Depuis les confinements dus à la crise du COVID 19, la signature électronique connaît un succès qui ne se dément pas. Avec elle, les entreprises cherchent à maîtriser leurs coûts et à gagner du temps pour se concentrer sur leur cœur de métier. Vérifier une signature électronique revient à s’assurer de sa validité juridique et de sa conformité avec la réglementation en vigueur. Cette vérification peut être faite dans le processus de signature lui-même (le récipiendaire de la signature en vérifie la validité) ou après que la signature a été validée. Cela peut notamment se produire en cas de contestation de l’acte signé, voire une procédure devant les tribunaux. Quelle est la réglementation applicable à la signature électronique ? Comment la contrôler ?
Vérifier une signature électronique : la réglementation applicable
Réglementation générale
Pour répondre aux doutes émis quant à la valeur d’un document numérique signé électroniquement, sachez que la signature électronique permet de signer électroniquement la plupart des documents d’une entreprise : baux, contrat de travail (convention de stage, CDD, CDI, etc.), contrats de vente, bons de commande…
Toutefois, contrairement à la signature apposée sur une tablette à réception d’un colis, la signature électronique est dotée d’une valeur juridique.
Un cadre européen a été donné à la signature électronique et a été transposé dans la loi n° 2000-230 du 13 mars 2000. La loi subordonne l’acceptation d’un document signé par voie électronique aux conditions suivantes :
- Le signataire peut être identifié de façon claire ;
- Le document signé est resté intact et n’a fait l’objet d’aucune modification après sa signature.
Ces conditions sont confirmées par les articles 1366 et 1367 du Code civil.
Au niveau européen, la réglementation dite eIDAS donne un cadre juridique à la signature électronique. C’est ce cadre qui arrête trois catégories de signature électronique : la signature simple, avancée et qualifiée.
La signature électronique simple
Il s’agit de la catégorie de signature la plus utilisée. Ce premier niveau de signature apparaît le plus adapté pour bon nombre de documents et permet un usage rapide et fluide. Toutefois, le niveau de sécurité associé à la signature électronique simple est relativement faible dans la mesure notamment où il n’y a pas de contrôle poussé de l’identité du signataire. Il est par conséquent recommandé d’utiliser cette procédure pour les actes à faibles enjeux ou qui ne présentent pas de risque fort de contentieux (documents RH, attestations de réception de documents, certains contrats commerciaux, etc.).
Dans le cas d’une éventuelle procédure contentieuse, il faudra apporter la démonstration que le processus d’identification du signataire présente des garanties de fiabilité.
Le niveau de sécurité lié à la signature simple peut toutefois obtenir une plus forte valeur légale par l’ajout d’une étape d’authentification du signataire. Cette dernière peut par exemple prendre la forme d’un code d’authentification adressé par SMS.
La signature électronique avancée
Dans cette procédure, la vérification de l’identité du signataire est plus poussée, ce qui confère un niveau de sécurité plus élevé. Selon le règlement eIDAS, la signature électronique avancée implique :
- Une liaison univoque avec le signataire ;
- Une identification claire de la signature ;
- Une création par des moyens contrôlés exclusivement par lui (son téléphone ou son ordinateur notamment) ;
- La garantie de l’intégrité du document signé.
Concrètement, la garantie du respect de ces exigences peut prendre la forme d’un certificat qualifié issu d’un contrôle de la pièce d’identité par un face-à-face physique. On peut également parler de certification rgs.
La signature électronique qualifiée
Cette signature offre un niveau de sécurité maximum, mais emporte des contraintes poussées, en matière d’identification du signataire. Le décret n° 2017-1416 du 28 septembre 2017 prévoit que seule la signature électronique qualifiée est l’équivalent d’une signature manuscrite. En effet, l’identité du signataire doit notamment être validée avant la signature.
Vérifier une signature électronique : les aspects techniques
Le contrôle des prestataires de signature électronique
L’ANSSI (agence nationale de la sécurité des systèmes informatiques) est l’organisme français qui identifie et contrôle les prestataires de service et s’assure du respect de la réglementation eIDAS.
Vérification de la certification
Lors de la numérisation d’un document papier ou lors de la création d’un document numérique, une feuille de présence électronique par exemple, il est nécessaire d’en vérifier la fiabilité et d’avoir un contrôle des signatures électroniques. Par exemple, dans Acrobat ou Reader, la signature d’un document n’est admise que si la relation avec le signataire fait l’objet d’une approbation. L’opération de numération doit en particulier respecter la norme NF Z 42-013.
Par ailleurs, un certificat numérique RGS ou eIDAS permet une identification sécurisée au moment de la signature. À titre d’exemple, le certificat apporte une valeur numérique à la signature d’une feuille de présence. Il convient que le certificat ne soit pas échu à la date de la signature. Le certificat permet :
- D’identifier l’identité de l’émetteur et du destinataire ;
- De vérifier l’intégrité du document.
De plus, un certificat RGS permet la vérification du chiffrement du destinataire. Il confère à la signature une valeur légale.
La vérification d’une solution de signature électronique comprend donc plusieurs étapes :
- Contrôle de l’authenticité du signataire et de l’émetteur à partir de leur identité ;
- Le contrôle de l’intégrité du document qui ne doit plus être modifié à compter de sa signature électronique ;
- La répudiation du document ne peut avoir lieu : une fois signé, le document ne peut être rejeté par les signataires ;
- La notarisation du document. Il s’agit en particulier de son horodatage.
Les vérifications peuvent être réalisées de façon automatisée (la vérification de l’identité mise à part). Le système de validation de la signature électronique donne le résultat des vérifications et met en évidence, le cas échéant, les problèmes relatifs à la sécurité.
D’autres certifications de signature
La solution RGS est payante, mais il existe également des offres gratuites comme le certificat fiscal pro (CFP) des services fiscaux. Dans ce cas de figure, la DGFiP agit en tant qu’autorité de certification.
Par ailleurs, les certificats électroniques sont distingués en trois classes :
- Le certificat Classe 1 qui garantit l’existence de l’adresse e-mail, mais pas l’identité de l’émetteur ;
- Le certificat Classe 2 qui garantit les informations de l’entreprise grâce à des pièces justificatives adressées par voie postale ;
- Le certificat de Classe 3 qui garantit en plus l’identité du gérant de l’entreprise.
Ainsi, il existe plusieurs niveaux de sécurité s’agissant de la signature électronique. Il revient aux entreprises, éventuellement conseillées par leur expert-comptable, d’arbitrer entre le risque de contentieux et la robustesse du dispositif de signature. En plus du gain de temps, de la simplicité de mise en place et du gain financier, l’un des grands avantages de la signature électronique est sans conteste la sécurité.