Ces vingt dernières années, la signature électronique s’est progressivement répandue dans tous les secteurs de l’économie. Privés comme publics, avec une relative discrétion, dans un contexte de transformation numérique progressive. Depuis le début de la crise sanitaire, force est de constater une accélération du mouvement. Peu à peu, la signature électronique se met au service des collaborateurs d’entreprises, certes, mais aussi des élus, des agents et des citoyens, avec des besoins de sécurité très diversifiés.

Si l’usage de la signature électronique est simple et si ses avantages ne sont plus à vanter (praticité, sécurité, traçabilité, gain de temps, etc.), bon nombre d’organisations s’interrogent encore sur la façon de la déployerQuels documents sont concernés ? Quel est leur circuit Quels sont les processus internes de validation ? Quel volume cela représente-t-il ? Qui peut signer ? Avec quel niveau de signature ? Autant de questions dont les réponses doivent permettre d’établir un cahier des charges en concertation avec la DSI.

À chaque cas d’usage son niveau de signature électronique !

La signature électronique est encadrée par deux règlementations distinctes :

 

Le Référentiel Général de Sécurité (RGS)

Le Référentiel Général de Sécurité (RGS) vise à renforcer la sécurité et la confiance dans les échanges au sein de l’administration et avec les citoyens. Il propose trois niveaux de sécurité :

  • Elémentaire RGS*
  • Standard RGS**
  • Renforcé RGS***

Notez que les niveaux « Standard » et « Renforcé » nécessitent une vérification en face à face de l’identité du signataire et l’utilisation d’une clé sécurisée (carte à puce ou clé USB).

 

Le règlement européen eIDAS

Le règlement européen eIDAS sur l’identification électronique et les services de confiance prévoit, pour sa part, la génération d’une signature (dite) « simple », avancée ou qualifiée. Avec ce règlement, l’Union européenne s’est dotée d’un socle juridique encadrant l’usage de la signature électronique afin de développer son usage. Il définit trois niveaux de signature électronique  :

  • Simple
  • Avancée
  • Qualifiée

 

La signature électronique dite « simple »

Elle correspond au premier stade de sécurité dans la mesure où elle n’est constituée que de « données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ». Son objectif est essentiellement de ne discriminer aucune forme de signature électronique, y compris la simple mention d’un nom à la fin d’un courriel. Ce type de signature n’est pas défini dans le droit français.

 

La signature électronique dite « avancée »

Elle répond à 4 exigences du règlement eIDAS : elle est liée sans ambiguïté au signataire et permet l’identification de ce dernier, elle offre un niveau de confiance élevé quant à sa mise en œuvre par le signataire et elle garantit l’intégrité de l’acte qui en résulte. Ce niveau de signature offre le meilleur compromis en matière de sécurité, de coût, de facilité d’usage et de mise en œuvre.

 

La signature électronique dite « qualifiée »

C’est la plus sécurisée des signatures électroniques, et la seule à offrir la même valeur juridique qu’une signature manuscrite dans tous les États membres de l’UE. C’est une signature avancée qui repose sur un certificat qualifié de signature électronique ainsi que sur un dispositif qualifié de création de signature. De manière concrète, ce type de signature nécessite une vérification en face à face de l’identité du signataire et l’utilisation d’une clé sécurisée. Elle a vocation à être utilisée principalement pour des raisons de conformité règlementaires. La signature électronique de niveau qualifié eIDAS est préconisée pour les échanges contractuels avec l’étranger. Les signatures de niveau inférieur n’offrent pas la même valeur que la signature manuscrite mais n’en restent pas moins recevables comme preuve en justice.

 

Notez que des travaux de mise à jour du RGS sont en cours afin de simplifier son articulation avec le règlement eIDAS. In fine, c’est à chacun d’évaluer le niveau de risque de la transaction. Ou encore de jauger de la fiabilité de l’autre partie, afin de choisir le niveau de signature électronique adapté à l’opération et ses enjeux. Simple, avancée ou qualifiée ? Pour le code du commerce, une signature électronique « simple » suffit. Mais en cas de réels doutes sur l’autre partie, lors d’un accord avec un fournisseur ou un client peu ou mal connu, il peut être judicieux d’opter pour une signature électronique « avancée » ou « qualifiée ».

In fine, c’est à chacun d’évaluer le niveau de risque de la transaction.

Moins de papier et plus de temps au service des clients

Le choix et le déploiement d’une solution de signature électronique peuvent tirer parti d’un accompagnement adapté aux besoins fonctionnels et règlementaires des organisations. Mais sa mise en place offre un ROI (« retour sur investissement ») rapide avec à la clé des bénéfices très significatifs : une économie sur les coûts papier et une réduction des délais de signature pour les clients, fournisseurs ou les collaborateurs.