Qu'est-ce qu'une signature électronique avancée ?
La signature électronique avancée (ou Advanced Electronic Signature en anglais) est une version de la signature électronique. Cette signature doit avoir un lien univoque avec le signataire, permettre l'identification du signataire et assurer avec un niveau de confiance élevé au signataire qu'elle peut être utilisée sous son contrôle exclusif. Elle doit également être liée aux données signées de manière à ce que toute modification ultérieure de ces données soit détectable.
Le règlement européen eIDAS et les règlements britanniques correspondants définissent différentes normes pour les signatures électroniques. Il existe trois niveaux de sophistication croissante. Le niveau le plus bas, la signature électronique simple (SES), peut prendre n'importe quelle forme acceptable pour les deux parties, sans aucune exigence technique de mise en œuvre. Les signatures électroniques numériques vont plus loin en offrant la possibilité technique de vérifier le signataire et d'empêcher la falsification. Il existe deux niveaux de signature électronique numérique : la signature électronique avancée (AES) et la signature électronique qualifiée (QES). Ces dernières offrent une sécurité accrue, mais à un coût de mise en œuvre plus élevé.
Une AES doit permettre d'identifier de manière fiable le signataire des documents. La signature doit également être protégée contre la falsification ou les modifications apportées après la signature.
Toutes les questions que vous vous posez sur les signatures électroniques avancées
Qu'est-ce qui fait d'une signature électronique avancée un moyen de signature électronique plus sûr que la signature électronique simple ?
Par rapport à la signature électronique simple (SES), la signature électronique avancée (AES) améliore le niveau de confiance de base. Elle offre un niveau de sécurité plus élevé, avec une vérification du signataire et une protection contre la falsification. C'est le plus simple des deux types de signature électronique numérique définis par les réglementations européenne et britannique.
Comment fonctionne la signature électronique avancée ?
La signature électronique avancée nécessite une mise en œuvre technique pour répondre aux exigences de vérification beaucoup plus strictes. La signature doit être créée à l'aide de données de création de signature électronique. Seul le signataire doit avoir le contrôle de ces données de création de signature.
La réglementation eIDAS précise quatre critères principaux auxquels une SEA doit répondre :
- Elle doit être liée de manière univoque au signataire.
- Elle est doit permettre d'identifier le signataire.
- Les données de création de signature utilisées doivent être sous le contrôle exclusif du signataire.
- La signature doit être liée aux données signées de manière à ce que toute modification ultérieure des données soit détectable.
Comment les signatures électroniques numériques peuvent-elles être mises en œuvre ?
Les signatures électroniques numériques sont généralement mises en œuvre en utilisant un format standard d'infrastructure à clé publique (ICP - PKI pour Public Key Infrastructre en anglais). Cela implique la création de deux clés - une clé publique et une clé privée. La signature numérique est créée à l'aide de la clé privée du signataire, qui doit toujours être conservée par le seul signataire.
Le destinataire du document signé reçoit également la clé publique. Si la signature n'a pas été modifiée, le destinataire devrait être en mesure de la déchiffrer à l'aide de la clé publique. Si elle a été modifiée, elle ne sera pas déchiffrée correctement et la signature peut être considérée comme invalide. Une telle mise en œuvre semble technique et complexe, mais il existe de nombreux produits qui la mettent en œuvre.
Quand faut-il utiliser une signature électronique numérique ?
Une signature numérique est utilisée chaque fois qu'une plus grande sécurisation des documents signés est nécessaire. Une simple signature électronique peut suffire pour les contrats ou les bons de commande de base. Lorsqu'une protection accrue est nécessaire ou que le document a de la valeur, une signature numérique est plus judicieuse.
Il est important de noter que la SES peut être rejetée légalement du seul fait qu'elle est électronique. Le passage à une signature numérique (Signature électronique avancée ou qualifiée) supprime cette limitation. Si une signature numérique est mise en œuvre correctement, son intégrité et son authenticité sont garanties et acceptées légalement. Avec une signature électronique avancée, si la validité de la signature est mise en doute, c'est au signataire de prouver sa validité.
La sécurité supplémentaire fournie par une signature électronique qualifiée (SEQ) transfère cette charge de la preuve à la partie qui conteste la validité. Cela fait d'une SEQ la méthode de choix pour les documents les plus importants, lorsque le plus haut niveau de sécurité juridique est nécessaire. Le service IDnow eSign peut fournir des signatures électroniques qualifiées.
Quelle est la différence entre SES, AES et QES selon eIDAS ?
Le règlement européen eIDAS, et les règlements britanniques équivalents, définissent des normes pour accéder aux services publics de manière sûre et sécurisée. Cela inclut l'utilisation de signatures électroniques. Les règlements garantissent également l'acceptation de ces signatures au-delà des frontières. Les règlements définissent trois niveaux de signature électronique, avec des niveaux de sécurité croissants. Ils définissent également l'acceptabilité de chaque type de signature :
- Au niveau le plus bas du SES, aucune garantie légale n'est offerte. La responsabilité de prouver l'authenticité incombe à la partie qui demande la signature. Il n'y a pas de lien traçable entre la signature et le signataire, il sera donc difficile de la prouver si nécessaire.
Le passage à une signature numérique (AES ou QES) élimine le problème du rejet de la signature sur le plan juridique au seul motif qu'elle est électronique. Avec une AES, si la validité de la signature est mise en doute, c'est au signataire de prouver qu'elle est valide. Au plus haut niveau de QES, la signature a le même pouvoir juridique qu'une signature traditionnelle. En cas de doute, il incombe à la partie qui doute de la signature de fournir des preuves.