Le règlement eIDAS, entré en vigueur en 2016, s’applique notamment sur la signature électronique. En effet, son usage se développe très fortement, autant en B2B qu’en B2C, et dans tous les secteurs d’activités (banque, assurance, immobilier, etc.). Même si son utilisation s’était simplifiée grâce à l’émergence de solutions technologiques faciles à mettre en œuvre au sein des organisations, et à une législation Européenne commune, la gestion de potentiels contentieux et la protection contre les cyber attaques demeuraient des enjeux de taille.

Le contentieux, une possibilité à ne pas négliger
La protection des documents électroniques implique une grande rigueur. En effet, un contrôle de l’Administration, un désaccord ou même un litige devant les tribunaux est toujours possible, impliquant une étude minutieuse de tous les documents susceptibles d’apporter des preuves (contrats, bons de commande, PV de recette/réception de chantier, etc...). Il convient donc de s’assurer qu’ils ne puissent pas être altérés (volontairement ou non) pendant toute la durée des obligations de conservation. Sans compter que l’organisation doit pouvoir en disposer à tout moment et les utiliser jusqu’à leur date de prescription. Et pour des documents (notamment contractuels) ayant fait l’objet d’une signature électronique, un dossier de preuve et de traçabilité doit être fourni en cas de litige. Celui-ci doit être complet et indiquer de nombreuses informations telles que les processus mis en place, le lien entre le document et la personne dont il émane, le consentement donné par le signataire, les contrôles d’intégrité effectués (modalités, periodicité etc.), l’algorithme utilisé pour cette gestion de l’intégrité, la validité de la signature électronique (et du certificat associé) au moment de son apposition sur le document et la non-compromission de l’algorithme de signature utilisé.

Toutes ces indications permettront à l’expert nommé par le tribunal de réaliser des contrôles techniques (vérification de l’empreinte du document, comparaison avec l’empreinte dans la signature, verification du rapport de validation de la signature etc.) et de fournir au juge les éléments lui permettant de décider s’il peut (ou non) admettre ces documents électroniques comme preuves. La validité du certificat d’utilisation de la signature électronique est également à prendre en compte. S’il est aisé de le vérifier pendant sa durée de vie (généralement 2 à 3 ans), il n’est cependant plus possible de le faire après. Ce qui peut s’avérer préjudiciable en cas de contentieux. Grâce au règlement, des Prestataires de Services de Confiance Qualifiés eIDAS (PSCQ), dont la liste est disponible sur le site de la Commission Européenne (catégorie CEF Digital et eSignature), s’assureront de respecter toutes les obligations en vigueur afin de protéger l’organisation qui fait signer électroniquement le document. Ils le scelleront avec un rapport de validation, constituant une preuve solide et recevable juridiquement en cas de litige.

Autre avantage rassurant : faire appel à un PSCQ eIDAS permet de garantir la validation de tous les types de signature (« qualifiées », « avancées » ou « simples »). Ce dernier dispose en effet des qualifications reconnues pour fournir à un juge toutes les preuves nécessaires. Une bonne façon de se préserver en cas de contestation de la part d’un client.

Se préserver des cyber attaques
La signature électronique est associée à l’utilisation d’algorithmes cryptographiques, rendant la conservation à long terme sensible. En effet, ces algorithmes sont susceptibles d’évoluer en fonction des risques de piratage ou d’obsolescence technologique. Pour se protéger d’éventuelles cyberattaques, un service de confiance dédié à la préservation des signatures électroniques a été créé dans la lignée d’eIDAS. En cas d’alerte par les autorités en charge de la Sécurité des Systèmes d’Information (en France, l’ANSSI) liée à une éventuelle compromission de l’algorithme utilisé, une sur-signature avec un nouvel algorithme plus récent et plus robuste sera apposée au document. Ainsi, il sera impossible de modifier l’algorithme et potentiellement toute « appropriation » de la signature par une personne/organisation « malfaisante ».

Ces deux services, la validation et la préservation, sont utilisables dans toute l’Union Européenne et qu’ils n’ont d’autre vocation que de renforcer la confiance des organisations dans la signature électronique, et faciliter les échanges en toute sérennité.

Par Philippe DELAHAYE, Directeur Marketing & Commercial de CDC Arkhinéo