Selon une enquête Archimag réalisée en mai 2020 auprès de 136 organisations françaises, 39 % d’entre elles utilisent déjà la signature électronique depuis une ou plusieurs années. La tendance devrait d’ailleurs se poursuivre : elles sont 19 % à vouloir s’en équiper cette année (2020/2021), et 24 % à l’envisager pour les années à venir. Une décision qui s’explique notamment par le confinement lié au Covid-19, décisif pour près de 70 % des répondants.
L’aspect juridique de la signature électronique
La signature électronique est régie par le règlement européen eiDAS qui fixe la liste par pays, des prestataires de services de confiance qualifiés, délivre des certifications et établit le principe de non- discrimination : la signature électronique a la même valeur juridique que la signature manuscrite.
Le règlement eiDAS est transcrit en France par l’ANSSI (organe de contrôle des PSCQ ou prestataires de services de confiance qualifiés en s’assurant de leur conformité avec le règlement européen). Les articles 1366 et 1367 du code civil français et l’art. 26 du règlement eiDAS définis fonctionnellement la signature électronique : identification, consentement et intégrité. Les conditions suivantes doivent être réunies :
- Authentique : l’identité du signataire doit pouvoir être retrouvée de manière certaine.
- Infalsifiable : la signature ne peut pas être falsifiée. Quelqu’un ne peut se faire passer pour un autre.
- Non réutilisable : la signature n’est pas réutilisable. Elle fait partie du document signé et ne peut être déplacée sur un autre document.
- Inaltérable : un document signé est inaltérable. Une fois qu’il est signé, on ne peut plus le modifier.
- Irrévocable : la personne qui a signé ne peut le nier.
« La signature, lorsqu’elle est électronique consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ».
Et le rgs (Référentiel Général de Sécurité) ?
Le RGS fixe les règles de sécurité que les systèmes d’information doivent respecter pour assurer :
- La disponibilité
- L’intégrité
- La confidentialité
- L’authentification
- La traçabilité des informations des usagers
Il vise à renforcer la sécurité et la confiance dans les échanges au sein de l’administration et avec les citoyens. La signature électronique dite « avancée » de niveau 2 (la plus couramment utilisée par les entreprises) correspond aux certificats RGS** et RGS*** (authentification, signature électronique, confidentialité et horodatage).
Fonctionnement de la signature électronique : technicité
La signature électronique utilise la cryptographie asymétrique. Elle permet de prouver que le document n’a pas été altéré (intégrité) et que la personne qui a signé le document est celui qui détient la clé privée associée à la clé publique, permettant de vérifier la signature (authentification). Le chiffrement asymétrique nécessite une clé servant à coder et une autre servant à décoder. Les deux clés forment un couple, l’une n’allant pas sans l’autre.
La signature numérique se base sur deux algorithmes :
- Le condensat ou hachage
- Le chiffrement ou cryptage.
Le hachage détermine une empreinte. Celle-ci sert à identifier et à garantir l’intégrité des données. Le chiffrement préserve la confidentialité du message.
L’ajout de l’horodatage (date et heure) est un plus. Les signatures numériques permettent de vérifier l’origine de l’information et son authenticité.
Des certificats électroniques pour vérifier la validité de la clé publique ?
Il s’agit d’un certificat numérique porté sur différents supports (carte à puce, clé USB, carte d’identité, PC, smartphone, etc.) ayant pour fonction :
- d’identifier le signataire
- de sceller le document pour en garantir l’intégrité
Une autorité de certification (entreprise/organisation) délivre les certificats permettant de valider l’identité de personnes morales ou physiques.
Le certificat utilise le même procédé cryptographique que la signature électronique. Un dispositif de sécurité (code PIN envoyé par SMS, copie de la carte d’identité) garantit l’authentification du signataire.
L’authentification s’effectue par e-mail, code d’accès, téléphone, SMS ou questions à choix multiples. Des systèmes de double authentification (envoi de SMS de confirmation au signataire) garantissant l’identité de ce dernier peuvent être ajoutés.
La signature électronique assure la traçabilité des documents signés et empêche toute modification à postériori via un certificat électronique.
Signature électronique et RGPD
Les données personnelles telles que le nom, prénom, adresse, mail, numéro de téléphone … sont utilisées dans l’application de la signature électronique (SE). Aussi, le prestataire fournissant l’outil SE doit en garantir la confidentialité et leur sécurité. Comment ?
Le RGPD et l’eiDAS s’appliquant à l’union européenne, il est judicieux de recourir à un PSCQ installé sur le territoire européen qui respecte les conditions de protection des données personnelles puisque soumis à l’application de la règlementation. L’archivage des documents électroniques doit respecter la durée légale de conservation des données.
Pour être certain de choisir un logiciel de signature électronique fiable et sécurisant, il est donc préférable de se fier aux services certifiés et reconnus tiers de confiance dont le niveau de sécurisation est garanti.
Signature électronique et système d’information : api, connecteurs et archivage
La signature électronique s’intègre parfaitement au sein du système d’information (GED, SAE, SAP, SharePoint, Microsoft, site intranet, boite mail…). Les collaborateurs peuvent signer les documents directement depuis leur application métier et depuis n’importe quels outils IT (mobile ou tablette). Il peuvent, ensuite, le déposer ou l’archiver dans un SAE ou coffre-fort numérique.
L’interopérabilité des machines s’effectue par l’intermédiaires de programmes qu’il faudra développer (API) si nécessaire ou grâce à des connecteurs, si l’outil de signature électronique ne s’intègre pas au SI. C’est le cas de Salesforce, par exemple.
« En matière d’archivage, l’interopérabilité se définit comme la capacité à transférer des archives d’un système à un autre selon les normes en vigueur (NF Z42-013 et NF Z42-020) dans le cadre de la réversibilité des archives. Le prestataire se chargeant de l’archivage qu’il soit le prestataire en charge de la signature électronique ou de l’archivage électronique des documents signés et des éléments de preuves doit donc respecter ce cadre ».
