Plusieurs niveaux de signatures sont définis par deux référentiels faisant foi en France : le franco-français Référentiel général de sécurité (RGS), prévu par l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, et le Règlement eIDAS, adopté par le Parlement européen et le Conseil de l’UE le 23 juillet 2014, portant sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur. Deux cadres donc, mais des niveaux de signature finalement assez similaires.
Le Référentiel général de sécurité
Le RGS, tout d’abord, fixe les règles de sécurité que les systèmes d’information doivent respecter pour assurer la disponibilité, l’intégrité, la confidentialité, l’authentification et la traçabilité des informations des usagers. En s’appuyant sur quatre grandes fonctions de sécurité (authentification, signature électronique, confidentialité et horodatage), le RGS distingue trois types de certificats : RGS * (niveau élémentaire), RGS ** (niveau standard) et RGS *** (niveau renforcé). Chacun d’entre eux répond à des exigences de sécurité plus ou moins élevées décrites dans le RGS. Il est admis que les niveaux RGS ** et RGS *** correspondent respectivement aux signatures avancée et qualifiée établies par le Règlement eIDAS.
Le Règlement eIDAS
Le référentiel européen, de son côté, vise à faciliter les transactions électroniques entre les pays de l’UE, sans nécessiter de transposition de la loi dans chacun d’eux. Même si trois types de signature électronique sont traditionnellement retenus, en réalité, le règlement (UE) n° 910/2104 en définit quatre :
- la signature électronique simple, « constituée des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer » ;
- la signature électronique avancée, satisfaisant à plusieurs exigences (« être liée au signataire de manière univoque », « permettre d’identifier le signataire », « avoir été créée à l’aide de données de création de signature électronique que le signataire peut (…) utiliser sous son contrôle exclusif » et « être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable ») ;
- la signature électronique avec certificat qualifié, « délivré par un prestataire de services de confiance qualifié » ;
- la signature électronique qualifiée, « créé à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique ».
Les principales différences entre ces niveaux portent à la fois sur la sécurité, mais également sur la facilité de mise en place et d’utilisation de la signature électronique. Avant de se lancer dans une telle démarche, mieux vaut donc se renseigner sur les documents et actes nécessitant bel et bien une signature électronique, et ceux pour lesquels elle n’est pas obligatoire.
Les réponses à toutes ces questions et à bien d'autres sont à découvrir dans ce Supplément Archimag gratuit entièrement consacré à la signature électronique. Vous découvrirez également un panorama de différents prestataires à télécharger ici.