Dans un précédent article, nous avons évoqué une pratique en forte croissance dans le milieu médical: la dématérialisation du consentement du patient. Pour administrer des soins ou un traitement en toute légalité et en conformité avec la déontologie médicale, tout professionnel de santé se doit de recueillir le consentement de son patient. Lorsque cela est fait de manière informatisée, une étape du processus requiert d’authentifier l’identité du patient et de lui faire signer le document de consentement grâce à une signature électronique. En France et dans l’Union européenne, la signature électronique a une forte valeur légale et l’évolution récente de la loi a prouvé sa valeur juridique. Cependant, il existe plusieurs solutions et niveaux de sécurité de signatures électroniques qui ne se valent pas. On vous explique comment la signature électronique est reconnue en France et dans l’Union européenne, et on vous présente les différents types de signatures électroniques et les niveaux de sécurité associés.

SOMMAIRE

  1. La valeur juridique de la signature électronique en France
  2. Le règlement européen eIDAS 
  3. Les différents niveaux de sécurité de la signature électronique 

La valeur juridique de la signature électronique en France

En France, la valeur juridique de la signature électronique est établie par l’article 1367 du Code Civil. Il définit la signature électronique de la manière suivante: « La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte. Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat ». En résumé, le Code Civil considère un procédé numérique comme signature électronique « l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel il s’attache ». Le Code Civil ne fait aucune différence de fond entre une signature manuscrite et une signature électronique, tant que cette dernière permet:

  1. D’identifier son auteur et le signataire
  2. Afficher le consentement du ou des signataires
  3. Faire le lien entre le document signé et la ou les personnes physiques.

Si la loi française encadre l’utilisation de la signature de cette façon, c’est parce que l’Union européenne a légiféré sur le sujet et établi un socle commun pour sécuriser les interactions électroniques entre les citoyens, les entreprises et les autorités publiques.

Le règlement européen eIDAS sur la signature électronique

En 2014, les pays membres de l’Union européenne ont voté le règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 relatif à “l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur”. Ce règlement a abrogé la directive en place depuis 1999 et contraint les Etats membres de l’Union européenne à préciser et renforcer les conditions de validité de la signature électronique. Pour se conformer au règlement européen, plus connu sous le nom de “eIDAS”, la France a donc instauré le décret n°2017-1417 du 28 septembre 2017 relatif à la signature électronique. L’article 1 de ce Décret dispose : « La fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. Est une signature électronique qualifiée une signature électronique avancée, conforme à l’article 26 du règlement susvisé et créée à l’aide d’un dispositif de création de signature électronique qualifié répondant aux exigences de l’article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l’article 28 de ce règlement ». En clair, ce décret précise les critères exigés pour assurer une fiabilité, une sécurité et une reconnaissance légale maximum de la signature électronique dans l’Union européenne. Une signature électronique dite “avancée” se rapproche le plus des exigences de sécurité préconisées par le règlement eIDAS. Il définit trois types de signatures électroniques.

Les différentes catégories de signatures électroniques

Le règlement eIDAS distingue plusieurs types de signatures électroniques et plusieurs niveaux de sécurité: la signature électronique simple, avancée ou qualifiée. Selon ce règlement, la signature électronique correspond à « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer ». Afin d’assurer un maximum de sécurité, la signature doit idéalement respecter les normes de signature ETSI (Institut européen des normes de télécommunications) et du Règlement eIDAS. Elle doit aussi faire l’usage d’un certificat électronique, inclure un moyen de vérifier l’identité du signataire et de prouver que le document n’a pas été modifié après signature. Pour cela, il est recommandé de faire appel à un tiers de confiance et une autorité de certification reconnue pour réaliser ses signatures électroniques. La liste des autorités de certification européennes qualifiées est consultable sur le site de la Commission européenne. Ce qui différencie les trois types de signatures, c’est donc le niveau de sécurité obtenu grâce aux critères cités précédemment et aux multiples étapes mises en place pour valider l’identité du signataire. En sommes, plus il y a de preuves sur l’identité de la personne signataire et de preuves que le document signé est bien celui adressé, plus la signature sera forte.

La signature électronique simple

C’est le type de signature correspondant au premier stade de sécurité et de reconnaissance légale pour la signature de documents. A ce jour, la majorité des signatures électroniques sont “simples” car considérées plus adaptées et permettant un usage rapide. Par exemple, les signatures manuscrites scannées ou les signatures réalisées sur la bornes des livreurs qui vous apportent vos colis sont des signatures simples. Il faut savoir qu’il n’existe pas encore de liste faisant référence aux exigences liées à ce modèle de signature. Il n’y a pas vraiment de processus préétabli pour vérifier l’identité ou le consentement du signataire. Cela signifie qu’il pourra facilement nier avoir signé le document. Cependant, il est possible de rajouter une étape d’authentification pour renforcer la sécurité de la signature et acquérir une valeur légale plus importante. Par exemple, l’envoie d’un code par SMS nécessaire à la signature du document peut être une solution. De même, la constitution d’un dossier de preuves retraçant les étapes d’authentification du signataire est une solution pour apporter un niveau de crédibilité supérieur en cas de contestation de la signature. Ce dossier peut contenir l’adresse e-mail du signataire, son numéro de téléphone, son adresse IP…

La signature électronique avancée

Le niveau “avancé” repose quant à lui sur des moyens d’identification plus poussés et doit répondre à des critères de vérification d’identité plus strictes. La signature doit:

  • Être liée au signataire de manière univoque;
  • Permettre d’identifier le signataire:
  • Avoir été créé à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif;
  • Être liée aux données qui lui sont associées de telle sorte que toute modification ultérieure des données soit détectable.

Par conséquent, la signature avancée est plus sécurisée et est recommandée dans le cadre de signatures de documents à enjeux juridiques importants. Pour répondre aux critères cités précédemment, il est possible de mettre un place un système de téléchargement et de vérification de la pièce d’identité du signataire, et de l’ajouter dans un dossier de preuves. Il existe d’autres façons de renforcer la preuve du consentement du signataire: ajout d’une case à cocher attestant de la bonne compréhension du document, texte à recopier…Cela ne fera que renforcer la preuve d’implication du signataire dans la signature du document en cas de litiges. Autrement, il est possible de générer un certificat qualifié. Cette procédure nécessite la vérification de l’identité du signataire, en face à face ou en distanciel. Cette solution est encore plus renforcée et se rapproche de la signature qualifiée.

La signature électronique qualifiée

Elle correspond au niveau de sécurité le plus avancé et se différencie largement de la signature électronique simple d’un point de vue légal. Ce niveau de signature est soumis à des contraintes réglementaires précises en matière de vérification de l’identité du signataire et de protection de la clé de signature, nécessaire à la signature du document. Seules les instances certifiées fiables par une autorité de certification peuvent produire une signature électronique qualifiée. En amont, ces autorités de certification sont contrôlées par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). En sommes, la procédure de signature qualifiée contient les mêmes critères de sécurité que la signature avancée, mais requiert que l’identité du signataire soit validée avant le moment de la signature du document et que la clé de signature se trouve dans un dispositif qualifié de création de signature électronique, abrégé “QSCD”. La validation de l’identité du signataire par l’autorité de certification peut alors se faire à l’occasion d’une rencontre physique, au cours de laquelle le signataire recevra un moyen d’identification matériel que l’on appelle souvent “token” (clé USB, badge, carte à puce…). Il sera activé après saisie d’un code PIN sur téléphone mobile. Ce niveau de signature peut se révéler très contraignant, c’est pourquoi il ne concerne que certaines signatures bien précises comme les actes de notaires, d’huissiers de justice, greffes de tribunaux…

Quel que soit le niveau de sécurité, la mise en place d’une signature électronique requiert de bien analyser le contexte réglementaire et juridique afin d’identifier les contraintes et risques liées à la signature des documents concernés. Plus le dossier de preuves sur l’authentification du signataire et sur la réalisation de la procédure sera poussé, plus la signature aura une valeur juridique solide et moins elle pourra être contestée. Pour choisir un type de signature électronique, il ne vous reste alors qu’à déterminer si vous souhaitez faire de la sécurité une priorité, ou si vous accordez une plus grande importance à l’expérience utilisateur.