Qu'est-ce que la signature électronique ?

La signature électronique est un procédé cryptographique qui permet de :

• Identifier le signataire de manière fiable
• Garantir l'intégrité du document (non-modification après signature)
• Assurer le consentement du signataire (manifestation de volonté)
• Créer un lien indissociable entre le signataire et le document
• Assurer la non-répudiation : le signataire ne peut nier avoir signé

Contrairement à une signature manuscrite scannée (simple image sans valeur probante), la signature électronique repose sur des mécanismes cryptographiques qui la rendent vérifiable et infalsifiable.

Exemple concret

Un contrat commercial de 50 000 € est signé électroniquement par les deux parties. La signature avancée garantit que : (1) chaque signataire est bien identifié, (2) le document n'a pas été modifié après signature, (3) les signataires ne peuvent nier avoir signé. En cas de litige, le document signé a une forte valeur probante devant un tribunal.

Le règlement eIDAS (electronic IDentification, Authentication and trust Services - UE 910/2014) est le cadre juridique européen pour :

• Signatures électroniques : Personnes physiques
• Cachets électroniques : Personnes morales (entreprises)
• Horodatage électronique : Preuve de date et heure
• Services d'envoi recommandé électronique
• Authentification de sites web : Certificats qualifiés
• Services de confiance qualifiés : QTSP/PSCE

Principes fondamentaux

• Reconnaissance mutuelle : Une signature valide dans un État membre est reconnue dans tous les autres
• Non-discrimination : Une signature électronique ne peut être refusée comme preuve uniquement parce qu'elle est électronique (art. 25.1)
• Neutralité technologique : Aucune technologie spécifique imposée
• Interopérabilité : Standards ouverts (ETSI, ISO)

eIDAS est entré en vigueur le 1er juillet 2016, remplaçant la directive 1999/93/CE. Il s'applique directement dans tous les États membres sans transposition.

Champ d'application

eIDAS s'applique aux transactions électroniques dans le marché intérieur, qu'elles soient B2B, B2C ou B2G (avec les administrations). Il ne s'applique pas aux transactions internes aux organisations ni aux accords privés qui définissent leurs propres conditions.

Le règlement eIDAS 2.0 (UE 2024/1183), adopté en mai 2024, modernise le cadre de l'identité numérique européenne.

Principales nouveautés

• Portefeuille européen d'identité numérique (EUDI Wallet) : Application mobile permettant de stocker et présenter son identité, permis de conduire, diplômes, etc.
• Attestations d'attributs : Preuve numérique d'un attribut (âge, diplôme, habilitation) sans révéler l'identité complète
• Authentification forte : Niveau de confiance élevé obligatoire pour certains services
• Interopérabilité renforcée : Standards techniques communs à tous les États membres
• Gratuité : Le portefeuille doit être proposé gratuitement aux citoyens

Calendrier de déploiement

Impact sur la signature électronique

• Signature depuis le Wallet : Possibilité de signer des documents directement depuis le portefeuille
• Certificats qualifiés intégrés : Le Wallet pourra contenir des certificats de signature qualifiée
• Identification renforcée : Vérification d'identité simplifiée via le Wallet avant signature
• Cross-border : Signature transfrontalière facilitée

France Connect et le Wallet français

La France développe son portefeuille d'identité numérique compatible eIDAS 2.0, s'appuyant sur France Connect et la carte d'identité électronique (CNIe).

1. Signature électronique simple (SES)

Niveau de base, non défini techniquement par eIDAS. Tout procédé permettant d'identifier le signataire.

• Exemples : Case à cocher « J'accepte », saisie du nom, clic sur un bouton, signature tracée au doigt
• Vérification d'identité : Aucune ou minimale (email)
• Valeur probante : Faible, peut être facilement contestée
• Usage : Documents à faible enjeu (CGU, accusés de réception, documents internes)
• Coût : < 1 €/signature

2. Signature électronique avancée (AES/SEA)

Doit respecter 4 critères définis à l'article 26 eIDAS :

1. Liée au signataire de manière univoque
2. Permet d'identifier le signataire
3. Créée avec des données sous le contrôle exclusif du signataire
4. Liée aux données signées de sorte que toute modification soit détectable

• Vérification d'identité : Pièce d'identité, SMS OTP, vidéo
• Valeur probante : Moyenne à forte, renversement de charge de la preuve
• Usage : Contrats commerciaux, RH, procurement, NDA
• Coût : 1-5 €/signature

3. Signature avancée avec certificat qualifié

Signature avancée + certificat délivré par un QTSP (Qualified Trust Service Provider / PSCE en français) inscrit sur la liste de confiance européenne.

• Vérification d'identité : Face-à-face ou équivalent (vidéo qualifiée)
• Valeur probante : Forte
• Usage : Documents réglementés, marchés publics (seuil), contrats importants
• Coût : 3-10 €/signature

4. Signature électronique qualifiée (QES/SEQ)

Plus haut niveau de sécurité, défini à l'article 3.12 eIDAS :

• Signature avancée
• Certificat qualifié délivré par un QTSP
• Créée avec un QSCD (Qualified Signature Creation Device) : carte à puce, HSM, module sécurisé

Article 25.2 eIDAS : « Une signature électronique qualifiée a un effet juridique équivalent à celui d'une signature manuscrite. »

• Vérification d'identité : Face-à-face obligatoire ou vérification à distance qualifiée
• Valeur probante : Maximale, présomption d'authenticité incontestable
• Usage : Actes notariés, actes authentiques, marchés publics > seuils, réglementé
• Coût : 5-20 €/signature

Les signatures électroniques suivent des formats standardisés par l'ETSI (European Telecommunications Standards Institute) :

PAdES (PDF Advanced Electronic Signatures)

Signature intégrée dans un fichier PDF conforme à la norme ISO 32000.

• Avantages : Lisible par tous les lecteurs PDF, signature visible ou invisible
• Usage : Contrats, factures, documents administratifs
• Standards : ETSI EN 319 142, ISO 32000-2
• Niveaux : PAdES-B (basique), PAdES-T (horodaté), PAdES-LT (long terme), PAdES-LTA (archivage)

XAdES (XML Advanced Electronic Signatures)

Signature au format XML, adaptée aux échanges de données structurées.

• Avantages : Interopérable, adapté aux flux B2B automatisés
• Usage : Factures électroniques, EDI, web services
• Standards : ETSI EN 319 132
• Niveaux : XAdES-B, XAdES-T, XAdES-LT, XAdES-LTA

CAdES (CMS Advanced Electronic Signatures)

Signature binaire basée sur CMS (Cryptographic Message Syntax).

• Avantages : Compact, adapté aux fichiers volumineux
• Usage : Signature de tout type de fichier (binaire, exécutable)
• Standards : ETSI EN 319 122

ASiC (Associated Signature Containers)

Conteneur ZIP qui associe un document et sa signature.

• Avantages : Signature et document séparés, plusieurs signatures possibles
• Variantes : ASiC-S (une signature), ASiC-E (multiples signatures)
• Standards : ETSI EN 319 162

JAdES (JSON Advanced Electronic Signatures)

Format émergent pour les API REST et applications web modernes.

• Avantages : Natif JSON, adapté aux architectures modernes
• Standards : ETSI TS 119 182

Niveaux de signature (suffixes)

Principe de non-discrimination

Article 25.1 eIDAS : « L'effet juridique et la recevabilité d'une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique. »

Équivalence avec la signature manuscrite

Article 25.2 eIDAS : « Une signature électronique qualifiée a un effet juridique équivalent à celui d'une signature manuscrite. »

Seule la signature qualifiée bénéficie de cette équivalence automatique. Les autres niveaux ont une valeur probante mais sans présomption légale.

Charge de la preuve selon le niveau

Cas particuliers en France

• Marchés publics : Signature avancée avec certificat qualifié minimum (décret 2017-1416)
• Actes notariés : Signature qualifiée obligatoire sur QSCD
• Factures électroniques : Signature avancée recommandée (ou piste d'audit fiable)
• Actes d'état civil : Signature qualifiée obligatoire
• Téléprocédures fiscales : Certificat RGS** ou supérieur

Code civil français

Article 1367 : « La signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. »

Les QTSP (Qualified Trust Service Providers), appelés PSCE (Prestataires de Services de Confiance Électronique) en France, sont les seuls habilités à délivrer des certificats qualifiés.

Qu'est-ce qu'un QTSP ?

Un QTSP est un prestataire de services de confiance qui :

• Est inscrit sur la liste de confiance de son pays (TSL - Trusted Service List)
• A été audité par un organisme d'évaluation de conformité
• Respecte les exigences strictes de l'article 24 eIDAS
• Est supervisé par l'autorité nationale (ANSSI en France)

Services qualifiés

• Certificats de signature qualifiés pour personnes physiques
• Certificats de cachet qualifiés pour personnes morales
• Horodatage qualifié : Preuve de date certifiée
• Validation qualifiée : Vérification de signatures
• Conservation qualifiée : Archivage de signatures
• Recommandé électronique qualifié

QTSP notables en Europe

*Yousign utilise les certificats de partenaires QTSP

Comment vérifier un QTSP ?

• eIDAS Dashboard : esignature.ec.europa.eu
• Listes de confiance nationales : Publiées par chaque État membre
• En France : Liste ANSSI sur ssi.gouv.fr

Référentiel RGS en France

Le RGS (Référentiel Général de Sécurité) définit des niveaux de certification :

• RGS* : Signature simple sécurisée
• RGS** : Équivalent signature avancée
• RGS*** : Équivalent signature qualifiée

Pour les marchés publics français, le niveau RGS** minimum est souvent exigé.

Ressources Humaines

• Contrats de travail : Signature avancée (CDI, CDD, alternance)
• Avenants : Signature simple à avancée selon l'enjeu
• Ruptures conventionnelles : Signature avancée avec certificat
• Notes de frais : Signature simple
• RGPD (consentements) : Signature avancée
• Entretiens annuels : Signature simple

Commercial

• Devis et propositions : Signature simple (validation client)
• Contrats clients B2B : Signature avancée
• CGV : Case à cocher (signature simple)
• NDA / Accords de confidentialité : Signature avancée
• Contrats internationaux : Signature avancée ou qualifiée selon juridiction

Finance

• Factures électroniques : Signature avancée ou cachet électronique
• Bons de commande : Signature avancée
• Mandats SEPA : Signature avancée
• Virements bancaires : Signature qualifiée (secteur bancaire)
• Rapports d'audit : Cachet électronique

Juridique et réglementé

• Baux commerciaux : Signature avancée
• Actes authentiques : Signature qualifiée obligatoire
• Mandats : Signature avancée à qualifiée
• Marchés publics : Signature avancée avec certificat qualifié
• Professions réglementées : Souvent signature qualifiée

IT et ITSM

• Contrats fournisseurs IT : Signature avancée
• SLA et engagements de service : Signature avancée
• Approbations CAB (Change Advisory Board) : Signature simple ou avancée
• Rapports d'intervention : Signature simple (technicien/client)
• Audits de conformité : Cachet électronique

Cryptographie asymétrique

La signature électronique repose sur un couple de clés RSA ou ECDSA :

1. Clé privée : Détenue uniquement par le signataire, sert à signer
2. Clé publique : Partageable, sert à vérifier la signature

La clé privée ne doit jamais être partagée. Elle est stockée de manière sécurisée (HSM, carte à puce, module sécurisé du smartphone).

Processus de signature

1. Hachage : Création d'une empreinte unique du document (SHA-256 ou SHA-3)
2. Chiffrement : L'empreinte est chiffrée avec la clé privée du signataire
3. Association : La signature chiffrée est intégrée au document ou associée dans un conteneur
4. Horodatage (optionnel) : Un serveur TSA ajoute une preuve de date

Vérification de la signature

1. Extraction : Récupération de la signature du document
2. Déchiffrement : Déchiffrement avec la clé publique du signataire
3. Recalcul : Calcul de l'empreinte du document actuel
4. Comparaison : Si les empreintes sont identiques, le document n'a pas été modifié
5. Vérification du certificat : Validité, non-révocation (OCSP/CRL)

Certificats X.509

Le certificat électronique (norme X.509) associe :

• Identité du signataire : Nom, prénom, organisation
• Clé publique : Pour vérification des signatures
• Signature de l'AC : Autorité de certification qui garantit le lien
• Période de validité : Date de début et d'expiration
• Usage : Signature, authentification, chiffrement

Signature à distance vs locale

Depuis eIDAS, la signature qualifiée à distance est possible si le QTSP utilise un QSCD (HSM qualifié) sous son contrôle exclusif.

Critères de choix

Recommandations par cas

• 90% des cas B2B : Signature avancée (excellent rapport sécurité/coût)
• Documents internes : Signature simple (validations, accusés)
• Contrats B2C grand volume : Signature simple à avancée selon l'enjeu
• Contrats stratégiques : Signature avancée avec certificat qualifié
• Obligation légale : Suivre strictement la réglementation (souvent qualifiée)

Matrice de décision

1. Y a-t-il une obligation légale ? → Suivre la réglementation
2. L'enjeu dépasse 100 000 € ? → Signature qualifiée recommandée
3. Le document engage des tiers externes ? → Signature avancée minimum
4. Document purement interne ? → Signature simple suffisante

Une signature scannée a-t-elle une valeur juridique ?

Une signature manuscrite scannée (image) n'a pas de valeur probante spécifique. C'est une simple image qui peut être copiée et ne garantit ni l'identité ni l'intégrité du document. Elle peut être utilisée comme un indice mais ne remplace pas une vraie signature électronique avec cryptographie.

La signature électronique est-elle acceptée par les notaires ?

Oui, les notaires peuvent utiliser la signature électronique qualifiée pour les actes authentiques depuis 2008 en France. Les notaires disposent de certificats qualifiés délivrés par le Conseil Supérieur du Notariat. Les actes sont signés sur une tablette sécurisée (QSCD).

Quelle est la différence entre signature et cachet électronique ?

La signature électronique est réservée aux personnes physiques et manifeste un consentement. Le cachet électronique (seal) est pour les personnes morales (entreprises) et garantit l'origine et l'intégrité sans notion de consentement individuel. Le cachet est utilisé pour sceller des factures, rapports automatisés, etc.

Combien coûte la mise en place de la signature électronique ?

Les coûts varient selon le volume et le niveau :

• SaaS entrée de gamme : 10-30 €/mois pour l'accès, + 0,5-2 €/signature
• SaaS professionnel : 30-100 €/mois, + 1-5 €/signature avancée
• Signature qualifiée : 5-20 €/signature (certificat inclus)
• Forfaits volume : Tarifs dégressifs à partir de 1 000 signatures/an

Le ROI est rapide : élimination des coûts d'impression, envoi, archivage papier, et accélération des cycles de signature.

La signature électronique est-elle valable à l'international ?

eIDAS garantit la reconnaissance dans les 27 États membres de l'UE + EEE. Pour les pays hors UE :

• États-Unis : ESIGN Act et UETA acceptent les signatures électroniques
• Royaume-Uni : eIDAS UK (post-Brexit) reste compatible
• Suisse : ZertES avec reconnaissance mutuelle
• International : La plupart des pays acceptent les signatures électroniques, vérifier la législation locale

KaliaOps V2 intégrera la signature électronique nativement :

Fonctionnalités prévues

• Signature intégrée aux workflows : Validation de contrats, changements critiques, documents de conformité
• Niveaux eIDAS : Simple, avancée, qualifiée selon le type de document et le workflow
• Partenariat QTSP : Intégration avec des prestataires qualifiés européens
• Horodatage qualifié : Preuve de date certifiée sur chaque signature
• Formats standards : PAdES pour les PDF, support XAdES pour les échanges

Cas d'usage ITSM/CMDB

• Contrats fournisseurs : Signature électronique à la validation du contrat dans la GED
• Changements critiques : Approbation CAB avec signature des membres
• Documents de conformité : Audit trail signé pour ISO 27001, SOC 2
• Rapports d'intervention : Signature technicien et accusé client
• SLA et engagements : Signature des parties prenantes

Intégration GED et SAE

• Documents signés versés automatiquement dans la GED
• Vérification de la validité des signatures à l'ouverture
• Conservation avec preuves de signature (certificats, horodatages)
• Transfert vers SAE pour archivage à valeur probante

Expérience utilisateur

• Signature en quelques clics depuis l'interface
• Notification par email aux signataires
• Suivi du statut (en attente, signé, refusé)
• Signature mobile (responsive)

Découvrez KaliaOps avec notre démo ou consultez nos tarifs.