Tout savoir sur la légalité de la signature électronique
Vous souhaitez passez à la signature électronique mais vous avez des questions sur sa légalité ? Découvrez tout ce que vous devez savoir.
- Quelles sont les conditions pour que la signature électronique ait une valeur juridique ?
- Comment garantir la sécurité de la signature électronique ?
- Comment s'assurer que la signature électronique respecte les normes légales en vigueur ?
- Docusign, la référence légale en matière de signature électronique
Table des matières
- Quelles sont les conditions pour que la signature électronique ait une valeur juridique ?
- Comment garantir la sécurité de la signature électronique ?
- Comment s'assurer que la signature électronique respecte les normes légales en vigueur ?
- Docusign, la référence légale en matière de signature électronique
Dans nombre de secteurs et métiers, la signature électronique a révolutionné les usages et le quotidien des professionnels. Entre gain de temps, d’argent et de productivité, la signature électronique permet de justifier une véritable transformation pour les entreprises. Mais avant de mener cette révolution en interne, il est impératif de bien comprendre la légalité de la signature électronique.
Quelles sont les conditions pour que la signature électronique ait une valeur juridique ?
Les lois françaises et européennes en vigueur
La France reconnaît légalement les signatures électroniques depuis 2000 via la loi n°2000-230, établie après l'adoption de la directive européenne en 1999. Le droit français établit alors la valeur légale de la signature électronique dans les articles 1366 et 1367 du Code civil.
La valeur juridique de la signature électronique est renforcée par la réglementation eIDAS (Electronic IDentification And Trust Services). En effet, le règlement européen eIDAS est une innovation juridique entrée en vigueur le 1er juillet 2016. Son but est de favoriser le développement des usages numériques dans l’Union européenne. Entre autres, ce texte de loi met tout en œuvre pour faciliter le déploiement de la signature électronique en clarifiant et standardisant le cadre légal de cette technologie.
Les normes et certifications pour la signature électronique
Le Code civil et la réglementation eIDAS reprennent le principe de non-discrimination. Autrement dit, il est impossible de refuser une signature au seul motif que cette signature se présente sous une forme électronique. Pour ce faire, il faut qu’elle respecte quelques normes européennes publiées par l’ETSI, les règles publiées par l’ANSSI pour la signature qualifiée et règles d’utilisation légales. Elle doit :
Garantir l’intégrité du document signé en empêchant toute modification après signature numérique
Garantir l’identité des signataires et ainsi éviter tout risque d’usurpation d’identité
En ce sens, le règlement eIDAS définit les trois niveaux de signatures électroniques autorisées. Il existe trois types de signatures électroniques :
La signature électronique simple : la signature simple représente le plus bas niveau de sécurité
La signature électronique avancée : la signature avancée représente le niveau de sécurité intermédiaire. La « signature électronique avancée » est une signature électronique qui répond à des exigences supplémentaires (par exemple, signature avec activation via un code reçu par SMS sur un numéro de téléphone enregistré qui est procéduralement lié à l'identité préalablement vérifiée du signataire, ou signature avec vérification de l'identité du signataire par le téléversement d'une copie de sa carte d'identité ou de son passeport) de sorte qu'un niveau de fiabilité plus élevé puisse être atteint (articles 3.11 et 26 du Règlement eIDAS).
La signature électronique qualifiée : la signature qualifiée représente le plus haut niveau de sécurité et le seul équivalent à la signature manuscrite. eIDAS met l’accent sur l’identification et l’authentification des signataires en ligne grâce à la signature électronique qualifiée.
Comment garantir la sécurité de la signature électronique ?
Identification du signataire
La vérification d’identité se fait via différents procédés, en fonction du niveau de signature du document. Cela peut être une authentification :
fondée sur l'identité (KYC) avec l’envoi d’une copie de la carte d’identité nationale
fondée sur l'identité (KYC) avec l’envoi d’une copie de la carte d’identité nationale et une détection de l’aspect vivant du signataire en utilisant une vidéo du visage du signataire.
L’utilisation d’un PVID (Prestataire de Vérification d’Identité à Distance) certifié par l’ANSSI sert, quant à lui, à activer la signature.
Garantie de l’intégrité du document signé
Afin de bénéficier d’une valeur légale, les documents signés électroniquement doivent être protégés par un mécanisme cryptographique asymétrique. Pour ce faire, la signature électronique avancée et qualifiée utilise pour chaque signataire une donnée de création de signature électronique, donnée secrète gérée par Docusign et activable uniquement par le signataire (par exemple en utilisant un code transmis par SMS), et un Certificat associé au nom du Signataire. Pour la signature simple, le document signé est protégé par un cachet serveur apposé par Docusign.
Un autre algorithme vient renforcer la sécurité des signatures numériques : le hachage ou condensat. Son rôle ? Calculer une représentation unique, aussi appelée empreinte, propre à chaque document. Cela permet de s’assurer que les données n’ont subi aucune modification. Il est donc impossible de forger un autre document qui aura la même empreinte que le document signé.
Enfin, les documents signés peuvent être conservés via un système d’archivage électronique sécurisé. Il s’agit généralement d’un coffre-fort électronique.
Certificat électronique qualifié
Pour ce qui est de la signature électronique qualifiée (QES), elle repose sur un processus de d’identification du Signataire certifié par l’ANSSI et la signature personnelle est créée à l'aide d'un dispositif sécurisé appelé QSCD (Qualified Signature Creation Device). Ce QSCD est géré par un fournisseur de services de confiance (TSP) et activable à distance uniquement par le Signataire.
Comment s'assurer que la signature électronique respecte les normes légales en vigueur ?
En France, c’est l’ANSSI (Agence nationale de la sécurité des systèmes d'information) qui est l’organisme de contrôle, au sens eIDAS article 17, en matière de contrôle et de qualification des services eIDAS. Ce service français - créé par décret en juillet 2009 - identifie et contrôle les prestataires de services de confiance. Cela, afin de s’assurer de leur conformité avec le règlement eIDAS. L’ANSSI est également chargée des qualifications des TSP qui mettent en œuvre un ou des services eIDAS , qui sont suite à leur qualification par l’ANSSI reconnus ensuite au niveau européen.
La CNIL (Commission Nationale de l'Informatique et des Libertés) a, quant à elle, été créée par la loi Informatique et Libertés du 6 janvier 1978. Cette commission française est chargée de veiller à la protection des données personnelles. La CNIL a un rôle d'alerte, de conseil et d'information vers tous les publics. Elle dispose aussi, et surtout, d'un pouvoir de contrôle et de sanction.
Au niveau européen, le règlement eIDAS définit des règles et normes et en France l’ANSSI s’assure du respect des règles et normes pour la qualification des TSP et la certification des moyens et services d’identification.
Docusign, la référence légale en matière de signature électronique
Malgré toutes les lois et les différentes réglementations, toutes les solutions de signature électronique ne se valent pas. Les solutions de signature électronique de Docusign sont conformes aux exigences techniques de la signature électronique au sens du règlement eIDAS. Pionnier de la signature électronique et prestataire de service de confiance conforme, Docusign est aujourd’hui utilisé dans plus de 180 pays.
Conformité eIDAS
L’offre Docusign est conforme aux exigences techniques de la signature électronique avancée et de la signature électronique qualifiée (QES) au sens du règlement eIDAS. Docusign est PSCE qualifié (Prestataire de Services de Confiance Electronique) et est listé au sein de la "Trust List" européenne.
Partenaire de confiance
Chez Docusign, le respect de la vie privée est une de nos priorités. Nous offrons un programme complet de protection de la vie privée et des données et nous mettons un point d’honneur à vous offrir une solution conforme aux lois internationales en la matière. Ce pourquoi, Docusign figure au sein de la liste de confiance de l'UE.
Preuve et identification
Avec Docusign il est simple de prouver qui a signé quoi, où et quand. Notre solution offre le plus grand choix de méthodes d'identification avancée et nos services de signature ont une validité légale éprouvée. Autrement dit, notre système de preuve électronique est recevable devant les tribunaux, protégé contre la falsification par un cachet électronique et qui intègre un système de traçabilité numérique complet des opérations associées à la transaction de signature.
Accompagnement et expertise
Notre solution Docusign eSignature est en mesure de fournir aux clients toutes les preuves dont ils ont besoin. Nous nous tenons à leur disposition pour témoigner au tribunal afin de soutenir la validité des documents signés à l'aide de Docusign.
Pour en savoir plus sur la légalité de la signature électronique de Docusign, contactez un de nos experts et bénéficiez d’une démonstration gratuite. Rien de mieux pour vous éclairer et vous guider dans votre choix d’une solution de signature électronique !
Articles connexes