Certificat de signature électronique : définition, normes et sécurité

La signature électronique est obligatoire dans certains contextes, comme la réponse aux appels d’offres de marchés publics.

Pour signer électroniquement des documents en respectant la législation, deux éléments s’avèrent incontournables. 

En premier lieu, un certificat de signature électronique, visant à authentifier les signataires. Il est requis pour les niveaux de sécurité avancé et qualifié. En second lieu, une solution de signature électronique comme Oodrive Sign.

Qu’est-ce qu’un certificat de signature électronique et pourquoi est-il important pour votre entreprise ? 

Un certificat de signature électronique prend la forme d’un fichier numérique infalsifiable. Nominatif, il est délivré par une autorité de certification (AC) ou un prestataire de services habilité, après vérification de l’identité de la personne physique, le porteur. 

Si le porteur agit au nom de son organisation, le contrôle se concentre sur l’identité de l’entreprise et  son droit à agir pour son compte. 

Plus la signature électronique est sécurisée, plus la vérification est approfondie. Elle va de l’envoi d’un e-mail, pour les procédures les plus souples, à une rencontre physique avec un agent qualifié, dans le cadre d’un processus plus rigoureux. 

Pour réaliser une signature électronique avancée ou qualifiée, il est obligatoire d’obtenir au préalable un certificat de signature électronique. 

La signature électronique de confiance

Accélérez vos processus de signature et simplifiez vos échanges avec une signature électronique conforme et sécurisée.

Selon le règlement eIDAS, seuls les prestataires de services de certification électronique qualifiés sont aptes à en délivrer. Le certificat garantit l’identité du signataire (nom, pseudonyme), mais aussi la validité de la signature électronique

Ainsi, si un litige survient, prouver la fiabilité de la signature est plus simple. Dans le cas d’une personne morale, le numéro d’immatriculation est vérifié. Il n’est alors pas question de signature électronique, mais plutôt de cachet électronique

Les niveaux de signature électronique

Le règlement eIDAS définit quatre niveaux de sécurité pour les signatures électroniques qui répondent à des exigences distinctes. Pour savoir quel niveau choisir, l’idéal est de procéder à une analyse des risques, en tenant compte des éléments suivants : 

  • La vraisemblance du litige. Autrement dit, sa probabilité de survenue sur une période donnée ;
  • La gravité du litige, évaluée en déterminant les impacts en lien avec l’annulation de l’acte signé électroniquement ; 
  • La portée du document : nationale, européenne, internationale, etc. ;
  • L’existence d’une obligation réglementaire ;
  • Le type de document concerné : acte sous seing privé, acte notarié, décision administrative, etc.

La signature électronique simple 

Ce type de signature authentifie un document indépendamment de son signataire. Aucune garantie sur son identité ou sur l’intégrité des données signées n’est apportée. Sa valeur juridique est réduite.

La signature électronique avancée 

Reposant sur l’utilisation d’une clé privée accessible seulement au signataire, la signature électronique avancée :

  • Identifie l’auteur de la signature électronique ;
  • Lie la signature à son auteur ;
  • Garantit l’intégrité du ou des documents signés.

La signature électronique avancée reposant sur un certificat de signature électronique qualifié 

Ce niveau de sécurité permet de s’assurer de l’identité de l’auteur de la signature électronique par le biais d’un processus particulier. 

Pour établir le certificat de signature électronique qualifié, le prestataire de services de confiance ou l’autorité de certification doit contrôler l’identité du signataire.

Ce niveau de signature électronique équivaut au niveau 1 étoile prévu par le référentiel général de sécurité (RCS).

La signature électronique qualifiée

Robuste sur le plan technique comme juridique, la signature électronique qualifiée requiert :

  • D’acquérir un certificat de signature électronique ;
  • D’utiliser un dispositif de création de signatures électroniques sécurisé. Les données employées pour créer la signature doivent être confidentielles, uniques, sécurisées et protégées contre toute falsification ou tout usage par des personnes non autorisées.

Ce niveau présente un degré de fiabilité proche des niveaux 2 ou 3 étoiles prévus par le RGS.

Les différents types de certificats de signature électronique 

Le certificat de signature électronique peut être placé :

  • Dans un support cryptographique sécurisé. Il est alors stocké sur un support physique, comme une clé USB ou bien une carte à puces. On parle de local signing
  • Dans un support cryptographique de l’autorité de certification ou du prestataire de services. Il s’agit d’un certificat « hébergé ». On parle de remote signing.

La valeur juridique d’un certificat de signature électronique

Tous les types de signatures électroniques ne possèdent pas le même niveau de force probante. D’après le décret n° 2017-1416 du 28 septembre 2017, la signature électronique qualifiée est la seule à bénéficier d’une valeur juridique similaire à celle de la signature manuscrite