Que dire de la signature électronique de niveau simple​ ?

Alors que la documentation est abondante sur les signatures électroniques certifiées, dites avancées ou qualifiées, il est difficile de trouver une synthèse décrivant clairement comment constituer une signature électronique dite simple.

Les Prestataires de Services de Confiance (PSCo), qui communiquent abondamment sur leurs signatures certifiées, vendent au quotidien - très majoritairement - leur signature de niveau simple, faute de pouvoir en pratique déployer les niveaux avancés ou qualifiés.

Le règlement européen dit eIDAS (règlement n° 910/2014/UE, adopté le 23 juillet 2014) prévoit trois niveaux de signatures électroniques : simple, avancé et qualifié. Concernant la signature électronique de niveau simple, le règlement eIDAS s’en tient à la définition suivante : "des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer". Il n’impose donc pas de contraintes fortes, et nous devons comprendre qu’une signature électronique de niveau simple est une signature qui n’a pas obligatoirement été auditée, comme le requiert la certification des signatures de niveau avancé ou qualifié. Cela étant, il ne peut y avoir de préjugé sur sa fiabilité (art 1367 du code civil) et le document signé est donc recevable en justice (art 25 du règlement eIDAS : "L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée.").

Dans ce contexte, il est donc indispensable que la mise en œuvre d’une signature électronique de niveau simple permette d’apporter - à postériori - la preuve qu’elle a été produite sous certaines conditions, notamment celles garantissant l’intégrité du document électronique, l’identité du signataire et le recueil de son consentement.

C’est le rôle du dossier de preuves. On comprend ainsi facilement son importance et les raisons de sa conservation dans le temps, généralement via un Service d’Archivage Électronique (SAE) exploité par un tiers de confiance archiveur (en France selon la norme NF Z42-013). Il a la charge de démontrer :

  1. Que l’identité du signataire a été vérifiée (par le contrôle de son document d’identité par exemple) et qu’il a été authentifié pour s’assurer de sa présence au moment de la signature (généralement par un code non rejouable de type OTP SMS).
  2. Que l'intégrité du document, généralement PDF, est garantie par une opération cryptographique, généralement une signature au format PAdES, et qu'ainsi il n'a pu être modifié après signature.
  3. Que le consentement du signataire a été recueilli préalablement à l’opération de signature et plus largement que le parcours de signature est à l’état de l’art de la profession (présentation du document à signer, conservation des traces, etc.).

Concernant le second point, il faut noter qu'en terme de sécurité informatique il n'est pas obligatoire de générer un certificat électronique "personne physique" au nom du signataire et donc de mettre en œuvre une Autorité de Certification (AC) pour appliquer une signature au niveau simple. Par exemple, un cachet électronique peut aussi garantir l'intégrité du document. Cela étant, le certificat électronique "personne physique" est considéré par beaucoup comme un incontournable des bonnes pratiques.

Pour plus d’informations sur les processus permettant à un organisme de produire une signature électronique de niveau simple, se reporter à leurs documentations suivantes :

  • Politiques d’enregistrement et déclaration des pratiques d’enregistrement.
  • Politique de signature et de gestion de preuves.

En conclusion, nous pouvons établir qu'une bonne signature électronique de niveau simple, est une signature non-certifiée, qui apporte une preuve juridiquement fiable, facilement opposable en justice via un bon dossier de preuves. Si un certificat "personne physique" est sur le papier plus qualitatif qu'un cachet électronique, il ne doit pas faire oublier que le débat doit avant tout porter sur la vérification de l'identité du signataire, étape la plus sensible du parcours en terme d'expérience client et qui donne la véritable valeur à la signature, que ce soit aux niveaux simple, avancé ou qualifié.