Signature électronique : clé de voûte de la confiance numérique
Le déploiement de la signature électronique est au cœur de l’écosystème de l’identité numérique. Les avantages sont nombreux, notamment, le gain de temps, la traçabilité du processus de signature, sa valeur légale ou l’intégration à la chaîne de traitement. Plus de la moitié des ETI et grandes entreprises l’ont adoptée.
Dans le monde numérique, la signature manuscrite est en passe de tomber dans les oubliettes dans les années à venir. La version qualifiée de la signature électronique (QES) est son strict équivalent et dispose d’une valeur légale probante. Une enquête de YouGov en 2021 indiquait un chiffre d’adoption des outils de signature numérique de 41 % pour les PME, de 53 % pour les ETI, et seulement de 25 % pour les TPE. Des résultats en augmentation depuis.
La signature électronique évite la rupture de la chaîne numérique, lors des processus de travail, par exemple RH ou financiers. « Si l’entreprise a besoin de prouver que la signature a été réalisée en bonne et due forme par les différentes parties prenantes, la signature électronique possède une valeur probante légale », explique François Thévenot, Sales & Channel Manager EMEA chez Foxit, qui détaille « le processus permettant d’envoyer, de signer, de suivre et de gérer les processus de signature à l’aide d’un navigateur, via le web ou un mobile ». La signature électronique a évolué pour passer de la validation des contrats par clé USB à celle via une application web, un poste de travail ou un smartphone. À la clé, un gain de temps appréciable car il n’est plus nécessaire de se déplacer pour signer un document.
De nombreux bénéfices pour beaucoup de secteurs d’activité
Un des avantages appréciables de la signature électronique (e-signature) porte sur les économies de coûts d’archivage, de frais postaux et d’impression, évitant ainsi les dépenses d’encre, d’enveloppes, de classeurs, etc. La parfaite traçabilité du processus de signature peut être opposée en cas de procédure juridique car elle intègre notamment une fonction d’horodatage.
Autre intérêt majeur, la vérification d’identité à distance pour ouvrir, par exemple, un compte financier en ligne, valider l’identité pour les transactions dans le secteur immobilier ou notarial, ou permettre l’authentification pour les marchés publics. « Nous sommes aujourd’hui un opérateur PVID (Prestataire de Vérification d’Identité à Distance), une certification délivrée par l’Anssi (Agence nationale des systèmes d’information). Docaposte est aujourd’hui l’acteur souverain en France qui couvre tous les périmètres de l’identité numérique », explique Laurent Fournié, directeur de la BU Digital Trust Solutions de Docaposte.
Les professions règlementées, à savoir les avocats, les comptables, les trésoriers ou encore les directeurs financiers ont vocation aujourd’hui à utiliser la signature électronique qualifiée (voir encadré). « Par exemple, un trésorier qui valide les virements de la paie des salariés peut remplacer une e-signature placée sur une clé USB par une signature via son poste de travail full à distance ou le faire sur son smartphone, avec le même niveau de sécurité. Les banques et compagnies d’assurance ont été les précurseurs dans l’utilisation de la e-signature depuis 15 ans et en sont équipés à plus de 80 % ainsi que le secteur public. Les TPE, les moins équipées pendant longtemps, rattrapent rapidement leur retard », ajoute Laurent Fournié.
Au terme de la chaîne de traitement, certaines solutions de signature électronique proposent un archivage légal et sécurisé, conforme aux normes en vigueur. Cela facilite la traçabilité et la rétention à long terme des historiques de transactions.
Avant de choisir une solution, il est important de s’assurer du niveau de certification proposé en fonction des besoins. Peu de prestataires proposent les 3 niveaux de signature. La signature électronique avancée, indispensable pour certains métiers de l’entreprise, repose sur des moyens d’identification qui nécessitent la création d’un certificat numérique. Ce dernier est émis au nom du signataire dont le justificatif d’identité est contrôlé par un PSCo (Prestataire de services de confiance), tels Docaposte, Universign, Docusign ou encore Certeurope.
Les 3 niveaux de qualification pour la signature électroniqueLa règlementation européenne eIDAS (electronic Identification and Trust Services) définit la portée juridique et technique de la e-signature en trois catégories. D’abord, la signature électronique de niveau Simple, le degré de sécurité et d’identification du signataire le plus bas. Ce type de signature est utilisé pour les transactions les moins critiques tels les accords de niveau de Service (SLA), les inscriptions et les services en ligne, la confirmation de commandes. Ensuite, la signature électronique de niveau Avancé, un degré intermédiaire qui permet, par exemple, de signer des contrats importants et crédit à la consommation. Enfin, la signature électronique de niveau Qualifié (QES) implique l’intervention d’un tiers de confiance pour transactions critiques et actes juridiques importants tels les contrats d’assurances-vie, les accords financiers importants, les actes d’avocats, les actes officiels. Serge Escalé |
TémoignageQuestion à Frédéric Fouyet, directeur Sécurité et Conformité de CertEurope. GPO Magazine : Qu’est-ce que le certificat de signature électronique ? Frédéric Fouyet : En France, les Autorités de Certification s’appuient également sur le référentiel général de sécurité (RGS) afin d’assigner à chaque signature un niveau de qualité de certification. Toutes les signatures n’ont pas la même valeur. Certains types de documents requièrent l’emploi d’une signature électronique qualifiée, le niveau de sécurité et de fiabilité maximal prévu par eIDAS. C’est par exemple le cas pour les actes d’avocats, les ordres de virement émis par les entreprises, les factures ou les réponses aux appels d’offres publics. Le certificat de signature électronique qualifié permet alors de faire le lien de manière certaine entre le signataire et sa signature. Il s’assimile à une véritable carte d’identité digitale. Ce certificat de signature électronique est délivré par un prestataire privé de certification électronique qualifié, notamment une Autorité de Certification comme CertEurope – An InfoCert Company. Le prestataire procède à des vérifications sur l’identité du demandeur en fonction du niveau de sécurité souhaité. Cette vérification peut se faire par l’envoi d’un simple email pour les procédures souples, et aller jusqu’à la rencontre physique entre le demandeur et le représentant du prestataire dans le cadre du processus de certification le plus rigoureux. Anne Del Pozo |