La signature électronique en droit français

Signature électronique en droit français

La reconnaissance de la signature électronique en France est établie par l’article 1367 du code civil qui stipule :

Article 1367 Modifié par Ordonnance n°2016-131 du 10 février 2016 – art. 4

La signature nécessaire à la perfection d’un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte.
Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat.

Le code civil nous donne donc le minima pour qu’un procédé numérique puisse être reconnu comme signature électronique : l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache.

La fiabilité de ce procédé est donc présumée jusqu’à preuve contraire lorsque les conditions fixées par le Conseil d’Etat sont réunies, les voici :

Article 1 du Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique

La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée.
Est une signature électronique qualifiée une signature électronique avancée, conforme à l’article 26 du règlement susvisé et créée à l’aide d’un dispositif de création de signature électronique qualifié répondant aux exigences de l’article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l’article 28 de ce règlement.

Résumons ce qui est dit dans le droit français :

Une signature électronique est l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. Une signature électronique qualifiée telle que définie par l’eIDAS  est réputée fiable jusqu’à preuve du contraire.

La signature qualifiée a donc un avantage lié à son principal inconvénient : elle inverse la charge de la preuve, c’est à celui qui conteste l’acte de prouver que le consentement, ou l’acte, n’est pas conforme. Mais le revers de cette incontestabilité est bien la lourde procédure pour émettre, remettre et utiliser le certificat qualifié, ce qui disqualifie la signature électronique qualifiée dans de nombreux échanges où la rapidité et la souplesse sont recherchées.

Mais ce qui nous intéresse ici c’est bien la signature numérique non qualifiée qui peut désormais être utilisée en droit français dans tous les cas où la signature électronique qualifiée n’est pas exigée. C’est-à-dire dans la très grande majorité des cas.

Le règlement eIDAS : définition de la signature électronique au niveau européen

Règlement eIDAS

Maintenant que nous avons vu la différence entre les deux types de signature en droit français, la question se pose de leur usage avec des tiers situés dans l’Union Européenne.

Le règlement eIDAS distingue quatre types de signatures électroniques :

La signature électronique simple (définie à l’article 3, point 10 du règlement eIDAS) :

Cette signature comprend des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer.

La signature électronique avancée (définie à l’article 26 du règlement eIDAS) :

Cette signature doit :
– Être liée au signataire de manière univoque;
– Permettre d’identifier le signataire:
– Avoir été créé à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif;
– Être liée aux données qui lui sont associées de telle sorte que toute modification ultérieure des données soit détectable.

La signature électronique avancée reposant sur un certificat qualifié (définie aux articles 26 et 28 du règlement eIDAS) :

Cette signature doit reposer sur un certificat de signature électronique qualifié respectant les exigences contenues dans l’Annexe I du règlement eIDAS. Les processus de vérification de l’identité du demandeur, de délivrance et de gestion du cycle de vie d’un certificat de signature électronique qualifiés répondent à des exigences de sécurité importantes, qui permettent de garantir que ce certificat n’est bien délivré qu’au signataire légitime.

La signature électronique qualifiée (définie à l’article 3, point 12 du règlement eIDAS) :

La signature électronique qualifiée doit reposer sur un certificat de signature électronique qualifié, mis en œuvre grâce à un dispositif de création de signature électronique qualifié (QSCD). Un tel dispositif garantit, avec un haut niveau de confiance, que la signature ne peut être réalisée que par le signataire légitime. Ce dispositif fait l’objet d’une décision de certification par une autorité nationale.

Le règlement eIDAS définit les niveaux de confiance dans les signatures électroniques plus finement que dans le droit français, mais il laisse à l’appréciation de chaque état membre le niveau exigé en fonction des documents à signer, sauf pour les rares cas où la signature électronique qualifiée est exigée.

Le règlement eIDAS servira donc de référence pour qualifier une signature électronique et les plateformes de signature les plus sérieuses comme Docage Signature propose une signature qui correspond aux critères de la signature électronique avancée.

Exemple de signature électronique avancée avec Docage Signature

Exemple de signature électronique avancée
Critère de la signature avancéeSignature Docage
Être liée au signataire de manière univoqueEmission par un prestataire de confiance européen d’un certificat au nom du signataire
Permettre d’identifier le signataireUtilisation d’une identification à double facteur email/sms
Avoir été créé à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusifLe certificat est émis uniquement lorsque le signataire saisi le code SMS qu’il ne peut consulter que sur son téléphone dont il a l’usage exclusif
Être liée aux données qui lui sont associées de telle sorte que toute modification ultérieure des données soit détectableL’inaltérabilité du document, du consentement et du lien qui les unis sont garantis par un certificat émis par un prestataire de confiance européen
Méthode d’identificationSécuritéFacilitéCoût
Invitation à signer par email sans code1/55/51/5
Invitation à signer par email + Code à usage unique reçu par mail2/55/51/5
Invitation à signer par email + Code à usage unique reçu par SMS3/54/52/5
Signature manuscrite sur un écran tactile0/52/51/5
Numérisation d’une pièce d’identité3/53/51/5
Numérisation d’une pièce d’identité + Système de vérification de pièce d’identité4/53/53/5
Empreinte vocale2/53/51/5
Utilisation d’un certificat qualifié5/52/55/5

Comparatif des modes d’identification pour la signature électronique

Identification par SMS signature électronique

Si le règlement eIDAS définit les conditions de la signature électronique avancée, le mode d’identification du signataire est appréciable par chaque prestataire et chaque utilisateur, chacun peut ainsi choisir sa méthode et peut la renforcer à sa guise dans les limites techniques offertes par la plateforme de signature.

Voici les modes d’identification possibles pour une signature électronique en l’état de la technique :

Méthode d’identificationSécuritéFacilitéCoût
Invitation à signer par email sans code1/55/51/5
Invitation à signer par email + Code à usage unique reçu par mail2/55/51/5
Invitation à signer par email + Code à usage unique reçu par SMS3/54/52/5
Signature manuscrite sur un écran tactile0/52/51/5
Numérisation d’une pièce d’identité3/53/51/5
Numérisation d’une pièce d’identité + Système de vérification de pièce d’identité4/53/53/5
Empreinte vocale2/53/51/5
Utilisation d’un certificat qualifié5/52/55/5

Pour mieux vous guider voici les avantages et les inconvénients de chaque méthode d’identification utilisable par la signature électronique :

Invitation à signer par email sans code :

    • Avantages :
      – On peut signer avec un seul dispositif sur lequel on a accès à sa boîte mail.
    • Inconvénients :
      – On peut signer par inadvertance car un simple clic sur un bouton suffit.
      – Système mono identification

Invitation à signer par email + code à usage unique reçu par email :

    • Avantages :
      – On peut signer avec un seul dispositif sur lequel on a accès à sa boîte mail.
    • Inconvénients :
      – On peut signer par inadvertance car un simple clic sur un bouton suffit.
      – Système mono identification

Invitation à signer par email + code à usage unique reçu par SMS :

    • Avantages :
      – On peut signer en déplacement.
      – Système double authentification
    • Inconvénients :
      – Un tiers ayant accès au téléphone du signataire peut signer à sa place
      – Le signataire doit utiliser un téléphone dont la ligne est à son nom ou au nom de son entreprise

Signature manuscrite sur un écran tactile :

    • Avantages :
      – Action similaire à une signature manuscrite
    • Inconvénients :
      – La signature générée est numérique et de mauvaise qualité, elle peut donc facilement être reproduite et contestée par le signataire.

Numérisation d’une pièce d’identité :

    • Avantages :
      – Action simple à réaliser avec un smartphone
    • Inconvénients :
      – Nécessité d’avoir une pièce d’identité au moment de la signature.
      – L’accès à la pièce d’identité du signataire ou à une copie numérisée antérieurement permet de signer à sa place.

Numérisation d’une pièce d’identité + Système de vérification de la pièce d’identité :

    • Avantages :
      – Action simple à réaliser avec un smartphone
    • Inconvénients :
      – Demande plus de temps car le système passe par un tiers vérificateur
      – La correspondance entre la photo sur la pièce d’identité et la photo du signataire n’est pas toujours reconnu notamment lorsque la pièce d’identité date de plusieurs années

Utilisation d’un certificat qualifié :

    • Avantages :
      – Seule vérification d’identité présumée fiable par la loi
    • Inconvénients :
      – Nécessite un dispositif qualifié remis par un prestataire de confiance qualifié
      – Nécessite l’utilisation d’un ordinateur pour utiliser le dispositif
      – Rares sont les signataires qui en dispose, même chez les professionnels

Comme vous pouvez le voir, toute méthode a ses avantages et ses inconvénients, les méthodes sont cependant cumulables pour éliminer certains inconvénients et gagner en fiabilité.
Il faut noter que tous les systèmes cités ont une valeur juridique (plus ou moins forte vous l’aurez compris) dès lors qu’ils sont adossés à des certificats émis par un prestataire de confiance comme et à un dossier de preuve retraçant le parcours de la transaction comme le fait Docage Signature.
Il appartient à l’utilisateur de choisir la méthode la plus appropriée à son cas d’usage.

Pour en savoir plus sur l’état de l’art en matière d’identification à distance, vous pouvez consulter cet article complet publié par la Banque de France.