Fonctionnement de la signature électronique
Une application (un portail web de souscription en ligne, une application de gestion de transactions immobilières, une application de gestion des ressources humaines, etc.) va déclencher une demande de signature ou un workflow de signature vers un service de
signature électronique. Chacun des signataires est soit présent (i.e. « au contact » de l'application émettant la demande ou le workflow de signature) ou distant.
Si le signataire est distant, il reçoit un email d'invitation à la signature contenant un lien lui permettant d'accéder au/aux documents à signer. Ce lien possède un accès contrôlé (le mode le plus courant est l'envoi d'un code à usage unique envoyé par SMS vers le signataire au moment où il clique sur le lien d'accès).
Si le signataire est présent, un opérateur (ex : un commercial) va présenter au signataire les documents dans l'application de signature électronique. Dans le cas d'un portail web de souscription en ligne, le navigateur du signataire est routé vers le service de signature électronique.
Suivant le mode de fonctionnement défini par l'application émettrice et suivant le signataire celui-ci va donner son accord pour signer chaque document :
- Soit avec son certificat qualifié (un code d'accès personnel doit être saisi afin de pouvoir utiliser les services du certificat qualifié)
- Soit avec un certificat avancé ETSI généré « à la volée » par le service de signature électronique; dans ce cas, le service de signature électronique vérifie l'identité du signataire (avant de signer le/les documents, le signataire doit télécharger sa pièce d'identité qui est contrôlée par un service idoine ; ou celle-ci est vérifiée par l'opérateur/le commercial présent avec le signataire, cas présentiel uniquement).
- Soit avec un certificat « simple » généré « à la volée » par le service de signature électronique.
Une fois que le signataire a signé tous les documents (ou dans le cas d'un workflow, que tous les signataires ont signé l'ensemble des documents qu'ils devaient signer), le service de signature électronique archive les documents signés (et éventuellement les documents téléchargés) en coffre-fort électronique (archivage légal). En sus des documents signés, le service de signature électronique enregistre une piste d'audit. La piste d'audit (généralement un fichier XML signé) retrace toutes les étapes du workflow de signature ainsi que toutes les actions effectuées par chacun des signataires. C'est cette piste d'audit qui permet de composer un faisceau de preuves (et ce quel que soit le type de signature) qui sera présenté à la juridiction compétente en cas de contestation d'un signataire.
Le procédé de la signature électronique de documents
La signature électronique de documents (fichiers PDF uniquement) est un procédé cryptographique défini par la norme PADES ISO 32000-1 (PDF Advanced Electronic Signature ; recommandations
ETSI EN 319 142).
Il consiste en le cryptage RSA (via la clé privée du certificat du signataire) du hash du document – obtenu via SHA256 – et sa réintégration dans le document lui-même avec l'ensemble des éléments du certificat X509 (identification du titulaire du certificat, date de création, procédé de création, créateur du certificat, etc…) ainsi que les éléments d'horodatage de la signature à partir d'un serveur de temps conforme à la
RFC 3161.
Lors de l'ouverture d'un document signé électroniquement Adobe vérifie la validité du certificat (par connexion vers la/ les entité(s) créatrice(s) du/des certificats) et l'intégrité du document par utilisation de la clé publique du certificat qui a été insérée dans le document signé (Merci Monsieur FERMAT !).
Le processus de signature doit être « LTA Level » de manière à ce que la validité de la signature perdure après expiration des informations de validation (conformément à l'article 61 du règlement eIDAS).
La valeur légale de la signature électronique
Le règlement Européen eIDAS a tenté de définir l'identité numérique en Europe et par extension, définir des normes interopérables dans tous les pays de l'Union Européenne, concernant la création de certificats et les « types » de signature électronique.
3 types de signature ont ainsi été définis :
1 - La signature électronique qualifiée est une signature électronique avancée effectuée à partir d'un certificat qualifié (certificat sur support physique clé USB ou carte à puce) qui a été remis en main propre à son titulaire par un Prestataire de Service de Confiance Qualifié eIDAS.
2 - La signature électronique avancée qui satisfait aux exigences suivantes :
- être liée au signataire de manière univoque;
- permettre d'identifier le signataire;
- avoir été créée à l'aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif;
- être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
3 - La signature électronique simple est une donnée sous forme électronique, qui est jointe ou liée logiquement à d'autres données électroniques et qui sert de méthode d'authentification (plus simplement : le même procédé mais avec un certificat qui n'est pas qualifié et dont l'identité du titulaire n'a pas été vérifiée).
L'article 25 du règlement spécifie que :
- L'effet juridique et la recevabilité d'une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu'elle ne satisfait pas aux exigences de la signature électronique qualifiée.
- L'effet juridique d'une signature électronique qualifiée est équivalent à celui d'une signature manuscrite.
- Une signature électronique qualifiée qui repose sur un certificat qualifié délivré dans un État membre est reconnue en tant que signature électronique qualifiée dans tous les autres États membres.
Les avantages et inconvénients de la signature électronique
La mise en place de la signature électronique s'accompagne naturellement de la dématérialisation de processus métier.
La dématérialisation des processus métiers incluant des workflows de signature électronique apporte des gains substantiels :
- Accélération des processus
- Optimisation du taux de conversion (en particulier pour les contrats de vente)
- Réduction des coûts par :
1. Réduction de frais postaux, impressions, déplacements, etc…
2. Élimination des traitements de documents papier
-
Simplification des processus back office
- Gain d'image => innovation
Cependant, de nombreux processus métiers ne sont pas gérés/pilotés par des applications informatiques ; en particulier les processus de validation internes aux entreprises. Cegedim e-business a donc conçu des frameworks qui permettent aisément de mettre en œuvre des applications de digitalisation de processus embarquant des workflows de signature et ce, dans tous les domaines d'activité :
Cegedim e-Business s'inscrit donc dans une volonté de transformation digitale des entreprises.
JM SIMON
Directeur SYGN