Processus de signature électronique : termes et définitions

par
Processus de signature électronique : termes et définitions

Nombreuses sont les sources d’informations et les définitions de termes autour de la signature électronique sur la toile via Wikipedia, ESIGN act, eIDAS. Comprendre les spécificités des différents processus de signature électronique (ou e-signature) permet de mieux identifier leurs rôles. Ce blog a pour but d’examiner les aspects clés des signatures électroniques et par conséquent, vous aider à trouver la solution de e-signature la plus adaptée à vos besoins.

Comment la signature électronique garantit l’identité du signataire :

La classification de la signature électronique dépend de plusieurs facteurs tel que le degré d’authentification concernant l’identité du signataire, la valeur de la transaction à approuver ainsi que la connaissance des exigences techniques.

Avant d’aller plus loin, identifions les deux grandes catégories de e-signature :

Une signature électronique de base confirme l’intention du signataire de signer en lui faisant accuser réception de la demande et en enregistrant cette action dans le document terminé. En revanche, une signature numérique(1) utilise un certificat numérique(2) pour authentifier le signataire. Une signature numérique est un type de signature électronique par défaut, car elle inclut l’intention de signer. Cependant, l’inverse n’est pas vrai.

(1) La signature numérique s’appuie sur un certificat numérique. Quand il est utilisé, le PDF signé électroniquement contient une information permettant d’identifier le signataire ainsi que des données chiffrées garantissant l’intégrité du document. La signature numérique peut être affichée dans l’interface d’Acrobat Reader elle-même. Lors de l’ouverture du PDF, la signature sera automatiquement approuvée, à condition qu’elle figure sur la liste de confiance approuvée par Adobe (AATL).

(2) Ce fichier comprend l’identité du signataire, le nom de l’autorité qui délivre le certificat et la clé utilisée pour le chiffrement. Le certificat peut être stocké dans un fichier (par exemple pfx), un magasin de certificats,un  HSM, ou une clé USB.

Ma signature électronique utilise-t-elle un certificat numérique ?

Cette question simple permet de différencier les deux grandes catégories de signature électronique. Examinons de plus près ce que votre réponse pourrait vous dire sur votre processus d’e-signature :

«Non, ma signature électronique n’utilise pas de certificat numérique» : l’identification du signataire repose sur des critères de processus pour authentifier la signature électronique. La précision de l’identification d’un signataire dépend du nombre et de la pertinence des critères. Ces critères peuvent inclure l’adresse e-mail du propriétaire pour recevoir l’URL d’un document, le numéro de téléphone portable auquel un code unique est envoyé, l’adresse IP de l’appareil pour accéder au document et les coordonnées GPS du signataire électronique. Ces éléments peuvent être utilisés pour prouver le consentement lorsqu’ils sont répertoriés dans un fichier de preuve. Ce fichier est ensuite joint au document signé électroniquement, qui est verrouillé par un cachet numérique et un horodatage. Cela établit l’identité du signataire.

«Oui, ma signature électronique utilise un certificat numérique» : cela serait considéré comme une signature numérique. En conséquence, l’identité du signataire dépend de la qualité du certificat. Plus précisément, cela dépend s’il s’agit d’un certificat auto-signé(3) ou d’un certificat qualifié(4).

(3) N’importe qui peut créer son propre certificat avec des informations individuelles. Ce type de certificat ne peut pas garantir l’identité d’un signataire

(4) Cela signifie que le document est livré par un tiers de confiance chargé de la vérification de l’identité du signataire. Un certificat numérique qualifié doit rester sur une clé USB, une carte ou un module de sécurité matérielle (HSM) pour être valide. Les HSM sont utilisés pour gérer plusieurs certificats numériques dans le même espace sécurisé.

Qu’est-ce qui définit le niveau de sécurité du processus d’e-signature ?

Décrivons les quatre grandes classes de signature. Gardez à l’esprit que le niveau de sécurité augmente avec l’enrichissement du processus d’e-signature. Un workflow de signature électronique peut faire toute la différence.

La «signature électronique standard» d’entrée de gamme consiste simplement à enregistrer l’intention de signer. Que la signature électronique soit dessinée à la souris ou au doigt, un nom tapé sur clavier ou une image, la signature est considérée comme valide, à condition que l’intention du signataire soit clairement enregistrée.

La «signature électronique standard renforcée» est fournie lorsque le processus de signature électronique rassemble des détails supplémentaires(5) pour vérifier l’identité du signataire. Ces détails sont enregistrés pour garantir l’intégrité du document(6) . Ensemble, ils constituent la preuve nécessaire de l’identité d’un signataire.

La «signature électronique avancée» utilise un certificat numérique. Pour cette catégorie, il n’y a aucune exigence concernant la qualité du certificat. Bien que le signataire électronique puisse utiliser un certificat d’auto-signature, cela ne peut garantir l’identité du signataire.

Enfin, une «signature électronique qualifiée», stockée sur un support, garantit l’identité du signataire électronique en utilisant un tiers de confiance pour la vérification du certificat(7) . Ce type de signature offre le plus haut niveau de sécurité d’identité du signataire électronique et est l’équivalent juridique d’une signature manuscrite.

(5) Les exemples incluent l’adresse e-mail du signataire, le numéro de téléphone portable pour recevoir un code unique, l’adresse IP et les coordonnées GPS. Tous ces détails sont enregistrés séquentiellement pour les e-signataires successifs du même document.

(6) Habituellement, toutes les étapes et détails de la signature électronique sont enregistrés et joints au document, qui est ensuite scellé avec un certificat numérique et un horodatage.

(7) Un tiers de confiance ou une autorité gouvernementale peut effectuer un enregistrement vidéo en direct, auquel le signataire participe et enregistrer sa carte d’identité ou son passeport pour vérification.


Symtrax propose un support aux signatures électroniques ou numériques grâce à Compleo Hybrid. Contactez-nous aujourd’hui pour en savoir plus.


Références :