Le régime juridique de la signature électronique

Les articles 1366 et 1367 du Code civil prévoient que la signature électronique a la même valeur juridique que la signature manuscrite. Elle est donc recevable comme preuve en justice. 

Le règlement eIDAS, régit la signature électronique dans l’Union Européenne. 

Le règlement est devenu applicable : 

• Le 29 septembre 2015 pour la notification et la reconnaissance volontaire des moyens d'identification électronique par les Etats membres ; 

• Le 1 er juillet 2016 pour les services de confiance et les documents électroniques ; 

• Le 29 septembre 2018 pour la reconnaissance mutuelle obligatoire des moyens d'identification électronique par les Etats membres. 
  

‍

1. Les niveaux de sécurité des signatures électroniques

Le règlement eIDAS définit quatre niveaux de sécurité de signatures électroniques.

Les deux premiers niveaux sont :

• La signature électronique simple (ou basique)

La signature électronique simple ne requiert aucune exigence particulière en termes de sécurité ou d’identification du signataire, ce qui fait d’elle le niveau de sécurité le plus bas.

Elle est d’ailleurs très souvent utilisée car elle permet de signer un document de manière simple et rapide. Elle est recevable en justice, mais il sera cependant impossible de démontrer l’identité du signataire en cas de litige.

• La signature électronique avancée

La signature avancée présente un degré de sécurité supérieur à la signature électronique simple de par la vérification de l’identité du signataire. Elle doit satisfaire aux exigences suivantes : 

• Être liée au signataire de manière univoque ;

• Permettre d’identifier le signataire ;

• Avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ;

• Être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable. 

Lorsque des niveaux supplémentaires de validité de la signature sont nécessaires, certains fournisseurs proposent deux niveaux supplémentaires de signature électronique conformes aux exigences eIDAS. En effet, le règlement définit deux types de signatures basées sur des certificats, pour lesquels une authentification de l'identité avant son émission est obligatoire et qui constituent donc deux niveaux dont la sécurité est plus élevée qu’une signature électronique simple ou une signature électronique avancée.

‍Ces deux niveaux sont :

• La signature électronique avancée avec certificat qualifié

Définie aux articles 26 et 28 du règlement eIDAS, la signature électronique avancée reposant sur un certificat qualifié requiert un niveau plus élevé de sécurité, de vérification de l'identité et d'authentification pour établir un lien avec le signataire. 

Elle a donc les mêmes propriétés qu’une signature électronique avancée définie par l’article 26 du règlement eIDAS mais doit en plus reposer sur un certificat qualifié, délivré par un prestataire de services de confiance qualifié satisfaisant aux exigences qui sont fixées dans l’annexe I de ce même règlement.

• La signature électronique qualifiée

Une signature qualifiée est le type de signature numérique le plus sécurisé. Elle doit répondre à ces deux exigences :

• Le processus d'émission du certificat numérique n'est possible qu’une fois l'identité du signataire vérifiée en personne (en face-à-face).
• La signature est créée à l'aide d'un périphérique très sécurisé appelé QSCD (Qualified Signature Creation Device). C'est dans ce périphérique que se trouve le certificat qualifié de signature. Le QSCD était un dispositif physique basé sur la technologie carte à puce.  De nos jours, il est désormais légal que ce QSCD soit un système cloud géré par un fournisseur de services de confiance.

Ce dispositif fait l’objet d’une décision de certification par une autorité nationale. L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite.

2. La délivrance de certificats qualifiés

Afin d’obtenir un certificat qualifié de signature électronique, le signataire doit s'adresser à un Prestataire de Service de Certification Électronique (Autorité de Certification) ou auprès d'une Autorité d'Enregistrement agréée par ce dernier, pour que son identité puisse être vérifiée.  Ainsi, l’article 2 de l’Arrêté du 22 mars 2019 relatif à la signature électronique des contrats de la commande publique dispose que :  

"Le certificat de signature électronique qualifié entre au moins dans l'une des catégories suivantes : 
1° Un certificat qualifié délivré par un prestataire de service de confiance qualifié répondant aux exigences du règlement susvisé ; 

2° Un certificat délivré par une autorité de certification, française ou étrangère, qui répond aux exigences équivalentes à l'annexe I du règlement susvisé.” 

De plus, en vertu de l’Annexe II du règlement eIDAS, “toute personne physique peut demander un certificat de signature électronique qualifié, délivré par un prestataire de services de confiance qualifié. De même, toute personne morale peut demander un certificat de cachet électronique conforme au règlement eIDAS, délivré par un prestataire de services de confiance qualifié.” 

Lorsque la signature électronique qualifiée est délivrée par une autorité de certification, son procédé est présumé fiable. Le contrôle de ces autorités de certification est effectué par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) en France et par des instances équivalentes dans chaque pays européen. L’ANSSI intervient à double titre dans l’application du règlement : en tant que garante de la sécurité dans le cadre de l’« identification électronique » et en tant qu’organe de contrôle dans le cadre des « services de confiance ». 

3. Les effets juridiques de la signature électronique

L’article 25 du règlement eIDAS vient préciser les effets juridiques de la signature électronique en fonction de sa nature. Il prévoit que : 

• La signature électronique simple ne peut être refusée en justice du seul fait que celle-ci n’est pas qualifiée ; 

• La signature électronique qualifiée a la même valeur légale que la signature manuscrite ; 

• Dans l’hypothèse où cette signature fait l’objet d’une certification délivrée par un état membre, le caractère qualifié de cette signature est obligatoirement reconnu par tous les pays de l’Union Européenne.  
  

Axiocap s’est associé à Signaturit pour permettre la fiabilité de la signature électronique avancée.  

Signaturit utilise un système de traitement de données biométriques, ce qui permet une identification unique du signataire, notamment grâce à des données spécifiques et précises telles que l’accélération et la vitesse du tracé du signataire et la pression exercée sur l’appareil lorsqu’il signe. Le consentement du signataire est obligatoire et indispensable pour le traitement des données biométriques.  

Conformément au règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, Signaturit a mis en place diverses mesures de sécurité pour assurer le traitement adéquat des données personnelles et respecte donc les recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL) sur le traitement des données biométriques. 

Les données biométriques sont particulièrement importantes au cours d’un litige. En effet,  Signaturit pourra déchiffrer les données biométriques du signataire afin qu’elles puissent être présentées au tribunal correspondant en cas de procédures judiciaires.