Des besoins sur un nouveau projet ? Discutez-en avec un manager.
Nous vous recontactons

Nous vous répondons ASAP

LA SIGNATURE ELECTRONIQUE :

II – LES GRANDS PRINCIPES

Selon une enquête Archimag réalisée en mai 2020 auprès de 136 organisations françaises, 39 % d’entre elles utilisent déjà la signature électronique depuis une ou plusieurs années. La tendance devrait d’ailleurs se poursuivre : elles sont 19 % à vouloir s’en équiper cette année (2020/2021), et 24 % à l’envisager pour les années à venir. Une décision qui s’explique notamment par le confinement lié au Covid-19, décisif pour près de 70 % des répondants.

.Focus sur la signature électronique, atout majeur de la transition digitale.        

                                                                                           

L’aspect juridique de la signature électronique

La signature électronique est régie par le règlement européen eiDAS qui fixe la liste par pays, des prestataires de services de confiance qualifiés, délivre des certifications et établit le principe de non- discrimination : la signature électronique a la même valeur juridique que la signature manuscrite.

Le règlement eiDAS est transcrit en France par l’ANSSI (organe de contrôle des PSCQ ou prestataires de services de confiance qualifiés en s’assurant de leur conformité avec le règlement européen). Les articles 1366 et 1367 du code civil français et l’art. 26 du règlement eiDAS définis fonctionnellement la signature électronique : identification, consentement et intégrité. Les conditions suivantes doivent être réunies :

  • Authentique : l’identité du signataire doit pouvoir être retrouvée de manière certaine.
  • Infalsifiable : la signature ne peut pas être falsifiée. Quelqu’un ne peut se faire passer pour
    un autre.
  • Non réutilisable : la signature n’est pas réutilisable. Elle fait partie du document signé et ne
    peut être déplacée sur un autre document.
  • Inaltérable : un document signé est inaltérable. Une fois qu’il est signé, on ne peut plus le
    modifier.
  • Irrévocable : la personne qui a signé ne peut le nier.                                                                                          

« La signature, lorsqu’elle est électronique consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ».

Et le RGS (Référentiel Général de Sécurité) ?
Il fixe les règles de sécurité que les systèmes d’information doivent respecter pour assurer la disponibilité, l’intégrité, la confidentialité, l’authentification et la traçabilité des informations des usagers. Il vise à renforcer la sécurité et la confiance dans les échanges au sein de l’administration et avec les citoyens. La signature électronique dite « avancée » de niveau 2 (la plus couramment utilisée par les entreprises) correspond aux certificats RGS** et RGS*** (authentification, signature électronique, confidentialité et horodatage).

Fonctionnement de la signature électronique : technicité

La signature électronique utilise la cryptographie asymétrique. Elle permet de prouver que le document n’a pas été altéré (intégrité) et que la personne qui a signé le document est celui qui détient la clé privée associée à la clé publique permettant de vérifier la signature (authentification). Le chiffrement asymétrique nécessite une clé servant à coder et une autre servant à décoder. Les deux clés forment un couple, l’une n’allant pas sans l’autre. De ce fait, la signature numérique est basée sur deux algorithmes : le condensat ou hachage et le chiffrement ou cryptage. La fonction de hachage détermine une empreinte servant à identifier et à garantir l’intégrité des données. La fonction de chiffrement quant a lui garanti la confidentialité du message. L’ajout de l’horodatage (date et heure) est un plus. Les signatures numériques permettent de vérifier l’origine de l’information et son authenticité.  Des certificats électroniques pour vérifier la validité de la clé publique ? Il s’agit dans la majorité des cas d’un certificat numérique porté sur différents supports (carte à puce, clé USB, carte d’identité, PC, smartphone, etc.) ayant pour fonction d’identifier le signataire d’une part et de sceller le document pour en garantir l’intégrité, d’autre part. Les certificats sont délivrés par une autorité de certification qui peut-être une entreprise ou une organisation permettant de valider l’identité de personnes morales ou physiques. Le certificat utilise le même procédé cryptographique que la signature électronique.  L’authentification du signataire est généralement garantie par un dispositif de sécurité (code PIN envoyé par SMS, copie de la carte d’identité). L’authentification peut s’effectuer par e-mail, code d’accès, téléphone, SMS ou questions à choix multiples. Des systèmes de double authentification (envoi de SMS de confirmation au signataire) garantissant l’identité de ce dernier peuvent être ajoutés. La signature électronique assure également la traçabilité des documents signés et empêche toute modification à postériori via un certificat électronique.

Signature électronique et RGPD

Les données personnelles telles que le nom, prénom, adresse, mail, numéro de téléphone … sont utilisées dans l’application de la signature électronique (SE). Aussi, le prestataire fournissant l’outil SE doit en garantir la confidentialité et leur sécurité. Comment ? Le RGPD et l’eiDAS s’appliquant à l’union européenne, il est judicieux de recourir à un PSCQ installé sur le territoire européen qui obligatoirement respecte les conditions de protection des données personnelles puisque soumis à l’application de la règlementation. L’archivage des documents électroniques doit respecter la durée légale de conservation des données. Pour être certain de choisir un logiciel de signature électronique fiable et sécurisant, il est donc préférable de se fier aux services certifiés et reconnus tiers de confiance, dont le niveau de sécurisation est garanti.

Signature électronique et SI : API, connecteurs et archivage

La signature électronique s’intègre parfaitement au sein du système d’information (GED, SAE, SAP, SharePoint, Microsoft, site intranet, boite mail…). Les collaborateurs peuvent signer les documents directement depuis leur application métier et depuis n’importe quels outils IT (mobile ou tablette). Il peuvent, ensuite, le déposer ou l’archiver dans un SAE ou coffre-fort numérique. L’interopérabilité des machines s’effectue par l’intermédiaires de programmes qu’il faudra développer (API) si nécessaire ou grâce à des connecteurs, si l’outil de signature électronique ne s’intègre pas au SI. C’est le cas de Salesforce, par exemple.

« En matière d’archivage, l’interopérabilité se définit comme la capacité à transférer des archives d’un système à un autre selon les normes en vigueur (NF Z42-013 et NF Z42-020) dans le cadre de la réversibilité des archives. Le prestataire se chargeant de l’archivage qu’il soit le prestataire en charge de la signature électronique ou de l’archivage électronique des documents signés et des éléments de preuves doit donc respecter ce cadre ».