certificat qualifié associé.

En revanche, avec une signature électronique qualifiée, cette dynamique est inversée.

Le règlement eIDAS stipule qu’elle a une présomption de validité, ce qui signifie que le document signé avec une signature électronique qualifiée est automatiquement considéré comme authentique et ayant une intégrité garantie, sauf preuve du contraire. Ainsi, si un acteur conteste la validité de votre signature qualifiée devant une juridiction, c’est à lui de fournir la preuve que celle-ci n’est pas valide : c’est ce qu’on appelle le principe de renversement de la charge de la preuve. Autrement dit, le fardeau de la preuve est inversé par rapport à une signature électronique de niveau inférieur, où c’est au signataire de démontrer la fiabilité de sa signature.

Livre Blanc

Le sujet vous intéresse ?

Découvrez en plus en téléchargeant gratuitement notre livre blanc intitulé « La Signature Électronique Qualifiée : allier conformité et expérience utilisateur »

Comment obtenir une signature électronique qualifiée ?

Pour obtenir votre propre Signature Électronique Qualifiée, vous devez suivre une procédure bien définie qui respecte les exigences strictes établies par le règlement eIDAS. Voici les étapes essentielles pour faire une QES :

  1. Choisir un Prestataire de Services de Confiance Qualifié (QTSP) : Vous devez vous adresser à un QTSP reconnu, c’est-à-dire une entité qui a été évaluée et qui détient la certification nécessaire à la délivrance de services de création de signatures électroniques qualifiées. La liste des prestataires qualifiés est disponible sur le site de l’eIDAS.
  2. Vérifier votre identité : Le règlement eIDAS exige une vérification d’identité approfondie pour assurer l’authenticité de la signature. Cette étape est opérée le QTSP que vous avez choisit et inclut l’utilisation d’une solution de vérification d’identité à distance sécurisée telle que Netheos ID FAST. En plus de présenter une preuve d’identité valide, les outils de reconnaissance faciale par IA comparera votre photo d’identité avec votre visage, s’assurant ainsi que vous êtes bien la personne détentrice de la CNI.
  3. Obtenir le Certificat Qualifié : Une fois votre identité confirmée, le prestataire vous remettra un certificat qualifié de signature électronique, qu’il déposera dans un QSCD : le dispositif de création de la QES. Ce document numérique lie vos données d’identification à vos données de création de signature et confirme l’origine et l’intégrité des documents signés.
  4. Signer : Vous pourrez alors signer votre contrat. Cette étape varie selon les prestataires mais fonctionne généralement grâce à un code à 6 chiffres appelé OTP (One Time Password) reçu par SMS ou email.

La signature électronique qualifiée pour les formalités INPI

L’Institut National de la Propriété Industrielle (INPI), qui est l’organisme officiel français chargé de l’enregistrement des propriétés intellectuelles telles que les brevets, les marques, les dessins et modèles, permet aujourd’hui la réalisation de nombreuses formalités en ligne. Pour garantir la sécurité et la véracité de ces démarches, la Signature Électronique Qualifiée s’avère être un outil précieux et parfois nécessaire.

L’usage de la QES répond à un double enjeu lors de vos formalités auprès de l’INPI : assurer l’intégrité du document transmis et garantir l’identification certaine du signataire, qui peut être l’inventeur, le créateur ou tout mandataire agissant en son nom.

La mise en œuvre de la QES pour les formalités de l’INPI suit le cadre légal imposé par le règlement eIDAS et nécessite de passer par les étapes suivantes :

  1. Obtenir un certificat qualifié : Comme précisé précédemment, vous devez acquérir un certificat qualifié auprès d’un Prestataire de Services de Confiance Qualifié (QTSP) certifié par l’ANSSI qui vérifiera votre identité.
  2. Préparer votre formalité : Préparez le document relatif à votre formalité INPI (demande de dépôt, opposition, renouvellement, etc.) en suivant les directives fournies par l’INPI pour le respect des formats et des conditions de dépôt.
  3. Apposer la signature : Signez électroniquement votre document grâce au QSCD (physique ou à distance) fourni par le Prestataire de Confiance de votre choix.
  4. Transmission au format électronique : Une fois le document signé, transmettez-le électroniquement via la plateforme en ligne de l’INPI.
Note importante

Netheos ne propose pas de signature électronique qualifiée à l’unité comme il vous est demandé pour les formalités INPI. Notre solution, basée sur une plateforme API, permet de traiter d’importants volumes de signatures qualifiées, convenant davantage aux entreprises très réglementées qu’aux particuliers.

Obtenir une signature électronique qualifiée gratuite

Il n’existe pas de solution gratuite pour la signature électronique qualifiée. Si la plupart des acteurs français et internationaux (Yousign, Docusign, Universign, Eversign ou encore PandaDoc) proposent plusieurs jours d’essais gratuits, cela ne concerne que la signature électronique simple, c’est-à-dire le premier niveau de sécurité et de reconnaissance légal du règlement eIDAS. Pour autant, cette procédure reste la plus utilisée dans le monde aujourd’hui, et de loin !

La raison est logique : la signature simple n’est pas contrainte légalement ou techniquement. Ainsi, vous pouvez signer sans avoir à vérifier votre identité et aucun certificat n’est délivré. En cas de litige, le signataire peut donc tout à fait nier avoir signé.

À contrario, la version qualifiée correspond au niveau eIDAS le plus réglementé et contraint techniquement, nécessitant l’utilisation de solutions technologiques poussées et ultra sécurisées. Les coûts supplémentaires engrangés pour les prestataires de services de confiance ne leur permettent alors pas de proposer des solutions gratuites.

Sur quels critères choisir son Prestataire de Services de Confiance Qualifié (QTSP) ?

Le choix du bon prestataire est crucial pour garantir l’intégrité, la sécurité et la reconnaissance légale de vos signatures électroniques. Voici les éléments à prendre en compte :

  • Conformité eIDAS : Assurez-vous que le QTSP est bien listé dans la « Trusted List » de l’Union européenne. Cette liste vous permet de vérifier que le prestataire respecte les exigences strictes du règlement eIDAS et qu’il est habilité à fournir des services de signature électronique qualifiée. Le groupe Namirial dont Netheos est le produit est un QTSP certifié par eIDAD. Nos signatures sont valables légalement en France et dans toute l’Union européenne.
  • Fiabilité et réputation : Un QTSP fiable est souvent reconnu par son historique et sa réputation dans le domaine de la sécurité numérique. Les avis des clients, les études de cas, et les certifications obtenues sont des indicateurs de confiance à ne pas négliger. Namirial et son produit Netheos comptent parmi les leaders européens avec des clients prestigieux comme La Banque Postale, Floa Banque, CDC Habitat, Préfon, Xpollens, Yves Rocher et bien d’autres.
  • Facilité d’intégration : Votre QTSP doit être capable de vous proposer des solutions qui s’intègrent facilement à votre système informatique existant. L’interopérabilité avec vos applications et outils actuels est un aspect pratique à considérer pour éviter d’éventuels frais supplémentaires liés à d’éventuelles adaptations logicielles. Chez Netheos, nos solutions se connectent à votre système via une plateforme API. La vérification d’identité se fait entièrement à distance et notre QSCD est dans le cloud.
  • Disponibilité des services : Assurez-vous de la haute disponibilité des services offerts par le prestataire. Votre activité ne devrait pas être impactée par de possibles interruptions de service. En 2022, la disponibilité des services chez Netheos atteint 99,985%, vous garantissant un accès à toute heure.
  • Fluidité du parcours : La signature qualifiée étant très réglementée par l’eIDAS, son obtention nécessite forcément un certain nombre d’étapes, pouvant rendre le parcours fastidieux. Ainsi, assurez-vous de la grande fluidité du parcours : l’expérience utilisateur doit être au cœur des priorités du QTSP. Chez Netheos, nous sommes fier d’annoncer que notre solution est la plus fluide et rapide du marché. Grâce à elle, vos taux d’abandon chutent drastiquement, à l’inverse de vos taux de conversion.
Le saviez-vous ?

En 2023, le groupe Namirial est nommé leader dans la catégorie fournisseurs de logiciels de signature électronique dans le rapport IDC MarketScape Worldwide 2023, à côté d’Adobe et de Docusign.

Solution de signature électronique qualifiée Netheos

La solution Netheos c’est :

Vous avez des questions ?

Prenez rendez-vous avec l’un de nos experts pour explorer comment les solutions Netheos vous permettent de vérifier l’identité de vos utilisateurs, en tout sécurité et sans perdre en conversion.

Notre solution est accessible via tous les supports (ordinateurs, mobiles, tablettes). Le processus est réalisé intégralement en ligne et s’effectue en 5 étapes simples et rapides : 

  1. Capture vidéo du document d'identité

    La capture est en direct : l'utilisateur cadre son document qu'il doit nécessairement avoir en sa possession.

  2. Reconnaissance faciale passive

    La détection du vivant s’effectue à cette étape de manière passive et transparente pour l’utilisateur : aucune action ne lui est demandée. Cette étape permet de s'assurer que l'utilisateur est le détenteur légitime du document d'identité

  3. Envoi pour analyse

    Pour vous garantir un niveau de sécurité maximal, la vérification finale est assurée par notre service d'experts de la lutte contre la fraude. Basée en France et disponible 24/7, notre équipe opère en complément des résultats obtenus par l'Intelligence Artificielle.

Signature Électronique Qualifiée Netheos
  1. L'utilisateur consulte son contrat

    Après avoir lu l'intégralité du contrat, le signataire peut en accepter les clauses puis procéder à la signature de ce dernier en recevant un code secret par SMS OTP sur son téléphone portable.

  2. L'utilisateur signe son contrat

    Le code à 6 chiffres reçu par SMS OTP permet à l'utilisateur de signer électroniquement son contrat, rendant la signature valide juridiquement dans toute l'Union Européenne.

Contactez-nous !

Remplissez le formulaire et nous prendrons contact avec vous dans les plus brefs délais.

Vous pourrez découvrir : 

  • Comment nous pouvons répondre à vos attentes, votre problématique et vos besoins spécifiques
  • Une démo personnalisée, vous permettant d’apprécier l’expérience fluide que nous proposons
  • Des retours clients et des cas d’entreprises similaires qui ont intégré nos solutions
  • Les avantages, bénéfices et valeur selon votre cas d’usage
Sommaire
La Signature Électronique Qualifiée : allier conformité et expérience utilisateur
Livre Blanc
Partager