En bref : Aux termes du règlement européen n°910/2014 « eIDAS », il existe quatre niveaux distincts de signature électroniques :
La signature électronique simple,
La signature électronique avancée,
La signature électronique avancée reposant sur un certificat qualifié,
La signature électronique qualifiée.
Le règlement eIDAS formalise les exigences relatives aux différents niveaux de signature, à la délivrance de certificats de signatureet de cachet électroniques, ainsi qu’à la sécurité des dispositifs permettant de créer ces signatures et cachets électroniques. Ces exigences et le score de valeur probante / fiabilité sont résumés dans le tableau ci-dessous :
Dans le détail :
Le règlement européen n°910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, dit règlement « eIDAS », a pour objectif de mettre en place un cadre juridique propre à susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur.
Le règlement eIDAS formalise les exigences relatives aux différents niveaux de signature, à la délivrance de certificats de signatureet de cachet électroniques, ainsi qu’à la sécurité des dispositifs permettant de créer ces signatures et cachets électroniques.
1. Signature électronique simple
La signature électronique « simple » correspond à la solution la simple à mettre en oeuvre mais ayant un niveau de sécurité leplus faible.
Il peut s’agir par exemple d’une signature réalisée à l'aide d'un stylet sur un écran (tablette, téléphone, ordinateur) ou d'unesignature réalisée à l'aide d'un code reçu par sms au numéro de téléphone que le signataire aura lui même renseigné.
Exigences légales :
Encadrée par les article 3(10) et 25 du règlement eIDAS, elle présente un niveau de sécurité faible car :
la conformité des dispositifs de signature électronique simple n'ont pas à faire l’objet d’audit par un tiers compétent et indépendant ;
l’identité du signataire peut difficilement être garantie et
la solution technique de signature électronique ne permet pas de garantir la non-répudiation du document.
Valeur probante :
Le juge ne peut la refuser au seul motif qu'il s'agit d'une signature électronique et non d'une signature manuscrite. En revanche, elle nécessite d'apporter la preuve de sa fiabilité via un dossier de preuve (quant à l'intégrité des données, à l'identité du signataire et à l'horodatage).
Utilisation :
La signature électronique simple ne devrait donc être utilisée avec précaution, par exemple, lorsqu’il n’existe pas derisque potentiel de litige, ni d’obligation légale imposant un niveau particulier de signature électronique.
En raison des enjeux juridiques et économiques et contraintes règlementaires reposant sur la documentation juridiquedestinée à être signée sur VIKTA, nous n'avons souhaité proposer à nos utilisateurs que des niveaux de signaturesupérieurs à la signature simple.
Score global de fiabilité et sécurité :
2. Signature électronique avancée
La signature électronique avancée correspond au deuxième niveau prévu par le règlement eIDAS.
Il peut s'agir par exemple d'une signature réalisée par confirmation d'un code reçu par SMS sur un numéro de téléphone lié defaçon procédurale à l'identité du signataire.
Exigences légales :
Encadrée par les article 3(11) et 25 à 27 du règlement eIDAS, elle présente un niveau de sécurité amélioré par rapport àla signature simple :
Comme pour la signature électronique simple, la conformité des dispositifs concourant à la signature électronique avancée ne fait pas l’objet d’audit par un tiers compétent et indépendant ni d’une décision par l’organe de contrôle.
Toutefois, les signatures avancées répondent à des exigences spécifiques formalisées dans la réglementation et doivent, en principe, permettre d’identifier le signataire. Aux termes de l'article 26 du règlement eIDAS, la signature avancée doit :
a) être liée au signataire de manière univoque;
b) permettre d’identifier le signataire;
c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et
d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
Ainsi, le prestataire de solution de signature avancée peut faire auditer ses services au regard des normes et standards existant pour s'assurer de la fiabilité des services mis en place.
C'est le cas de VIKTA : La solution VIKTA SIGN intègre une technologie de signature électronique avancée fournie par NOWINASOLUTIONS LU. ayant fait l'objet d'un audit de conformité aux normes eIDAS et ETSI.
Valeur probante :
Comme pour la signature électronique simple : Le juge ne peut la refuser au seul motif qu'il s'agit d'une signature électronique et non d'une signature manuscrite. Cependant, elle nécessite d'apporter la preuve de sa fiabilité via un dossier de preuve (quant à l'intégrité des données, à l'identité du signataire et à l'horodatage).
Lors d'un litige, le dossier de preuve portant sur une signature électronique avancée doit comporter des élémentsspécifiques quant à l'identification du signataire.
La solution proposée par Vikta intègre un rapport sur la signature de chaque document portant tant sur l'identification dessignataires que sur l'horodatage qualifié permettant de certifier la date et heure de signature de chaque document.
Utilisation :
La règlementation portant sur la signature électronique des décisions des organes sociaux (assemblée d'associés,conseil d'administration, conseil de surveillance) exige l'utilisation, a minima, d'un procédé de signature électroniqueavancée.
Score global de fiabilité et sécurité :
3. Signature électronique avancée reposant sur un certificat qualifié
La signature électronique avancée reposant sur un certificat qualifié de signature électronique correspond au troisième niveaude signature, plus sécurisé et fiable que la signature avancée sans certificat qualifié et moins sécurisé et fiable que la signaturequalifiée.
Un certificat qualifié de signature électronique est une attestation de l’identité du signataire délivrée par un processusrépondant à des exigences spécifiques garantissant l’identité de son signataire.
La vérification de l’identité peut se faire :
lors d’un face-à-face physique avec un agent qualifié,
via l’utilisation d’un service de vérification d’identité à distance certifié ou encore
via la présentation d’une identité électronique préalablement établie suite à un face-à-face physique.
Exigences légales :
Encadrée par les article 3(11) et 25 à 27 du règlement eIDAS, elle présente un niveau de sécurité encore supérieur àcelui de la signature de la signature avancée :
Le certificat de signature électronique qualifié utilisé pour la signature doit être délivré par un prestataire de service de confiance, à savoir un prestataire ayant fait l’objet d’un audit par un tiers compétent et indépendant ainsi que d’une décision par l’organe de contrôle.
La signature avancée doit par ailleurs répondre aux exigences de l'article 26 du règlement eIDAS, à savoir :
a) être liée au signataire de manière univoque;
b) permettre d’identifier le signataire;
c) avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec unniveau de confiance élevé, utiliser sous son contrôle exclusif; et
d) être liée aux données associées à cette signature de telle sorte que toute modification ultérieure desdonnées soit détectable.
Ainsi, le prestataire de solution de signature avancée peut faire auditer ses services au regard des normes etstandards existant pour s'assurer de la fiabilité des services mis en place.
C'est le cas de VIKTA : La solution VIKTA SIGN intègre une technologie de signature électronique avancée fournie par NOWINASOLUTIONS LU. ayant fait l'objet d'un audit de conformité aux normes eIDAS et ETSI.
Valeur probante :
Comme pour la signature électronique avancée : Le juge ne peut la refuser au seul motif qu'il s'agit d'une signature électronique et non d'une signature manuscrite. En revanche, elle nécessite d'apporter la preuve de sa fiabilité via un dossier de preuve (quant à l'intégrité des données, à l'identité du signataire et à l'horodatage).
Grâce au certificat qualifié utilisé, l'identification du signataire et la fiabilité de la signature est simplifiée dans le cas d’un litige.
La solution proposée par Vikta intègre un rapport sur la signature de chaque document précisant les données ducertificat qualifié utilisé et les données de l'horodatage qualifié permettant de certifier la date et heure de signaturede chaque document.
Utilisation :
La règlementation portant sur la signature électronique des décisions des organes sociaux (assemblée d'associés,conseil d'administration, conseil de surveillance) exige l'utilisation, a minima, d'un procédé de signature électronique avancée.
L'utilisation d'un certificat qualifié pour la signature renforce le niveau de sécurité et la preuve de la fiabilité duprocédé de signature.
Score global de fiabilité et sécurité :
4. Signature électronique qualifiée
La signature électronique qualifiée est le plus haut niveau de signature électronique prévu par le règlement eIDAS.
Le dispositif de création de signature électronique qualifié est un dispositif combinant un logiciel et un élément matérielpermettant de créer une signature électronique tout en garantissant l’intégrité et la confidentialité des données de création,ainsi que la sécurité de la signature.
En pratique, il s’agit souvent d’une carte à puce certifiée, clé d’authentification certifiée, ou d’équipements cryptographiquescertifiés installés dans l’environnement d'un prestataire de confiance qualifié, et dont l’accès est sécurisé pour garantir laqualité de l’authentification du signataire.
Exigences légales :
La signature électronique qualifiée est encadrée par les article 3(12) et 24 à 30 du règlement eIDAS.
Selon l'article 3(12) du règlement eIDAS, pour être qualifiée, la signature électronique doit notamment :
répondre aux exigences de l'article 26 prévoyant les critères de la signature électronique avancée,
reposer sur un certificat qualifié de signature électronique et
être créée à l’aide d’un dispositif de création de signature électronique qualifié.
VIKTA propose deux solutions de signatures qualifiés répondant à ces exigences légales :
pour les utilisateurs disposant d'une certificat qualifié de signature sur support physique (carte à puce, clé), VIKTA aintégré une solution de signature fournie par NOWINA SOLUTIONS LU. ayant fait l'objet d'un audit de conformité auxnormes eIDAS et ETSI.
pour les utilisateurs ne disposant pas d'un certificat qualifié sur support physique, VIKTA a intégré la solution fournie par EVROTRUST, prestataire de confiance qualifié pour la signature électronique qualifiée et l'horodatage qualifié, permettant l'émission d'un certificat qualifié à distance ainsi que la signature qualifiée via son application qualifiée.
Valeur probante :
L’effet juridique d’une signature électronique qualifiée est équivalent à celui d’une signature manuscrite (article 25(2) durèglement eIDAS).
L'article 1367 du code civil précise que la signature électronique qualifiée bénéficie d'une présomption fiabilité jusqu'àpreuve du contraire.
Ainsi contrairement aux signatures électroniques simples et avancées, la charge de la preuve de la fiabilité de lasignature ne pèse pas sur celui qui se prévôt de sa fiabilité, mais pèse sur celui qui la conteste.
De plus, une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre estreconnue en tant que signature électronique qualifiée dans tous les autres États membres. (article 25(3) du règlementeIDAS).
Utilisation :
L'utilisation de la signature qualifiée, constituant le plus haut niveau de sécurité et de fiabilité, ne peut être que recommandée pour la documentation juridique des sociétés.
Score global de fiabilité et sécurité :
