Tout savoir sur la signature électronique qualifiée

signature-sur-tablette-connectee

Un nombre croissant d'entreprises françaises utilisent la signature numérique pour accélérer leurs processus de signature et de validation. Au travers de nos conversations avec nos prospects, nous observons toujours une certaine incompréhension quant aux différents niveaux de signatures. Cet article est donc dédié à la signature qualifiée (QES).

La signature électronique qualifiée, c’est quoi ?

La réglementation en vigueur définit 3 différents types de signature : simple, avancée et qualifiée. La différence technique entre ces trois niveaux de signature réside au niveau des exigences sécuritaires à l'authentification des signataires.

Une signature qualifiée est – parmi les trois niveaux - le type de signature numérique la plus sécurisée. La QES est une signature à base de certificats qui présente deux caractéristiques distinctives :

  1. Le processus d'émission du certificat numérique n'est possible qu’une fois l'identité du signataire vérifiée en personne (en face-à-face). Un tel certificat numérique avec un niveau d'identification élevé s'appelle un certificat qualifié.
  2. La signature est créée à l'aide d'un périphérique très sécurisé appelé QSCD (Qualified Signature Creation Device). C'est dans ce périphérique que se trouve le certificat qualifié de signature. Historiquement, le QSCD était un dispositif physique basé sur la technologie carte à puce.  Il est désormais légal que ce QSCD soit un système cloud géré par un fournisseur de services de confiance (TSP).

Utiliser une signature qualifiée pour une société équivaut donc à s’offrir la meilleure protection juridique en cas de contentieux judiciaire. La signature électronique qualifiée représente ainsi le plus haut niveau de signature électronique, équivalent à la signature papier. Il a en effet la particularité de renverser la charge de la preuve sur le signataire. En d’autres termes, et en cas de litige, c’est au signataire de démontrer l’invalidité de la signature électronique.

La signature qualifiée n’est pas un concept nouveau. Elle est connue et utilisée en France depuis 1999. La première directive européenne 1999/93 régulait d'ailleurs la signature électronique en Europe.

Seulement, depuis 2019, DocuSign est la seule offre cloud de signature électronique qualifiée en France.

Quels changements avec le règlement eIDAS ?

La réglementation eIDAS (Electronic IDentification And Trust Services) – nouveau règlement en vigueur depuis 2016 visant à encourager l’adoption de la signature électronique partout en Europe – remplace cette directive de 1999 et modifie donc l'ancienne définition et régulation de la signature qualifiée.

Le règlement définit que même les signatures basées dans le cloud – sous certaines conditions – peuvent être qualifiées. Le cloud peut être aussi sécurisé qu'une carte à puce. La loi ne positionne d'ailleurs plus les cartes à puce comme seules solutions nécessaires pour effectuer une signature qualifiée. La QES peut être désormais géré à distance par un TSP qualifié pour le compte du signataire.

eIDAS a donc donné un véritable coup de boost à l’utilisation de la signature qualifiée, car elle supprime ce qui était considéré comme le principal obstacle à l’adoption de cette technologie : une mise en œuvre difficile.

Avant eIDAS, les secteurs nécessitant une signature qualifiée (comme le secteur financier par exemple) n’avaient jamais lancé de projet de forte envergure en raison de la logistique trop lourde pour fournir à leurs clients une carte à puce précédemment associée à leur signature. Le processus se révélait trop difficile, notamment dans des pays comme la France où la carte d’identité électronique n’existe pas…

Désormais, et grâce la mise en œuvre du nouveau règlement européen, les entreprises sont légalement autorisées à utiliser des solutions cloud pour signer ou faire signer leurs documents ; elles peuvent enfin bénéficier de tous les avantages liés à la signature numérique, pour améliorer et accélérer leurs processus de validation et/ou de signatures d’accords, et ce, sans avoir à gérer les inconvénients des cartes à puce (distribution, utilisation, changement de drivers, problèmes de blocage, etc.).

Les cas d’usage de la signature électronique qualifiée

Nous l’avons vu, la signature qualifiée a des effets juridiques équivalents à ceux des signatures manuscrites. Son intérêt est particulièrement évident pour tous les contrats pour lesquels la loi française impose que la forme écrite soit exigée à titre de validité.

Néanmoins, le règlement eIDAS explique que chaque forme de signature électronique est légale et donc recevable à titre de preuve devant les juridictions européennes. Il s’agit là d’un point très important à ne pas oublier !

De nombreux entreprises nous indiquent aujourd’hui avoir besoin de signature qualifié. Nous comprenons aussi que le service juridique de ces sociétés a effectué des recherches préliminaires, a peut-être pris connaissance du texte eIDAS, et requiert donc en interne e mettre en place ce niveau de signature – simplement car il s’agit du niveau le plus sécurisé – quel que soit le cas d'utilisation.

Choisir sa signature (simple, avancée ou qualifiée)

Votre choix doit se baser sur les facteurs suivants :

  • Cas d'utilisation
  • Risque de contestation du document signé et risque business associé
  • Législation en vigueur dans l’industrie/le secteur en question

Certes, la signature numérique qualifiée représente la forme de signature la plus sécurisée mais, soyons francs, c’est aussi le niveau de signature le plus difficile à mettre en œuvre, en raison des nombreux audits à prévoir, par exemple. Il s’agit aussi de la signature la plus lourde pour les utilisateurs finaux qui nécessiteront une identification en face à face (ou « virtuellement » en face à face) avant de pouvoir effectuer leur première signature ; pour les suivantes, une authentification à double facteur suffira.

Le choix du type de signature à utiliser est donc avant tout un choix métier. Il s’agit là de trouver le juste milieu entre le risque du contrat à faire signer et la convivialité du processus pour les signataires. Nous savons que le taux de conversion dépend de la facilité de l’acte de signature. L'ajout d'étapes supplémentaires dans le processus de signature peut entraîner un taux de conversion inférieur.

Pour la majorité des cas d'utilisation de signature numérique, une signature simple ou anticipée sera suffisante, et aura de toute façon une valeur juridique (comme expliqué ci-dessus), mais nécessitant moins de contraintes pour les signataires.

Quand recourir à la signature qualifiée?

Utilisez la signature qualifiée lorsque cela est obligatoire en vertu de la loi, ou lorsque le risque business est important, par exemple:

  • Risque d’invalidité du contrat dans un environnement BtoC
  • Risque d’action collective
  • Contrats de crédit à la consommation
  • Souscriptions à l’assurance-vie

DocuSign dispose de l’ensemble des options correspondantes à toutes les signatures électroniques définies par le règlement eIDAS, dont la signature qualifiée.

Ces ressources peuvent aussi vous intéresser

Signature électronique essai gratuit 30 jours

 

 

Créatrice de contenu

Author

Amelle Mahmoudi

Créatrice de contenu

Published
Share this post