La conformité ZertES avec les signatures numériques en Suisse

L’augmentation ces dernières années du travail à distance a permis aux signatures électroniques de gagner en popularité. Une signature électronique se révèle suffisante dans la plupart des cas d’utilisation. Cependant, les transactions effectuées dans des secteurs fortement réglementés, à l’étranger ou dans le cadre de dispositions gouvernementales, peuvent être soumises aux signatures numériques, qui assurent un niveau de garantie d’identité plus élevé que les signatures électroniques. 

Une signature numérique est un type de signature électronique qui, dans le cadre d’une transaction, par rapport aux simples signatures électroniques, assure une vérification beaucoup plus approfondie de l’identité des parties.

Les transactions électroniques en Europe

Des normes spécifiques à certaines régions, telles que le règlement de l'Union Européenne de 2016 sur l'identification électronique, l'authentification et les services de confiance (eIDAS en abrégé), ont contribué à établir un cadre juridiquement reconnu qui rend les transactions plus sûres, plus rapides et plus efficaces. En d’autres termes, un « cadre juridique défini à l'échelle de l'Union Européenne pour les signatures électroniques… afin de permettre aux citoyens, aux entreprises et aux établissements du secteur public d'effectuer des transactions électroniques pratiques et sécurisées à travers les frontières de l'Union Européenne ». 

Alors que l’eIDAS réglemente l'utilisation des transactions électroniques dans les 27 États membres de l'Union Européenne, il existe des alternatives similaires en dehors de l'Union Européenne. À titre d’exemple, la loi fédérale suisse sur les signatures électroniques est réglementée par ZertES. Bien que les règlements eIDAS et ZertEs se ressemblent puisqu’ils fixent le niveau de garantie des signatures électroniques pour une utilisation correcte, il est impératif, lorsque l’on fait des affaires en Suisse, de s’assurer que la signature électronique que l’on utilise soit bien conforme aux deux réglementations. 

Comment se définit le règlement ZertES ?

En 2003, le gouvernement suisse a adopté ZertES comme principale loi fédérale régissant l'utilisation de services de certification avec des signatures électroniques à l'échelle nationale. Cette loi est destinée à réglementer les modalités des « services de certification dans le domaine des signatures électroniques et autres utilisations de certificats numériques » (pg.18). Elle fournit un cadre juridiquement applicable spécifiant les exigences auxquelles les fournisseurs de signatures électroniques doivent se conformer lorsqu'ils proposent des services de certification. 

La Suisse étant géographiquement au cœur de l’Union Européenne, le règlement ZertES présente, en toute logique, de nombreuses similarités avec le règlement eIDAS. D’une manière globale, le règlement ZertES suit un déroulé similaire à l’eIDAS pour identifier les différents niveaux de la signature électronique : Signature électronique simple (SES), Signature électronique avancée (AES) et Signature électronique qualifiée (QES). Bien qu’il n’y ait pas d’exigences légales particulières dans le cadre de ZertES comme dans celui de l’eIDAS, c’est la signature électronique qualifiée qui est considérée comme l’équivalent juridique d’une signature manuscrite. Mais contrairement au règlement eIDAS, pour la loi ZertES, un horodatage qualifié est explicitement exigé parallèlement à la signature électronique qualifiée. La signature électronique qualifiée est donc fortement conseillée dans le cadre de transactions spécifiques, particulièrement dans les secteurs des ressources humaines, de la banque et de l’assurance. 

Contrairement au règlement eIDAS, le règlement ZertES n’indique pas comment ou quand les signatures électroniques doivent être utilisées. En revanche, ZertES réglemente les obligations d’un fournisseur de services de certification. Entre autres, ZertES définit comment et quand un fournisseur de services de confiance est « reconnu » comme étant apte à délivrer une certification pour obtenir une signature numérique. À titre d’exemple, une signature électronique qualifiée ne peut être créée qu'à partir de « certificats qualifiés pour les signatures électroniques » délivrés par des fournisseurs de services accrédités et identifiés par le Service d'accréditation suisse (SAS) tels que Swisscom.

Les différences existantes entre ZertES et eIDAS

S'il existe de nombreuses similarités entre ZertES et eIDAS, il est impératif de savoir ce qui les différencie. La Suisse n’étant pas membre de l’Union Européenne, sa réglementation en matière de signature électronique n’est pas tout à fait la même. En revanche, le développement et la mise en place de ZertES ont été fortement influencés par le règlement eIDAS. Mais en raison de l’absence d’accords bilatéraux liés à l’applicabilité juridique des signatures électroniques entre l’Union Européenne et la Suisse, les certificats produits en vertu du droit suisse ne sont pas automatiquement conformes au règlement eIDAS. En conséquence, en tant qu’entité européenne faisant des affaires en Suisse, il est essentiel pour vous de choisir un fournisseur de signatures électroniques garantissant l’exacte conformité aux deux règlements eIDAS et ZertES afin d’éviter tout problème qui impacterait le caractère exécutoire de vos signatures électroniques en Suisse. 

DocuSign peut résoudre facilement cette problématique grâce à son réseau parfaitement intégré de prestataires de services d’excellence.