Guide sur la signature électronique

Le succès du commerce électronique a entrainé un besoin croissant de sécuriser les transactions commerciales, propulsant ainsi la signature électronique en un allié indispensable pour y parvenir.

La signature électronique permet de garantir l’intégrité, l’authenticité, la confidentialité et la non-répudiation des documents commerciaux échangés.

• Intégrité : elle définit la capacité d’assurer que le document n’a pas été altéré. En d’autres termes, le document envoyé et le document reçu doivent rester identique tout au long de leur acheminement.
• Authenticité : elle confirme l’identité de la personne physique ou morale ayant signé le document.
• Confidentialité : elle permet de s’assurer que le document est exclusivement accessible aux personnes autorisées.
• Non-répudiation : une fois que le document est signé, la personne l’ayant signé ne peut pas nier avoir signé le document.

Grâce à cet ensemble de garanties, la signature électronique s’est imposée comme élément incontournable pour l’approbation de documents commerciaux, d’autant plus lorsqu’il s’agit de flux critiques pour l’entreprise.

Son importance est telle, qu’aujourd’hui la signature électronique est légalement reconnue comme étant le mécanisme de sécurisation et d’identification de documents dans de nombreux pays et textes de loi.

En quelques mots, la signature électronique repose sur un ensemble de données nécessaires pour attester de la validation d’un document par un signataire, tout en s’assurant de son identité et de l’intégrité du document signé.

Ce mécanisme est également appelé signature digitale ou e-signature. Cependant, le terme employé ne fait pas toujours référence au même concept (technique et légal) en fonction du pays.

Comment fonctionne la signature électronique

La majorité des signatures électroniques sont basées sur des systèmes de chiffrement de données via l’usage de certificats électroniques.

Les certificats électroniques servent à certifier la véracité de l’identité d’une personne (physique ou morale). Les certificats électroniques sont émis par des Autorités de Certification, qui opèrent comme tiers de confiance.  Son rôle est de se poser en intermédiaire neutre entre les différents partenaires commerciaux impliqués afin de préserver la confiance mutuelle entre les parties prenantes.

Tout comme la signature électronique, les concepts de certificats électroniques et d’Autorité de Certification sont régulés par la loi en vigueur dans chaque pays.

Le cadre légal de la signature électronique dans le monde

Comme mentionné précédemment, chaque pays dispose de son propre cadre légal encadrant l’usage de la signature électronique. L’une des initiatives les plus marquantes en termes d’harmonisation des pratique est la Loi type de la Commission des Nations Unies sur les signatures électroniques qui a servi de référence dans le monde pour tous les pays membres des Nations Unies ayant codifié légalement cette pratique.

La Loi type de la CNUDCI sur les signatures électroniques vise à permettre et faciliter l'utilisation des signatures électroniques en établissant des critères de fiabilité technique pour l'équivalence entre ces signatures et les signatures manuscrites. En conséquence, elle peut aider les États à mettre en place un cadre législatif juridique moderne, harmonisé et juste pour régler efficacement la question du traitement juridique des signatures électroniques et sécuriser leur statut.

La signature électronique en Europe

En parallèle, une autre initiative d’homogénéisation de l’usage de la signature électronique a été prise par l’Union Européenne.

La signature électronique en Europe est régulée par

L’objectif principal du Règlement eIDAS est de garantir des interactions électroniques sécurisées et de favoriser le commerce transfrontalier au travers de l’usage de la signature électronique et de certificats digitaux sur base de critères communs.

Le Règlement distingue plusieurs types de signature électronique, en fonction de la complexité des mécanismes de sécurité employés lors de leur émission. On distingue donc :

La signature électronique

Elle est définie comme étant « les données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer » (Article 3.10 du Règlement eIDAS). À titre d’exemple, il s’agit de la signature utilisée dans un courrier électronique afin de procéder à l’identification.

La signature électronique avancée

Il s’agit de la signature la plus utilisée, en raison du haut niveau de sécurité qu’elle assure. Elle doit répondre aux critères suivants :

• Être liée au signataire de manière univoque.
• Permettre d’identifier le signataire.
• Avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif.
• Être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.

La signature électronique qualifiée

Parmi les 3 signatures décrites, il s’agit de la signature la plus complexe, celle qui garantit le plus haut niveau de sécurisation des opérations digitales. La signature électronique qualifiée est « une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique » (Article 3.12 du Règlement Européen eIDAS).

La signature électronique qualifiée dispose de la même valeur légale qu’une signature manuscrite.

Le type de signature électronique à utiliser dépend du degré de criticité de l’opération électronique concernée et du cadre légal rattaché à la nature des documents signés.

S’agissant d’un Règlement Européen, ces règles sont directement applicables au sein des pays membres de l’Union Européenne.

La signature électronique en Amérique Latine

Chaque pays d’Amérique Latine dispose de son propre cadre légal rattaché à l’usage de signature électronique. De ce fait, les sociétés implantées dans plusieurs pays de la zone se doivent d’être informées des prérequis légaux et techniques dans chacun de ces pays.

Par exemple, la législation mexicaine distingue la signature électronique de la signature électronique avancée ou fiable. L’entité émettrice de certificats électroniques est appelée Prestataire de Services de Certification (PSC). Dans le cas de l’Argentine, on parle de signature digitale, tandis que la Colombie ne fait pas de distinction entre la signature électronique et la signature digitale. Dans ce pays, les Autorités de Certifications sont reconnues sous le nom d’Entités de Certification Digitale.

EDICOM dispose du titre de Prestataire de Services de Confiance Qualifiés en Europe, de Prestataire de Services de Certification (PSC) au Mexique et Entité de Certification Digitale en Colombie.

EDICOMSignADoc la solution globale de validation de documents au travers de la signature électronique

EDICOMSignADoc est en mesure d’appliquer différents types de signature électronique en fonction des exigences techniques et légales applicables à chaque type de document.

En tant qu’Autorité de Certification internationale, EDICOM peut également certifier les rapports de preuve de toutes les actions réalisées sur un document.

De plus, le service de validation de SignADoc permet également d’utiliser les certificats électroniques de l’utilisateur afin que la signature soit apposée en son nom.

Signature d’utilisateur avec un certificat non reconnu : le signataire utilise un certificat électronique en son nom afin de signer le document.

Signature via un certificat reconnu : le signataire doit disposer d’un certificat reconnu.

Signature via un dispositif sécurisé : en plus du certificat reconnu, l’usage d’un dispositif sécurisé de création de signature est nécessaire.

EDICOM, en tant qu’Autorité de Certification internationale offre le plus haut niveau de garantie de sécurité à ses clients, comme en attestent les nombreuses certifications obtenues, à l’image des certifications ISO 27001 ou ISAE3402.