Tout savoir sur la légalité de la signature électronique

Dans nombre de secteurs et métiers, la signature électronique a révolutionné les usages et le quotidien des professionnels. Entre gain de temps, d’argent et de productivité, la signature électronique permet de justifier une véritable transformation pour les entreprises. Mais avant de mener cette révolution en interne, il est impératif de bien comprendre la légalité de la signature électronique.

Quelles sont les conditions pour que la signature électronique ait une valeur juridique ?

Les lois françaises et européennes en vigueur

La France reconnaît légalement les signatures électroniques depuis 2000 via la loi n°2000-230, établie après l'adoption de la directive européenne en 1999. Le droit français établit alors la valeur légale de la signature électronique dans les articles 1366 et 1367 du Code civil

La valeur juridique de la signature électronique est renforcée par la réglementation eIDAS (Electronic IDentification And Trust Services). En effet, le règlement européen eIDAS est une innovation juridique entrée en vigueur le 1er juillet 2016. Son but est de favoriser le développement des usages numériques dans l’Union européenne. Entre autres, ce texte de loi met tout en œuvre pour faciliter le déploiement de la signature électronique en clarifiant et standardisant le cadre légal de cette technologie.

Les normes et certifications pour la signature électronique

Le Code civil et la réglementation eIDAS reprennent le principe de non-discrimination. Autrement dit, il est impossible de refuser une signature au seul motif que cette signature se présente sous une forme électronique. Pour ce faire, il faut qu’elle respecte quelques normes européennes publiées par l’ETSI, les règles publiées par l’ANSSI pour la signature qualifiée et règles d’utilisation légales. Elle doit :

  • Garantir l’intégrité du document signé en empêchant toute modification après signature numérique
  • Garantir l’identité des signataires et ainsi éviter tout risque d’usurpation d’identité

En ce sens, le règlement eIDAS définit les trois niveaux de signatures électroniques autorisées. Il existe trois types de signatures électroniques :

  • La signature électronique simple : la signature simple représente le plus bas niveau de sécurité
  • La signature électronique avancée : la signature avancée représente le niveau de sécurité intermédiaire. La « signature électronique avancée » est une signature électronique qui répond à des exigences supplémentaires (par exemple, signature avec activation via un code reçu par SMS sur un numéro de téléphone enregistré qui est procéduralement lié à l'identité préalablement vérifiée du signataire, ou signature avec vérification de l'identité du signataire par le téléversement d'une copie de sa carte d'identité ou de son passeport) de sorte qu'un niveau de fiabilité plus élevé puisse être atteint (articles 3.11 et 26 du Règlement eIDAS).
  • La signature électronique qualifiée : la signature qualifiée représente le plus haut niveau de sécurité et le seul équivalent à la signature manuscrite. eIDAS met l’accent sur l’identification et l’authentification des signataires en ligne grâce à la signature électronique qualifiée.

Comment garantir la sécurité de la signature électronique ?

Identification du signataire

La vérification d’identité se fait via différents procédés, en fonction du niveau de signature du document. Cela peut être une authentification :

  • fondée sur l'identité (KYC) avec l’envoi d’une copie de la carte d’identité nationale
  • fondée sur l'identité (KYC) avec l’envoi d’une copie de la carte d’identité nationale et une détection de l’aspect vivant du signataire en utilisant une vidéo du visage du signataire.

L’utilisation d’un PVID (Prestataire de Vérification d’Identité à Distance) certifié par l’ANSSI sert, quant à lui, à activer la signature.

Garantie de l’intégrité du document signé

Afin de bénéficier d’une valeur légale, les documents signés électroniquement doivent être protégés par un mécanisme cryptographique asymétrique. Pour ce faire, la signature électronique avancée et qualifiée utilise pour chaque signataire une donnée de création de signature électronique, donnée secrète gérée par DocuSign et activable uniquement par le signataire (par exemple en utilisant un code transmis par SMS), et un Certificat associé au nom du Signataire. Pour la signature simple, le document signé est protégé par un cachet serveur apposé par DocuSign.

Un autre algorithme vient renforcer la sécurité des signatures numériques : le hachage ou condensat. Son rôle ? Calculer une représentation unique, aussi appelée empreinte, propre à chaque document. Cela permet de s’assurer que les données n’ont subi aucune modification. Il est donc impossible de forger un autre document qui aura la même empreinte que le document signé.

Enfin, les documents signés peuvent être conservés via un système d’archivage électronique sécurisé. Il s’agit généralement d’un coffre-fort électronique.

Certificat électronique qualifié

Pour ce qui est de la signature électronique qualifiée (QES), elle repose sur un processus de d’identification du Signataire certifié par l’ANSSI et la signature personnelle est créée à l'aide d'un dispositif sécurisé appelé QSCD (Qualified Signature Creation Device). Ce QSCD est géré par un fournisseur de services de confiance (TSP) et activable à distance uniquement par le Signataire.

Comment s'assurer que la signature électronique respecte les normes légales en vigueur ? 

En France, c’est l’ANSSI (Agence nationale de la sécurité des systèmes d'information) qui est l’organisme de contrôle, au sens eIDAS article 17, en matière de contrôle et de qualification des services eIDAS. Ce service français - créé par décret en juillet 2009 - identifie et contrôle les prestataires de services de confiance. Cela, afin de s’assurer de leur conformité avec le règlement eIDAS. L’ANSSI est également chargée des qualifications des TSP qui mettent en œuvre un ou des services eIDAS , qui sont suite à leur qualification par l’ANSSI reconnus ensuite au niveau européen.

La CNIL (Commission Nationale de l'Informatique et des Libertés) a, quant à elle, été créée par la loi Informatique et Libertés du 6 janvier 1978. Cette commission française est chargée de veiller à la protection des données personnelles. La CNIL a un rôle d'alerte, de conseil et d'information vers tous les publics. Elle dispose aussi, et surtout, d'un pouvoir de contrôle et de sanction.

Au niveau européen, le règlement eIDAS définit des règles et normes et en France l’ANSSI s’assure du respect des règles et normes pour la qualification des TSP et la certification des moyens et services d’identification.

DocuSign, la référence légale en matière de signature électronique

Malgré toutes les lois et les différentes réglementations, toutes les solutions de signature électronique ne se valent pas. Les solutions de signature électronique de DocuSign sont conformes aux exigences techniques de la signature électronique au sens du règlement eIDAS. Pionnier de la signature électronique et prestataire de service de confiance conforme, DocuSign est aujourd’hui utilisé dans plus de 180 pays.

Conformité eIDAS

L’offre DocuSign est conforme aux exigences techniques de la signature électronique avancée et de la signature électronique qualifiée (QES) au sens du règlement eIDAS.  DocuSign est PSCE qualifié (Prestataire de Services de Confiance Electronique) et est listé au sein de la "Trust List" européenne.

Partenaire de confiance

Chez DocuSign, le respect de la vie privée est une de nos priorités. Nous offrons un programme complet de protection de la vie privée et des données et nous mettons un point d’honneur à vous offrir une solution conforme aux lois internationales en la matière. Ce pourquoi, DocuSign figure au sein de la liste de confiance de l'UE.

Preuve et identification

Avec DocuSign il est simple de prouver qui a signé quoi, où et quand. Notre solution offre le plus grand choix de méthodes d'identification avancée et nos services de signature ont une validité légale éprouvée. Autrement dit, notre système de preuve électronique est recevable devant les tribunaux,  protégé contre la falsification par un cachet électronique et qui intègre un système de traçabilité numérique complet des opérations associées à la transaction de signature.

Accompagnement et expertise

Notre solution DocuSign eSignature est en mesure de fournir aux clients toutes les preuves dont ils ont besoin. Nous nous tenons à leur disposition pour témoigner au tribunal afin de soutenir la validité des documents signés à l'aide de DocuSign.

Pour en savoir plus sur la légalité de la signature électronique de DocuSign, contactez un de nos experts et bénéficiez d’une démonstration gratuite. Rien de mieux pour vous éclairer et vous guider dans votre choix d’une solution de signature électronique !