Lex Persona > Signature électronique

Définitions et principes

La signature électronique permet, à l’aide d’un procédé cryptographique, de garantir l’intégrité du document signé et l’identité du signataire. (Définition ANSSI )

La   signature   électronique   repose   sur   deux   familles   d’algorithmes,   qui   sont   utilisés   de   manière complémentaire :

  • des algorithmes de chiffrement asymétrique appelés parfois « à clef publique » ;
  • des algorithmes d’empreinte.

Dans la pratique, on distingue 2 catégories de signature :

  • la signature de scellement ou « de certification » effectuée généralement à l’aide d’un certificat délivré au nom d’une personne morale (appelé généralement  « cachet serveur ») qui permet de garantir l’authenticité et l’intégrité du document signé ;
  • la signature de consentement ou « d’approbation » effectuée généralement à l’aide d’un certificat délivré à une personne physique (représentant ou non une personne morale) qui permet de garantir, en plus, la non-répudiation : le signataire ne peut nier avoir signé le document et son engagement.

Niveaux juridiques de la signature électronique

Les textes définissent deux types de signature de consentement :

  • La signature électronique de consentement qui n’est pas présumée fiable jusqu’à preuve du contraire. En cas de contestation, c’est donc à celui qui veut se prévaloir des effets juridiques de cette signature d’apporter la preuve de la fiabilité du système mis en œuvre.
  • La  signature électronique de consentement présumée fiable, qui ne peut être contestée qu’en apportant la preuve de sa non fiabilité.

Pour être « présumée fiable », un « procédé de signature électronique » doit remplir trois conditions :

  • La signature électronique est sécurisée ;
  • La signature électronique est établie grâce à un dispositif sécurisé de création de signature ;
  • La vérification de la signature électronique repose sur l’utilisation d’un certificat électronique qualifié, émis par un prestataire de service de certification électronique.

La signature électronique sécurisée doit :

  • Etre propre au signataire ;
  • Etre créée par des moyens que le signataire puisse garder sous son contrôle exclusif ;
  • Garantir avec l’acte auquel  elle s’attache un lien tel que toute modification ultérieure de l’acte soit détectable.
Un certificat qualifié est conforme au standard ETSI TS 101 456.

Formats de signature

Les formats de signature PAdES, CAdES et XAdES définissent des formats pour les « signatures électroniques avancées » susceptibles de rester valides pendant de grandes périodes, conformément à la « Directive Européenne 1999/93/EC ». Ces formats sont issus des travaux de la section  l’ETSI.

  • PAdES : PDF Advanced Electronic Signatures.
    • Contenu PDF seulement
    • Très adapté pour la dématérialisation des factures, commandes, etc.
    • Le visualiseur intègre (généralement) la vérification des signatures
  • CAdES : CMS Advanced Electronic Signatures
    • Particulièrement adapté à du contenu binaire car il ne nécessite pas de transformation (exemple : vidéos, images, programmes, etc.)
    • Présente l’avantage de gérer nativement les cosignatures de même niveau
  • XAdES : XML Advanced Electronic Signatures
    • Particulièrement adapté à du contenu XML car celui-ci apparaît en clair
    • Très utilisé par l’administration française
    • Est également utilisé par Microsoft Office (à partir de 2010 de préférence)

 Niveaux de sécurité des certificats électroniques

Le RGS (Référentiel Général de Sécurité) s’applique en France depuis le mois de mai 2013. Il définit 3 niveaux pour les certificats électroniques :

  • 1 étoile : Les certificats électroniques référencés niveau « 1 étoile » sont utilisés par des applications pour lesquelles les risques de tentative d’usurpation d’identité pour falsifier la signature des documents sont moyens. La  vérification de l’identité  du  porteur  se  fait  par l’envoi d’un  dossier  papier ou électronique.
  • 2 étoiles : Les certificats électroniques référencés niveau « 2 étoiles » sont utilisés par des applications pour lesquelles les risques de tentative d’usurpation d’identité pour falsifier la signature des documents sont forts. La vérification de l’identité du porteur se fait par la vérification des pièces d’identités originales, en face à face avec le porteur.
  • 3 étoiles : Les certificats électroniques référencés niveau « 3 étoiles » sont utilisés par des applications pour lesquelles les risques de tentative d’usurpation d’identité pour falsifier la signature des documents sont très forts. Comme pour le « 2 étoiles » la vérification d’identité du porteur donne lieu à un face à face.

Le RGS impose l’emploi de dispositifs matériels pour du 3 étoiles et le recommande pour du 2 étoiles.

Législation

Le cadre juridique définissant le statut de la signature électronique en France, et plus généralement en Europe, est le résultat de la transposition de la directive européenne 1999/93/CE.

Les différents textes sont :

  • 1999 : Directive Européenne 1999/93/CE ;
  • 2000 : Loi n°2000-230 du 13 mars 2000 : Prise en compte de la signature électronique au sein du code civil ;
  • 2001 : Décret n° 2001-272 du 30 mars 2001 : Transposition de la Directive Européenne 1999/93/CE ;
  • 2002 : Décret n° 2002-535 du 18 avril 2002 : Attribution du rôle de certificateur à la DCSSI ;
  • 2002 : Arrêté du 31 mai 2002 : Attribution du rôle d’accréditeur au  COFRAC, pour l’évaluation des prestataires de certification électronique ;
  • 2004 : Arrêté du 26 juillet 2004  relative à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation ;
  • 2005 : Ordonnance du 8 décembre 2005  relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu’entre les autorités administratives ;
  • 2010 : Décret du 2 février 2010 (dit « décret RGS ») ;
  • 2010 : Arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques (dit « arrêté RGS ») ;
  • 2012 : Arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques (dit « arrêté RGS »).
  • 2014 : Règlement « eIDAS » n°910/2014 du 23 juillet 2014 instaurant un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. Le règlement eIDAS concerne principalement les organismes du secteur public et les prestataires de services de confiance établis sur le territoire de l’Union européenne. Il couvre notamment le sujet de la signature électronique, et abroge la directive 1999/93/CE. L’ANSSI est l’un des organismes nationaux chargés de la mise en œuvre de ce règlement.