La signature électronique simple ne peut plus se passer de la vérification d'identité

Pour faciliter l'acte de souscription en ligne, 90% des entreprises ont adopté la signature électronique simple. Pourtant, l'affaire judiciaire concernant une banque française révèle ses limites.

En ne requérant que l’adresse email pour souscrire à un contrat, la signature électronique simple ne garantit pas la fiabilité du procédé d’indentification du client, et à fortiori de son consentement. En imposant des démarches d'identification forte, telle que l’identité substantielle on accroît la présomption de fiabilité de l'identité du signataire et de son consentement tout en restant simple à utiliser.

Rappelons les faits. En 2018, une banque française consent un prêt à un client qu’elle contractualise via une signature électronique simple délivrée par un fournisseur majeur de signatures électroniques. Après quelques mois de paiements, l’emprunteur cesse tout versement, contestant son approbation à ce contrat. La banque concernée fait alors valoir ses droits devant le tribunal de Tours qui, après analyse du dossier, la déboute. Le tribunal lui reproche son incapacité à prouver l’identité du signataire par carte d’identité, numéro de téléphone portable ou OTP (One Time Password, adressé par sms à un numéro de téléphone mobile appartenant au signataire), ce qui conduit à l’absence de preuve de son consentement au prêt. La seule authentification par mail s’est, en effet, avérée insuffisante par la Cour d’appel pour prouver l’identité du client.

La signature électronique simple : l’outil idéal à l’acte d’achat

La signature électronique simple est devenue plutôt dominante sur le marché en ligne en raison de sa simplicité, puisqu'il suffit, pour le signataire, de ne fournir qu’une adresse email. Rapide et facile à déployer, elle est aujourd’hui utilisée par 90% des sites de vente en ligne. Idéal à l’acte d’achat, ce dispositif permet de signer un contrat en un seul clic. Mais cet avantage présente un inconvénient majeur : ce dispositif ne fournit pas l'identité vérifiée du signataire. C’est pourquoi dans ce processus d’autres preuves sont à prévoir, telles qu’une demande d’authentification par SMS OTP, une présentation d’une pièce d’identité… Mais qui selon les entreprises, risque de décourager les clients au moment de la finalisation de leur acte d’achat.

Avancée et qualifiée, deux autres niveaux plus sécurisés

Pour accroître le niveau de sécurisation et de fiabilité du consentement entre les deux parties, deux niveaux de signatures électroniques existent : avancée et qualifiée. Conformes à la réglementation eIDAS, ils intègrent des éléments supplémentaires d’identité, notamment la vérification de la carte d’identité. Utiliser le niveau de signature électronique qualifié protège les entreprises de toute usurpation d’identité et inverse la charge de la preuve en cas de litige. En d’autres termes, c'est au plaignant de prouver que son identité a été usurpée.

L’identité substantielle répond aux critères des niveaux avancé et qualifié

L’identité numérique de niveau de garantie substantiel peut être utilisée pour ces niveaux de signature plus sécurisés. Et pour cause : créer une telle identité numérique nécessite des contrôles poussés de la pièce d’identité et de la cohérence avec le visage de son détenteur, puis son utilisation requiert une authentification forte réalisée via une application mobile et une saisie de code secret personnalisé. Une fois créée, utiliser l’identité substantielle est un jeu d’enfant et permet ainsi de signer n’importe quel acte d’achat ou de souscription. Idéale dans le parcours client, l’identité numérique substantielle constitue une alternative à la signature simple en sécurisant l'identification du signataire. Une solution permettant des jugements plus favorables aux entreprises utilisatrices de signature électronique.

Tribune co-signée avec Hong Girault, Directrice des offres de confiance numérique de Cegedim Business Services