Quels sont les différents types de signatures électroniques – et que dit eIDAS ?

Une signature électronique est une façon de signer un document numérique, le plus souvent un fichier PDF. Si la solution est bien conçue, vous pouvez accéder aisément à des informations fiables concernant l’identité de la personne signataire du document, et sur la façon dont celui-ci a été signé. La réglementation européenne eIDAS définit les règles des signatures électroniques et de leurs différents niveaux de confiance.

Une signature électronique ne doit pas être confondue avec une signature numérique. La signature numérique est un mécanisme cryptographique fréquemment utilisé pour implémenter les signatures électroniques, tandis que ces dernières peuvent être simplement une signature manuscrite numérisée et insérée dans un document électronique.

Une signature numérique scelle un document électronique à l’aide d’un certificat signé numériquement, lequel contient des informations relatives, entre autre, à la personne signataire et à la date de la signature. Ces informations constituent des éléments de preuve très probants pour la vérification de la signature. Le certificat numérique peut être signé directement sur l’appareil de l’utilisateur, à l’aide d’une carte à puce, d’une appli eID mobile, ou encore d’un programme logiciel. Cette signature peut également être effectuée de façon centralisée, par l’intermédiaire d’un service de confiance.

Comment fonctionnent les signatures électronique à distance ?

Une signature numérique effectuée par un service et/ou prestataire de confiance est appelée signature « à distance ». Le service de confiance gère les clés de signature de façon très sécurisée ; ainsi, il suffit aux utilisateurs de s’authentifier auprès du service, comme ils le feraient avec n’importe quel autre service en ligne.

Un des principaux avantages de la signature à distance réside dans le fait qu’elle offre une grande flexibilité quant à la méthode d’authentification utilisée. Dans la mesure où la signature est effectuée de façon centralisée, l’authentification peut se faire via un identifiant électronique (eID) valide sur le plan national (tel que BankID en Suède ou NemID au Danemark), un système de login existant au sein d’une entreprise, ou toute autre méthode d’authentification. Cela implique que n’importe quel appareil – PC, tablette ou téléphone mobile – peut être utilisé, ce qui n’est généralement pas le cas avec les signatures numériques classiques.

Comment sont vérifiés les documents signés numériquement ?

Le format le plus courant des documents signés numériquement est le fichier PDF. Des applications telles qu’Adobe Acrobat Reader permettent de vérifier les signatures numériques, et l’utilisateur peut ainsi connaître l’identité de la personne signataire, la date/heure de la signature, quelle méthode d’authentification a été utilisée, et accéder à toute autre information sécurisée contenue dans le certificat de signature. Ces informations peuvent exploitées en cas de litige concernant cette signature.

Certains prestataires de service de signature numérique offrent également des services de vérification permettant le contrôle en ligne de documents.

En cas de litige, les informations issues d’un document signé numériquement peuvent être utilisées conjointement à d’autres éléments de preuve, tels que des dépositions sous serment. Une signature manuscrite ne peut procurer de telles informations, et pourrait même présenter une valeur juridique moindre qu’une signature numérique de niveau « qualifié », selon la terminologie d’eIDAS détaillée ci-dessous.

Ce que dit eIDAS

La réglementation européenne relative à l’identification électronique et aux services de confiance pour les transactions électroniques au sein du marché intérieur (dit « règlement eIDAS ») est entrée en vigueur en septembre 2014. Ce règlement est constitué de deux parties, traitant respectivement :

* de l’identification électronique

* des services de confiance, principalement pour les signatures électroniques.

Le règlement eIDAS indique comment ces points doivent être traités au sein de l’Union Européenne.

La partie traitant de l’identification électronique règlemente l’authentification d’un État membre à l’autre, par exemple lorsqu’un citoyen espagnol souhaite se connecter à un e-service suédois. eIDAS définit également différents niveaux de confiance en termes d’identification, selon le niveau de sécurité requis par l’e-service. Le niveau de confiance est essentiellement déterminé par la façon dont est pris en charge le processus d’authentification, et dont l’identité est générée. Les trois niveaux de classification pour l’identification électronique sont : « faible », « substantiel » et « élevé ». La norme ISO/IEC 29115:2013 et ses quatre niveaux d’assurance (LoAs) peuvent également être utilisés.

La partie traitant des services de confiance, notamment associés aux signatures électroniques, définit ainsi les niveaux de confiance de ces signatures (du niveau le plus faible au niveau le plus haut) : « standard », « avancé » et « qualifié ». Le règlement spécifie également la façon dont les différents niveaux de confiance doivent être traités juridiquement au sein de l’UE.

Le niveau de confiance « standard » présente des exigences ainsi qu’une valeur juridique faibles; il concerne, entre autre, les signatures manuscrites numérisées et incorporées dans un document électronique.

Le niveau de confiance « avancé » requiert :

• un identifiant unique, associé à la personne signataire ;

• que la clé de signature soit accessible uniquement à cette personne ;

• qu’il soit possible de prouver que le document n’a pas été modifié après sa signature.

Dans la plupart des cas, une signature de niveau « avancé » est suffisante, dans la mesure où ce niveau garantit l’identité de la personne signataire, la date de la signature, et le fait que le document n’a pas été altéré.

Selon le règlement eIDAS, le niveau de confiance « qualifié » a la même valeur juridique qu’une signature manuscrite, même s’il n’est pas encore prévu de cas de figure requérant l’utilisation d’une signature « qualifiée ». De tels cas de figure pourraient cependant se présenter à l’avenir, dans le cadre de services ou de collaborations entre les États membres.

Published 19/7 2017

News and Blog