Du fait de ses implications juridiques, variables selon les pays, le déploiement de la signature électronique est bien plus qu’un projet technologique.
Avant de mettre en place la signature électronique, une préparation minutieuse en amont doit permettre à l’entreprise d’identifier ses besoins et ses contraintes. La signature électronique comptera parmi les briques indispensables de la transformation digitale de demain.
Sécurité et valeur légale de la signature électronique
des réglementations variables
Juridiquement, le principe reste toujours le même : valider le consentement du signataire à un document ou à un acte. Mais selon la portée de l’engagement produit par la signature, cette dernière peut ne pas se suffire à elle-même. C’est ainsi le cas, par exemple, en France de la signature d’un acte authentique auprès du notaire, qui doit systématiquement s’accompagner d’une vérification de l’identité du signataire. À l’inverse, l’acceptation des conditions générales de vente lors d’un achat sur un site e-commerce n’emporte pas un tel formalisme.
En d’autres termes, une signature n’a de valeur légale et ne valide réellement le consentement du signataire que dans les respects des réglementations qui l’encadrent, lesquelles sont fonction de l’acte réalisé, du secteur d’activité concerné et bien sûr de la juridiction, et donc du pays, dont relève l’échange de consentement.
Ces principes s’appliquent que la signature soit manuscrite ou électronique : tout projet de signature électronique doit respecter les réglementations applicables et les éventuelles normes, qu’elles soient contraignantes ou facultatives (dans le but de renforcer la confiance numérique). En Europe, et donc en France, c’est le règlement européen eIDAS (Electronic IDentification And Trust Services) qui encadre la signature électronique. Entré en vigueur en 2016 afin de promouvoir le développement de la confiance numérique, ce règlement prévoit trois grands types de signature : la signature électronique simple, la signature électronique avancée et la signature électronique qualifiée. En dehors de l’Europe, et notamment au Maghreb, la réglementation n’est pas identique.
Les usages cibles de la signature électronique
« Simple » validation de documents sortant d’une entreprise, contractualisation en ligne, souscription à un prélèvement bancaire, signature d’un acte administratif… :
avant de se lancer dans un projet de signature, il faut avant tout déterminer le niveau de garantie à atteindre (faible, substantiel ou élevé).
En d’autres mots, il est nécessaire de définir quel degré de confiance offrir sur l’identité du signataire ou de l’identité alléguée par la personne.
Il s’agit donc avant tout d’identifier le ou les usages prévus, les niveaux de sécurité nécessaires ainsi bien sûr que les parties amenées à être signataires : personnel interne, écosystème (clients, fournisseurs partenaires), professionnels ou particuliers, etc. Selon leur statut et leur appartenance, ou non, à l’entreprise mettant en œuvre le projet de signature électronique, l’architecture à mettre en œuvre ne sera pas identique.
Ainsi, en interne deux types de signature sont possibles : la signature cachet-serveur et la signature personnelle, qualifiée ou non. La signature cachet-serveur s’apparente à un tampon électronique et s’intègre facilement à un système tiers. Elle peut être utilisée, couplée à un ERP, pour signer des bons de commande, ou un contrat de travail si associée au SIRH de l’entreprise. La signature personnelle sur le poste de travail (via le certificat personnel enregistré dans le magasin Windows) ou via un certificat embarqué sur un device (pour une signature qualifiée) peut, quant à elle, être utilisée pour recueillir le consentement des salariés.
Pour des projets de contractualisation en ligne avec des tiers, c’est la signature personnelle serveur qu’il est nécessaire de mettre en œuvre : un certificat temporaire est généré au nom de la personne qui doit signer, cette dernière reçoit ensuite un mot de passe à usage unique pour valider son consentement. Le système appose deux signatures, au nom de la personne et de l’entreprise.
Pour augmenter le niveau de sécurité, une authentification forte à double facteur peut être ajoutée en amont du système de signature électronique, et les clés de sécurité protégées à l’aide d’un HSM (Hardware Security Module).
Le triptyque technologique de la signature électronique
Au plan technologique, plusieurs approches sont envisageables pour générer les certificats. Les solutions SaaS peuvent rendre le service attendu à coût raisonnable si les besoins restent ponctuels ou le nombre de signataires limité. À l’inverse, s’il s’agit de déployer la signature électronique à grande échelle et d’en industrialiser l’usage auprès de nombreux utilisateurs, le déploiement de son propre système de signature électronique devient une étape obligatoire.
Auquel cas, l’architecture à mettre en œuvre se compose de trois systèmes, au minimum, selon le niveau de sécurité ciblé. Le premier est une infrastructure à clés publiques (ou PKI) pour l’émission des certificats numériques. Cette première brique qui trouve également son utilité pour l’authentification et le chiffrement. Un serveur de signatures est par ailleurs indispensable. C’est lui qui permet d’apposer et de vérifier les signatures. Enfin, un système d’archivage de documents à valeur probante est nécessaire pour garantir la bonne conservation à long terme et l’intégrité des documents signés.
Là encore, pour augmenter le niveau de sécurité, des mécanismes d’authentification forte, en amont de la signature, et la protection des clés dans un HSM peut être envisagée.
Dans tous les cas et quels que soient les cas d’usage à couvrir, un projet de signature électronique, du fait de sa complexité, ne s’improvise pas. Les besoins, les contraintes et les obligations légales doivent être clairement définies en amont, pour concevoir le socle technologique adapté et évolutif, pour absorber la croissance exponentielle des usages.
Digitalberry vous accompagne dans vos projets de conception et d’intégration de signature électronique, afin de vous offrir la solution la plus adaptée à votre besoin.
