Quelle est la valeur légale d'une signature numérique ?
Pour répondre à cette question, nous devons d'abord clarifier le concept. En effet, les termes 'signature électronique' et 'signature numérique' sont souvent utilisés indifféremment. Pourtant, ils n'ont pas exactement la même signification.
Une signature électronique dénote simplement l'intention d'une personne d'accepter le contenu d'un document électronique ou d'un ensemble de données. Il peut s'agir d'une signature tracée manuellement sur l'écran d'un portable ou encore de l'image d'une signature collée dans Word ou d'une signature email. En revanche, une signature numérique est fondée sur une technologie cryptographique, qui offre un niveau de sécurité et d'intégrité supplémentaire au document.
Par conséquent, si une signature numérique est toujours électronique, l'inverse n'est pas toujours vrai.
Selon eIDAS — le Règlement européen régissant l'identification électronique et les services de confiance pour les transactions électroniques —, il existe trois catégories de signatures électroniques. Toutes trois peuvent avoir une validité légale. La différence entre elles réside dans les preuves nécessaires pour convaincre un tribunal que la signature est authentique et appliquée intentionnellement à un document spécifique. Lorsque vous utilisez une solution conforme au règlement eIDAS comme eSignatures, les signatures ont valeur légale dans les autres pays de l'UE.
Vous trouverez ci-dessous une présentation des trois catégories de signatures électroniques et de leurs différences.
Catégories de signatures électroniques
- Signature électronique simple (BES)
- Signature électronique avancée ou signature numérique (AES)
- Signature électronique qualifiée ou signature numérique qualifiée (QES)
Comme vous le constatez, seules les catégories 2 et 3 sont reconnues comme des signatures numériques.
La différence entre ces catégories repose essentiellement sur 4 éléments clés :
- Authenticité : la signature doit être liée à son signataire de manière unique.
- Identité : elle doit permettre d’identifier formellement le signataire.
- Intégrité : elle doit être liée aux données signées de telle façon que tout changement ultérieur dans les données puisse être détecté.
- Authentification : elle doit donner l'assurance d'avoir être créée par des moyens sous le contrôle exclusif du signataire.
Type de signature | Simple (BES) | Avancée (AES) | Qualifiée (QES) |
---|---|---|---|
Définition | Tous types électroniques de signatures attestant du consentement ou de l'autorisation du signataire à l'aide d'un certificat quelconque. Il peut s'agir d'une signature tracée manuellement sur l'écran d'un ordinateur (et enregistrée au format numérique), d'un clic sur un bouton « J'accepte », etc. Il ne s'agit pas d'une signature numérique. | Les signatures électroniques avancées doivent satisfaire des exigences spécifiques, notamment un niveau plus élevé de vérification de l'identité du signataire, de sécurité et d'inviolabilité (empêchant toute modification du document une fois celui-ci signé). | Les signatures électroniques qualifiées ou les signatures numériques de non-répudiation constituent le seul type de signature électronique bénéficiant d'un statut juridique spécial dans l'UE. À la différence des autres signatures, la charge de la preuve incombe à la partie qui conteste la ou les signatures, et non à l'initiateur. D'un point de vue légal, elle est donc l'équivalent d'une signature écrite. Elle est validée par un certificat émis par un prestataire de services de confiance qualifié (QTSP) figurant sur la liste EUTL (EU Trusted List) et donc certifiée par un État membre de l'UE. |
Authenticité | Il n'est pas obligatoire que la signature soit liée au signataire. | Il faut s'assurer que la signature est liée de façon unique au signataire. | Il faut s'assurer que la signature est liée de façon unique au signataire. |
Identité | Il n'est pas obligatoire de vérifier l'identité du signataire. | Il faut s'assurer que la signature est liée de façon unique au signataire. | Il faut pouvoir identifier de façon irrévocable le signataire. Une vérification « en personne » initiale ou une autre procédure équivalente est indispensable. |
Intégrité Faut-il être certain que le contenu ne peut pas être modifié après la signature ? |
Oui | Oui | Oui |
Validité légale | La charge de la preuve incombe à la partie qui a initié la signature. | La charge de la preuve incombe à la partie qui a initié la signature. | Il s'agit d'un type dit de non-répudiation. La charge de la preuve incombe à la partie qui conteste la signature. |
Conclusion
En conclusion, si les trois catégories sont valables d'un point de vue légal, seules les signatures numériques qualifiées représentent l'équivalent d'une signature écrite où la charge de la preuve incombe à la partie qui conteste la signature. Les signatures numériques qualifiées constituent le type le plus avancé et sécurisé des signatures électroniques. Elles satisfont aux exigences réglementaires les plus strictes dès lors qu'elles fournissent le degré d'assurance le plus élevé quant à l'identité de chaque signataire et de l'authenticité/intégrité des documents qu'il signe.