La signature électronique est-elle légale et devriez-vous l’utiliser ?

Bien que l’adoption de la signature électronique n’a eu de cesse de grandir ces dernières années, les évènements récents ont encore accentué le phénomène. Aujourd’hui, la signature électronique convainc de plus en plus les entreprises comme les particuliers. Qu’il s’agisse de signer les différents accords nécessaires à l’entreprise ou les documents de location de son bail, on aimerait tous pouvoir être plus rapides, plus écolos, et finalement plus efficaces.

Toutefois, il est une question qui revient régulièrement puisqu’elle est fondamentale : la signature électronique est-elle légale ?

Bien sûr ! La signature est 100 % légale en France et partout en Europe. La valeur légale de la signature électronique est renforcée par la réglementation européenne eIDAS (Electronic IDentification And Trust Services).

eIDAS est entrée en vigueur le 1er juillet 2016. Son but est de favoriser le développement des usages numériques en Europe. Elle met tout en œuvre pour faciliter le déploiement en Europe de la signature électronique.

Son principal apport est de standardiser le cadre légal de cette technologie. Le concept des trois niveaux de signature apparaît aussi dans eIDAS. Elle met l’accent sur l’identification et l’authentification des signataires en ligne.

Pour ce faire, trois niveaux de signatures électroniques existent :

• La signature simple : suffisante pour la plupart des documents standards.
   
• La signature avancée (SEA) : le signataire doit être identifié de façon univoque (à l’aide de copie de papiers d’identité par exemple). Un tiers de confiance fournit alors un certificat numérique pratiquement impossible à usurper.
   
• La signature qualifiée (SEQ) : c’est le type de signature numérique la plus sécurisée. La QES est une signature à base de certificats. Le processus d’émission du certificat numérique n’est possible qu’une fois l’identité du signataire vérifiée en personne (visuellement). La signature est créée à l’aide d’un périphérique très sécurisé appelé QSCD qui ne peut fonctionner que sur un système cloud géré par un fournisseur de services de confiance (TSP).

La réglementation eIDAS fixe les règles d’utilisation et de reconnaissance légales des procédés de signature électronique des 28 états membres de la communauté européenne. Un prestataire de service de confiance doit être en conformité avec ce règlement. Les solutions de signature électronique de DocuSign sont conformes aux exigences techniques de la signature électronique au sens du règlement eIDAS.

Pour aller plus loin et découvrir en détail tout ce qu'il faut savoir sur le sujet avant de vous lancer, n'hésitez pas à télécharger gratuitement notre livre blanc :

Le règlement eIDAS corrige les lacunes de la Directive de 1999 sur la signature électronique. Cela comprend la reconnaissance mutuelle des signatures électroniques qualifiées entre les États membres si nécessaire, notamment dans le secteur public qui est l’un des plus conservateurs en matière d’adoption de nouvelles technologies.

Il légitime également les signatures électroniques pour l’utilisation dans le Cloud et sur des appareils mobiles en autorisant explicitement les prestataires de services de confiance qualifiés à « gérer les données de création de signature au nom du signataire ».

Auparavant, le droit européen et les normes en matière de technologie recommandée préconisaient uniquement l’emploi de cartes à puce ou d’appareils USB de signature à jeton pour les types de signatures électroniques les plus astreignants. Le règlement eIDAS reconnaît désormais formellement les signatures électroniques dans le Cloud. Les fournisseurs de signature électronique peuvent gérer les appareils de création de signatures électroniques à distance et doivent suivre de nouvelles normes techniques et de sécurité afin de garantir que la création de la signature soit utilisée sous le contrôle exclusif du signataire.

Cette reconnaissance spécifique de la signature à distance renforce sa légitimité juridique auprès d’entreprises recherchant des solutions pratiques de signature électronique dans le Cloud, afin de démocratiser l’utilisation des signatures électroniques sur Internet et sur les appareils mobiles.

Le respect des normes maximise la conformité des signatures électroniques et réduit les risques juridiques. De nombreux fournisseurs de systèmes de signature électronique déclarent être conformes au règlement eIDAS, car il est neutre du point de vue de la technologie. Toutefois, si l’on considère le risque pour une entreprise, il est important de vérifier comment votre fournisseur s’y prend pour garantir la conformité de son service, en particulier pour les signatures électroniques avancées ou qualifiées.

Le règlement eIDAS permet à la Commission Européenne d’identifier les normes techniques qui donnent aux solutions la présomption de conformité avec le règlement dans toute l’Union Européenne. Plus précisément :

eIDAS, Section 71

Le règlement eIDAS vise autant que possible à recommander les organisations normatives sur lesquelles la Commission Européenne doit s’appuyer :

eIDAS, Section 72

Les nombreuses entreprises cherchant à réduire les risques liés à l’exercice de leur activité au sein de l’UE doivent vérifier que leurs fournisseurs de systèmes de signature électronique suivent les normes recommandées par la Commission Européenne et établies par ces entités normatives indépendantes, notamment l’IENT, le CEN, l’ISO et l’UIT. Par ailleurs, les fournisseurs respectant le plus fidèlement ces normes recevront une accréditation indépendante de la part d’auditeurs tiers réputés. Si les États membres ne peuvent pas imposer aux prestataires de services de confiance qu’ils observent les normes techniques, ces derniers peuvent minimiser le risque pour leurs clients en respectant celles recommandées par l’Union Européenne afin de prouver leur conformité aux exigences en matière de signatures avancées et qualifiées.