Un nombre croissant d’entreprises françaises utilisent la signature numérique pour accélérer leurs processus de signature et de validation – les processus papier étant chronophages et inefficaces. Au travers de nos conversations quotidiennes avec des clients potentiels, nous observons ceci dit toujours une certaine incompréhension quant aux différents niveaux de signatures, en particulier sur la signature dite « qualifiée » (QES).

Dans cet article, nous tenterons d’expliquer ce qu’est une signature qualifiée, en termes simples, sans utiliser (trop) de terminologie légale, pour offrir une meilleure compréhension aux personnes désireuses d’en savoir plus sur le sujet, pour savoir quand utiliser la signature électronique qualifiée, et quelle est en la valeur légale[i].

La signature électronique qualifiée, c’est quoi ?

La règlementation en vigueur définit 3 différents types de signature : simple, avancée et qualifiée. La différence technique entre ces trois niveaux de signature est à chercher surtout du côté des exigences sécuritaires en termes d’authentification des signataires.

Une signature qualifiée est – parmi les trois niveaux – le type de signature numérique la plus sécurisée. La QES est une signature à base de certificats qui présente deux caractéristiques distinctives :

  1. Le processus d’émission du certificat numérique n’est possible qu’une fois l’identité du signataire vérifiée en personne (en face-à-face). Un tel certificat numérique avec un niveau d’identification élevé s’appelle un certificat qualifié.
  2. La signature est créée à l’aide d’un périphérique très sécurisé appelé QSCD (Qualified Signature Creation Device) où se trouve le certificat qualifié de signature. Historiquement, le QSCD était un dispositif physique basé sur la technologie carte à puce ; il est désormais possible et légal que ce QSCD soit un système cloud géré à distance par un fournisseur de services de confiance (TSP).

Utiliser une signature qualifiée pour une société équivaut donc à s’offrir la meilleure protection juridique en cas de contentieux judiciaire. La signature électronique qualifiée représente ainsi le plus haut niveau de signature électronique, équivalent à la signature papier. Il a en effet la particularité de renverser la charge de la preuve sur le signataire. En d’autres termes, et en cas de litige, c’est au signataire de démontrer l’invalidité de la signature électronique.

La signature qualifiée n’est pas un concept nouveau : elle est en effet connue et utilisée en France depuis 1999, date de la première directive européenne 1999/93 qui régulait la signature électronique en Europe.

La réglementation eIDAS (Electronic IDentification And Trust Services) – nouveau règlement en vigueur depuis 2016 visant à encourager l’adoption de la signature électronique partout en Europe – remplace cette directive de 1999 et modifie donc l’ancienne définition et régulation de la signature qualifiée.

Quels changements avec le règlement eIDAS ?

eIDAS a apporté une nouvelle innovation très importante concernant la signature qualifiée.

Le règlement définit que même les signatures basées dans le cloud – sous certaines conditions – peuvent être qualifiées. Le cloud peut être aussi sécurisé qu’une carte à puce et la loi ne positionne plus les cartes à puce comme seules solutions nécessaires pour effectuer une signature qualifiée. La QES peut être désormais géré à distance par un TSP qualifié pour le compte du signataire.

eIDAS a donc donné un véritable coup de boost à l’utilisation de la signature qualifiée, car elle supprime ce qui était considéré comme le principal obstacle à l’adoption de cette technologie : une mise en œuvre difficile.

Avant eIDAS, les secteurs nécessitant une signature qualifiée (comme le secteur financier par exemple) n’avaient jamais lancé de projet de forte envergure en raison de la logistique trop lourde pour fournir à leurs clients une carte à puce précédemment associée à leur signature. Le processus se révélait trop difficile, notamment dans des pays comme la France où la carte d’identité électronique n’existe pas…

Désormais, et grâce la mise en œuvre du nouveau règlement européen, les entreprises sont légalement autorisées à utiliser des solutions cloud pour signer ou faire signer leurs documents ; elles peuvent enfin bénéficier de tous les avantages liés à la signature numérique, pour améliorer et accélérer leurs processus de validation et/ou de signatures d’accords, et ce, sans avoir à gérer les inconvénients des cartes à puce (distribution, utilisation, changement de drivers, problèmes de blocage, etc.).

Les cas d’usage de la signature électronique qualifiée

Nous l’avons vu, la signature qualifiée a des effets juridiques équivalents à ceux des signatures manuscrites. Son intérêt est particulièrement évident pour tous les contrats pour lesquels la loi française impose que la forme écrite soit exigée à titre de validité.

Néanmoins, le règlement eIDAS explique que chaque forme de signature électronique est légale et donc recevable à titre de preuve devant les juridictions européennes. Il s’agit là d’un point très important à ne pas oublier !

De nombreux entreprises nous indiquent aujourd’hui avoir besoin de signature qualifié. Nous comprenons aussi que le service juridique de ces sociétés a effectué des recherches préliminaires, a peut-être pris connaissance du texte eIDAS, et requiert donc en interne e mettre en place ce niveau de signature – simplement car il s’agit du niveau le plus sécurisé – quel que soit le cas d’utilisation.

Notre recommandation quant au choix de la signature (simple, avancée et qualifiée) se base sur les facteurs suivants :

  • Cas d’utilisation
  • Risque de contestation du document signé et risque business associé
  • Législation en vigueur dans l’industrie/le secteur en question

Certes, la signature numérique qualifiée représente la forme de signature la plus sécurisée mais, soyons francs, c’est aussi le niveau de signature le plus difficile à mettre en œuvre, en raison des nombreux audits à prévoir, par exemple. Il s’agit aussi de la signature la plus lourde pour les utilisateurs finaux qui nécessiteront une identification en face à face (ou « virtuellement » en face à face) avant de pouvoir effectuer leur première signature ; pour les suivantes, une authentification à double facteur suffira.

Le choix du type de signature à utiliser est donc avant tout un choix métier : il s’agit là de trouver le juste milieu entre le risque du contrat à faire signer et la convivialité du processus pour les signataires. Nous savons que le taux de conversion (les personnes qui signent réellement le document qu’ils reçoivent) dépend de la facilité de l’acte de signature. L’ajout d’étapes supplémentaires dans le processus de signature – prendre en photo sa carte d’identité, par exemple – peut entraîner un taux de conversion inférieur par rapport aux processus nécessitant moins de vérifications de l’identité du signataire.

Pour la majorité des cas d’utilisation de signature numérique, une signature simple ou anticipée sera suffisante, et aura de toute façon une valeur juridique (comme expliqué ci-dessus), mais nécessitant moins de contraintes pour les signataires[1].

Nous conseillons donc à nos clients d’utiliser la signature qualifiée uniquement lorsque cela est obligatoire en vertu de la loi, ou lorsque le risque business est vraiment important (risque d’invalidité du contrat dans un environnement BtoC, risque d’action collective). Quelques exemples de cas d’utilisation nécessitant une signature qualifiée en France sont, par exemple, les contrats de crédit à la consommation ou les souscriptions à l’assurance-vie.

Si vous êtes intéressé par une signature électronique qualifiée, sachez que DocuSign, en tant que leader du marché, dispose de l’ensemble des options correspondantes à toutes les signatures définies par le règlement eIDAS, dont la signature qualifiée. Nous pouvons fournir des solutions complètes dans le cloud, des solutions basées sur des cartes à puce, toutes certifiées pour fournir une signature qualifiée. N’hésitez pas à nous contacter en savoir plus.

[i] Ne considérez pas ce blog comme un avis juridique officiel – le blog de DocuSign étant géré par l’équipe marketing et ce message n’ayant pas été validé par notre service juridique, nous vous recommandons de demander un avis à votre département légal.

Tags