Ces derniers temps, une multitude de systèmes de signatures électroniques différentes sont apparus.

Jusqu’à il y a deux ans, quand nous parlions de signature électronique, nous pensions uniquement au l’utilisation de certificats digitales. Ceux-ci pouvaient être qualifiés ou non (appelés avant reconnus), parfois associés à une carte cryptographique, donnant lieu à la dénommée signature qualifiée.

Mais la signature basée sur les certificats digitaux ne résout pas tous les besoins d’une signature électronique possible, c’est pour quoi ces dernières années sont apparus des systèmes de signature électronique manuscrite (signature biométrique), signature électronique à distance basée sur les certificats digitaux avec les clés de signature centralisées dans un HSM sûr.

Dans ce post, nous décrirons brièvement chacune des signatures électroniques, son cade juridique et sa dénomination correcte.

Signature électronique ou signature digitale?

Dernièrement, nous avons lu divers articles distinguant l’un et l’autre concept en fonction du cas où la signature se base sur la technologie PKI (signature digitale) ou non (signature électronique).

EEn réalité, le terme de signature digitale n’apparait pas dans système juridique européen ni espagnole (qui parle dernièrement de signature électronique), Alors que cette distinction se fait dans d’autres législation comme celle des USA, qui distingue e-signature et signature digitale, ou quelques législations latino-américaines comme la colombienne, qui établit clairement cette distinction.

Selon moi, la terminologie n’est pas ce qui importe, cela dépendra de la règles que nous appliquons, cependant il est commun de dénommer trois types de niveaux de signatures, que nous appellerons électroniques pour simplifier:

  • Signature électronique simple
  • Signature électronique avancée
  • Signature électronique qualifiée

Signature électronique simple, avancée ou qualifiée

Si nous regardons le Règlement 910/2014 (eIDAS), sont défini comme étant trois types de signatures électroniques:

  • Signature électronique, “les données en format électronique joint aux autres données électroniques ou associées de manière logique à celles qu’utilisent le signataire pour signer”. Nous voyons qu’en réalité le terme « signature simple » n’existe pas, nous l’utilisons pour nous référer au premier niveau basique de signature sans plus d’attributs.
  • Signature électronique avancée, ““la signature électronique qui respecte les exigences prévues dans l’article 26”. Ces exigences sont: « a) d’être reliée au signataire de manière unique; b) de permettre l’identification du signataire; c)d’avoir été créée en utilisant les données de création de la signature électronique que le signataire peut utiliser, avec un haut niveau de confiance, sous le contrôle exclusif et d) d’être liée aux données signées par le même mode que n’importe quelle modification ultérieure de ceux-ci soit détectable ». Evidemment le législateur pensait à la technologique de clé publique (PKI) lorsqu’il a défini la clé avancée, mais le principe de neutralité technologique l’interdit de se limiter à celle-ci.
  • Signature électronique qualifiée, “une signature électronique avancée qui se crée en utilisant un dispositif qualifié de création de signatures électroniques et qui se base sur un certificat certifié de signature électronique”. C’est à dire, la signature électronique qualifiée est celle basée sur la clé publique qui utilise, en plus, un dispositif sûr de création de signature et un certificat qualifié.

Pour que la signature soit considérée qualifiée, il faut remplir les conditions suivantes: utiliser un certificat émis avec quelques caractéristiques et quelques impératifs d’identification préalable du signataire pour une entité contrôlée et habilitée pour ceci, émettre les clés qui se basent sur le certificat d’une carte cryptographique ou dispositif équivalent au serveur utilisant un double facteur d’authentification, etc.

C’est pourquoi, la signature qualifié n’est pas simple à obtenir et est fort limitée quant à son ergonomie, mais en contrepartie la loi lui confère les garanties maximales et l’équivalence fonctionnelle avec la signature manuscrite.

Comme nous l’abordions dans un autre post, , la différence entre signature électronique “avancée” ou “simple” importe peu dans la pratique.

En Europe, exceptés les cas très concrets comme la Ley de Procedimiento Administrativo española (LPAC 39/2015) qui confère une valeur spéciale à la signature avancée avec certificat qualifié (non qualifiée) , la différence entre signature avancée ou “simple” peut ,ou non, être d’un intérêt doctrinaire, mais de peu d’intérêt réel, étant donné que l’unique signature à laquelle la loi confère certaines présomptions est la signature qualifiée, bien qu’avec ses limitations; tout autre type de signature devra démontrer sa valeur en procès, c’est pourquoi ce qui importe n’est pas temps sa considération en tant que signature « simple » ou avancée sinon sa capacité probatoire.

Signature électronique manuscrite ou signature biométrique

La signature électronique manuscrite reçoit différentes dénominations: signature biométrique, graphométrique, digitalisée, … Il s’agit de toute signature manuscrite traditionnelle, celle écrite de « sa propre main » mais qui se matérialise employant des moyens digitaux au lieu du papier, c’est pourquoi nous préférons le terme de signature électronique manuscrite ou signature manuscrite électronique.

Ce type de signature nécessite une analyse et un traitement spécial.

Du à sa caractéristique principale, celle d’être obtenue par des moyens digitaux, elle ne cesse d’être une signature manuscrite, c’est pourquoi elle ne nécessite pas de chercher une équivalence fonctionnelle avec une signature manuscrite puisqu’elle l’est déjà.

En fait, son mode de création et de validation d’authenticité et d’intégrité sont plus proche de la signature manuscrite sur papier que de la signature électronique, c’est pourquoi elle devrait être admise dans tous ces procédures nécessitant une signature manuscrite dans n’importe qu’elle ordre juridique, sauf pour la raison où l’utilisation du papier est requis, ce qui est plutôt rare.

Il est important de rappeler que, bien que la technologie du stylo et du papier ont peu de dérivé et qu’il est de consensus pour garantir l’intégrité du document et son authenticité, il faut prendre en compte un grand nombre de facteurs pour son versant électronique car toutes les signatures biométriques ne se valent pas et , par conséquent, elles n’ont pas toutes les mêmes garanties juridiques.

Système de centralisation de clés

Traditionnellement, les systèmes de signature électronique basés sur les certificats digitaux demandent au titulaire de conserver “physiquement” les clés de signature en les gardant sous contrôle exclusif.

Avec la promulgation du Règlement eIDAS et comme il n’en pouvait être autrement, l’utilisation des clés reste sous le contrôle de son titulaire, toutefois une nouvelle importante arrive il est à présent permis au prestataire de services de certification qui émet les certificats de maintenir les clés sous sa garde sous un dispositif sûr de création de signatures centralisé.

La considération des signatures réalisées comme avancées ou qualifiées dépendra de divers facteurs, étant plus importants que le certificat émit étant qualifié ou non, que les clés ayant été générées et ne pouvant être extraites du même dispositif et que le dispositif su secteur qui héberge les clés des signataires soit considéré comme dispositif sûr de création de signature (certifié) et l’accès aux clés de la part de l’utilisateur requière un double facteur d’authentification.

L’utilisation de ce genre de services a amélioré notablement l’ergonomie de la signature basée sur les certificats en comparaison au système traditionnel et c’est le meilleur système pour un grand nombre de cas, mais il pâtit encore de limitations importantes étant donné que ce sont des systèmes couteux nécessitant une identification préalable de l’utilisateur face au prestataire qui émet le certificat, ce qui oblige à chercher une solution pour satisfaire les besoins de signature des utilisateurs “non-inscrits”.

Signature électronique à distance ou basée sur des preuves

Parfois nous faisons face à des situations déterminées pour laquelle il est nécessaire d’obtenir la signature à distance de la personne  qui n’est pas en notre présence, et cette personne n’est pas en possession d’un certificat digital ni d’un dispositif capable de collecter les traces biométriques de sa signature avec des garanties suffisantes, c’est la raison pour laquelle un mécanisme de signature différent est nécessaire.

La dénommée signature à distance ou e-signature peut être considérée comme signature “simple” ou signature avancée en fonction de sa configuration, mais jamais de signature qualifiée, étant donné que pour être considérée comme telle il faut utiliser un certificat qualifié et un dispositif de création de signature sûr, comme vu précédemment.

Dans ce cas, la valeur juridique d’une e-signature est jugée en fonction de l’obtention d’une série de preuves de la procédure de signature de la part d’un tiers à la transaction et qui seront que, en cas de litige, une signature sera attribuable à une personne. Les probabilités de succès de ce litige dépendront fondamentalement de la quantité et de la qualité des preuves collectées, pouvant inclure:

  • Adresse email du signataire
  • Adresse IP à partir de laquelle les opérations s’exécutent
  • Nº de téléphone portable auquel a été envoyée le texto contenant la clé de signature
  • Clé de la signature à usage unique (OTP)
  • Signature manuscrite réalisée sur l’appareil
  • Géolocalisation
  • Navigateur depuis lequel le processus s’est réalisé
  • Certificat à usage unique
  • Horodatage
  • Signatures durables

Ces systèmes sont très simples à utiliser mais les preuves qu’ils apportent, à elles seule et de manière individuelle, sont difficiles à défendre en procès par la difficulté de démontrer que c’était bien cette personne et non une autre qui a reçu le mail et signé en son nom (par exemple).

La sécurité du système s’améliore suffisamment avec l’envoi d’un SMS au portable du signataire sous forme de “double facteur d’authentification » ainsi que d’autres systèmes, comme c’est le cas du service ViDSigner, la procédure de signature se complète juridiquement en y ajoutant en plus à l’émail et au SMS, la nécessité que le signataire réalise une signature manuscrite depuis son appareil (troisième facteur.

Dans ce cas, la signature biométrique réalisée n’est pas d’aussi bonne qualité que celle vue dans le cas antérieur et ne pourrait être défendue à un procès, cependant l’union de ces preuves – émail, SMS et signature manuscrite – convertit cette même signature comme étant une preuve solide.

Conclusions

Comme nous l’avons répété à plusieurs reprises, il n’existe pas de signatures “plus légales” que d’autres, étant donné que l’article 25 Règlement eIDAS et la majorité des législations mondiales clarifient que ne seront rejeté ni les effets juridiques , ni la recevabilité d’une signature électronique comme preuve dans une procédure judiciaire pour le simple fait qu’elle soit électronique ou parce qu’elle ne remplit pas les conditions d’une signature électronique qualifiée”.

Indépendamment de la signature qualifiée centralisée ou traditionnelle qui établit une présomption probatoire (mais cela ne la convertit pas en preuve irréfutable) et qui possède certains cas d’utilisation très concrets, il existe d’autres systèmes qui peuvent constituer une preuve aussi solide sinon plus et qui s’ajustent à la perfection à chaque cas d’usage concret.

A Validated ID, nous avons toujours travaillé pour couvrir tous les besoins des clients mais nous avons parié sur des services de signature qui apportent les garanties juridiques maximales à la procédure, de façon à ce que nous puissions compter sur un service de signature multicanalqui permet, en fonction des besoins du client d’utiliser des certificats digitaux centralisés, signature biométrique, signature à distance, horodatage automatique et aussi des cartes NFC, le tout combinables et compatibles entre eux.

Si vous désirez en savoir plus sur les différents types de signature électroniques et les possibilités de VIDsigner, vous pouvez demander plus d’informations auprès de notre page de contacts.

Validated ID Team