La notion de signature électronique fait désormais partie du vocabulaire courant en entreprise. Pourtant, dans la pratique, son utilisation se heurte bien souvent à des blocages. Que stipule précisément la législation européenne au sujet de la signature numérique ?
Quelle est la réglementation actuellement en vigueur ?
Dans l’ensemble du territoire européen, les critères à respecter pour la conformité de la signature électronique sont définis par le règlement eIDAS (electronic IDentification, Authentification and trust Services). Il s’agit du texte de référence en la matière depuis juillet 2016.
L’eIDAS indique ainsi que « l’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite ».
Par conséquent, elle doit être acceptée comme preuve par un tribunal sous réserve de conformité. En effet, l’un des articles précise qu’un « certificat qualifié délivré dans un État membre » est nécessaire pour que la signature soit effectivement « qualifiée dans tous les autres États membres.«
Différentes catégories de signatures électroniques
La réglementation eIDAS distingue également trois niveaux de sécurité pour la signature électronique, correspondant à des degrés différents de fiabilité et de complexité. Ainsi, chacun disposera d’une application adaptée à ses caractéristiques.
La signature électronique simple
Comme son nom le laisse à penser, il s’agit du premier niveau de sécurité. Elle n’aura donc qu’une valeur réduite sur le plan de la sécurisation d’un document électronique en comparaison avec les deux autres niveaux.
En effet, une simple numérisation de votre signature manuscrite ou même une case à cocher suffisent ici.
Cela signifie donc qu’aucun dispositif n’est en mesure de garantir la totale approbation du signataire ou encore la non-modification du document après la signature.
La signature électronique avancée
Avec le deuxième niveau de signature numérique, les techniques de contrôle et de vérification sont davantage élaborées.
Elles permettent ainsi d’identifier clairement le signataire (tout en protégeant ses données personnelles) et garantissent la détection de toute modification réalisée après la phase de signature.
Ce système se base sur une PKI (Public Key Infrastructure) dont l’obtention passe nécessairement par une autorité de certification reconnue.
La signature électronique qualifiée
Pour les données véritablement sensibles (actions réglementées, forts enjeux financiers par exemple) il existe encore un niveau de sécurité supérieur, avec notamment la vérification visuelle de l’identité du signataire.
Celui-ci permet en plus de crypter le contenu des documents. Il repose sur un autre type de certificats qualifiés, uniquement accessible auprès des autorités de certification répondant aux exigences de la norme ISO 15408.
Par exemple, en France, seule l’ANSII (Agence nationale de la sécurité des systèmes d’information) est habilitée à vous orienter vers ces organismes.
