La signature électronique, qui équivaut à la signature manuscrite dans le monde, n’est pourtant pas une apposition de l’image numérisée de celle-ci sur un document numérique. Au contraire, comme cela a déjà été dit précédemment, la technologie s’appuie sur des procédés cryptographiques visant à lier l’identité du signataire au contenu de la pièce concernée afin de l’authentifier et de garantir son intégrité, empêchant par là même sa falsification a posteriori. De plus, elle dispose de la même valeur juridique que la version manuscrite, ce qui en fait le seul procédé informatique pouvant donner un caractère probant à un écrit électronique ou traditionnel papier à l’heure actuelle.
De nombreuses fonctionnalités, mais un choix difficile
Cette preuve se base sur la production de certificats électroniques, indissociables de la signature électronique, qui permettent d’authentifier et de tracer l’identité du signataire. Véritables pièces d’identité numérique, ils forment l’un des deux composants de la signature électronique, couplés à une application de signature. Simple à mettre en place, l’outil s’adapte ainsi à tous les types de documents : devis, bons de commande, factures, mandats, CGU et CGV, contrats de travail, etc. Difficile, pourtant, de s’y retrouver parmi les nombreuses solutions qui existent sur le marché. Plusieurs critères de choix permettent cependant de ne pas se tromper.
Norme : eIDAS, RGS, RGPD
La solution est-elle conforme avec la réglementation ?
L’outil utilisé doit tout d’abord garantir le respect des lois. Deux référentiels sont reconnus en France : le Référentiel général de sécurité (RGS) et la norme européenne Electronic identification authentification and trust services (eIDAS). Cette dernière, tout particulièrement, impose certains gabarits de certificat et de nouvelles règles dans le processus d’identification notamment. Cette disposition apporte du crédit au format de conteneur de signature Asic et aux formats de signature Cades (CMS advanced electronix signatures), Xades (XML advanced electronic signatures) et Pades (PDF advanced electronic signatures), reconnus comme normes européennes. De fait, la technologie retenue doit être conforme à l’ensemble de ces spécifications, d’autant que deux signataires peuvent se situer dans des pays différents.
E-parapheur intégré. Cloud sécurisé. Signature simple, avancée ou qualifiée.
Les niveaux de sécurité sont-ils respectés ?
Autre critère d’importance dans le choix d’une solution de signature électronique, le respect des niveaux de sécurité est primordial. Pour rappel, le règlement eIDAS en distingue quatre, pour autant de types de certificat : le niveau 1 ne requiert que l’adresse électronique du signataire, le niveau 2 exige une preuve de son identité (carte d’identité, passeport, etc.), le niveau 3 nécessite la présence physique du signataire, et le niveau 4 un certificat stocké sur support physique cryptographique (clé USB ou carte à puce). Le cadre est d’autant plus compliqué en France où le RGS est également pris en compte, surtout pour les marchés publics. Il apporte avec lui trois niveaux de sécurité de certificat supplémentaires, classés sous forme d’étoiles. Il offre la possibilité de signer des documents électroniques grâce à une clé privée associée, soit à un certificat à usage unique dédié à la signature, ou à un certification double usage combinant les fonctions de signature et d’authentification. Le stockage de la clé de signature dépend du niveau associé : sous forme logicielle pour le niveau RGS *, et sur un support cryptographique physique (carte à puce ou clé USB) pour les niveaux supérieurs. À noter qu’une signature qualifiée ne peut être réalisée que par le niveau RGS ***.
Quels sont les besoins des utilisateurs ?
Au-delà de répondre à des exigences de sécurité ou liées à la réglementation, l’outil de signature choisi doit avant tout répondre aux besoins de son utilisateur. Dans ce sens, sa capacité à être en adéquation avec l’usage métier est un critère fondamental. La solution doit ainsi être facilement paramétrable, notamment au sujet du workflow et des règles relatives à la signature électronique (qui a le droit de signer ? quel est l’ordre de signature ? etc.). Certains fournisseurs mettent à disposition des outils de gestion pour plusieurs identités faibles, où l’émetteur de l’acte à signer identifie lui-même le signataire par mail ou via une URL dédiée. Il suffit dès lors d’accepter la démarche d’un simple clic. D’autres solutions peuvent identifier de manière plus précise le signataire (double identification par mail, code PIN à usage unique transmis par SMS, vérification de la pièce d’identité ou encore prise en photo de l’individu pour valider sa signature). Il est également possible de stocker le certificat électronique d’un utilisateur qui aura préalablement fourni la preuve de son identité.
Quelle est la quantité de documents à signer ?
Dans la même lignée que l’identification des besoins pour ce qui est des fonctionnalités, il est également nécessaire de prendre en compte les volumes de documents à signer avant de choisir une solution. La signature est un acte cryptographique consommant du CPU et des ressources qui a un impact sur les performances de la plateforme sur laquelle il est intégré. Un usage fréquent pourrait donc avoir des conséquences néfastes. En contrepartie, la signature électronique évite d’avoir à imprimer les documents au format papier, ce qui est d’autant plus appréciable en cas de volumes plus importants.
Les réponses à toutes ces questions et à bien d'autres sont à découvrir dans ce Supplément Archimag gratuit entièrement consacré à la signature électronique. Vous découvrirez également un panorama de différents prestataires à télécharger ici.
Commentaires (1)