Les obligations légales se manifestent généralement sous la forme d’un contrat. Le principe fondamental d’un contrat consiste à définir un enjeu commun en stipulant les conditions d’un accord. Le contrat détermine également les parties prenantes (deux ou plus) de cet accord, en les identifiant clairement. Un contrat se caractérise en outre par sa durée sur le long terme, en tenant responsables les parties prenantes de leurs obligations. Si l’une des parties prenantes fait défaut, l’autre partie prenante peut alors la contraindre à remplir ses engagements.

Dans la pratique, ces objectifs se résument à trois éléments fondamentaux :

Identité

Tout contrat doit stipuler clairement l’identité des parties prenantes, qui peuvent être au nombre de deux ou plus. Une telle identification ne se résume pas à consigner les noms de chaque signataire, mais à s’assurer de façon infaillible que c’est bien la bonne personne qui signe le contrat. Si la signature se fait en personne, les choses sont plus faciles : il est toujours possible de confirmer l’identité d’un signataire en lui demander de présenter une pièce d’identité valide. Mais que faire en cas de signature à distance ?

Intégrité

Il va de soi que vous ne devez pas signer de contrat sauf si vous êtes d’accord avec les conditions énoncées et êtes prêt à assumer votre part. C’est à ce stade que se pose un autre problème : la falsification. Comment avoir la certitude que personne ne va modifier le contrat une fois ce dernier signé ?

Une solution permettant d’atténuer ce risque consiste à se procurer une copie papier d’un contrat signé manuellement et à signer chaque page d’un contrat s’il en comporte plusieurs. Toutefois, ces mesures de sécurité sont inutilisables avec la signature à distance. Il est donc crucial de choisir une signature électronique comportant une couche de sécurité adaptée.

Fiabilité

En dernier lieu, tout contrat doit lier les entités (ainsi que les conditions du contrat) d’une façon durable et sûre. C’est la condition indispensable pour qu’un contrat soit fiable, applicable et équitable.
La fiabilité a un lien direct avec les relations de confiance. Il est bien évidemment plus facile faire confiance à une personne avec laquelle vous avez une relation de longue date et dont vous savez qu’elle a toujours respecté ses obligations légales. En revanche, quelle approche adopter si vous ne connaissez pas la personne et ne savez pas grand-chose de ses antécédents ?

C’est là que les différentes couches de sécurité des signatures électroniques démontrent tout leur intérêt.

Qu’est-ce qui différencie les signatures électroniques conformes à la norme eiDAS ?

Il existe trois types de signatures électroniques eIDAS : la signature électronique simple (SES), la signature électronique avancée (AES, qui ne doit pas être confondue avec l’algorithme de chiffrement AES), et la signature électronique qualifiée (QES). Elles s’accompagnent toutes d’un certificat qui établit un lien entre l’identité de l’utilisateur et sa signature électronique. Un certificat différencie les signatures électroniques réglementées des images numérisées de signatures manuelles, pour prendre un exemple. L’image numérisée d’une signature est facile à copier, peut être utilisée par tous et n’est aucunement fiable. Ce type de signature ne peut démontrer aucun lien direct avec l’identité du signataire : pour quelle raison s’y fier ? Dans la majorité des cas, votre confiance ne repose que sur une supposition.

Même au niveau de sécurité le plus faible, qui est celui des signatures simples (SES), les signatures eIDAS ne sont pas transférables : seul le propriétaire de la signature peut l’utiliser. De plus, les trois niveaux de signatures intègrent des fonctions de détection de falsification. Si un utilisateur modifie le contenu d’un document signé électroniquement, cette modification peut être décelée. Si un document est signé avec une signature qualifiée (QES), toute tentative de substituer la signature par une fausse signature sera également déjouée, car une signature QES n’est disponible qu’une fois l’identification confirmée.

« Il est certes important de respecter toutes les exigences officielles, mais en définitive, tout se résume à une seule question essentielle : connaissez-vous déjà la personne avec qui vous signez et avez-vous confiance en elle ? Plus le niveau de confiance est faible au départ, plus la couche de sécurité de votre signature électronique doit être renforcée », explique Robert Hoffman, responsable de la sécurité chez ZealiD.
SES, AES ou QES : quel type de signature choisir ?

En définitive, votre choix doit être déterminé par un principe très simple, celui de la confiance. Êtes-vous certain de l’identité de l’autre signataire, et pouvez-vous la prouver en cas de problème ?

L’utilisation de signatures SES et AES repose sur des relations de confiance. Les deux parties prenantes doivent pouvoir se fier aux identités revendiquées mutuellement. Aucun tiers neutre n’est en effet présent pour contrôler les deux identités. En règle générale, vous ne devez donc pas utiliser une signature SES ou AES avec un interlocuteur avec lequel vous n’avez jamais eu de relations.

Dans le monde réel, la signature simple (SES) est principalement utilisée pour des opérations ou des accords internes. Il peut s’agir, pour ne donner que quelques exemples, d’un accès à un VPN d’entreprise, de validations en interne et de documentation. Comme les entreprises et leurs employés se connaissent déjà et partagent déjà des obligations légales, les risques d’une usurpation d’identité en interne sont faibles. De même, la signature avancée (AES) est fréquente en cas de relations de longue durée entre des utilisateurs et des fournisseurs de service. Une signature AES est par exemple pratique pour émettre un mandat de prélèvement SEPA au bénéfice de votre assureur.

La signature qualifiée (QES) fait intervenir un tiers, le prestataire de service de confiance sous licence. C’est cette couche de sécurité supplémentaire qui distingue la signature QES en la dotant d’un degré de confiance et de sécurité supérieur. Les prestataires de service de confiance doivent respecter des normes à la sécurité très élevée, basées sur le chiffrement et les certificats numériques. Ils respectent les réglementations eIDAS. En leur qualité d’intervenants tiers, ils peuvent garantir aux deux parties prenantes la véracité de l’identité de l’autre signataire. Pour ce faire, ZealiD vérifie l’identité des utilisateurs en contrôlant leurs informations d’identification et en effectuant une validation manuelle (c’est-à-dire la vérification par du personnel qualifié de la preuve d’identité présentée) lors du processus d’inscription. Le processus crée en outre une trace d’audit claire qui renforce le degré de confiance de la signature QES.

Dans la pratique, la signature QES introduit une robuste couche de sécurité supplémentaire lorsque les signataires ne se connaissent pas du tout. C’est par exemple le cas des contrats de télétravail, qui deviennent de plus en plus courants. C’est aussi un choix judicieux lorsque les enjeux sont importants, par exemple s’il s’agit de contrats à long terme ou d’une première signature de contrat avec une nouvelle banque ou compagnie d’assurances.

En France, les signatures électroniques sont reconnues dans le cadre professionnel et juridique. Elles bénéficient en outre de la généralisation des signatures électroniques dans le marché interne de l’UE, par le biais des réglementations eIDAS. Selon la législation française et la réglementation eIDAS, la signature QES est acceptée pour les contrats de marchés publics, les dossiers médicaux et les décisions de justice. Elle peut aussi être acceptée pour les accords dans des secteurs réglementés, tels que les notaires, les avocats, les organismes bancaires et les huissiers de justice, et dans les cas où la nature de la signature en tant que preuve revêt une importance particulière.

La signature électronique, désormais fréquemment utilisée pour les accords légaux et les documents gouvernementaux, attire de plus en plus l’attention des politiciens. La norme eIDAS devrait donc en toute logique continuer à être développée et perfectionnée. Les régulateurs pourraient ainsi envisager d’appliquer des critères techniques et de sécurité supplémentaires pour l’identification à distance. D’autres initiatives pourraient être la prise en charge de processus standardisés de signature eIDAS, utilisant une technologie indépendante du fournisseur dans les solutions informatiques gouvernementales. Ils remplaceraient ainsi les implémentations existantes spécifiques à un fournisseur, qui vont à l’encontre des objectifs de l’eIDAS.