Comment choisir le bon niveau de signature électronique ?
Vous souhaitez mettre en place la signature électronique dans votre entreprise, mais vous ne savez pas quel niveau de signature utiliser ?
Chez Universign (Signature Group), nous accompagnons justement des milliers d’entreprises pour les aider à faire le bon choix entre protection et conformité juridique, et fluidité de l’expérience utilisateur.
Avec cet article, vous aurez ainsi toutes les clés pour déterminer le niveau de signature le plus adapté à votre cas.
Qu’est-ce qu’un niveau de signature ?
Les méthodes d’identifications
Pour identifier un signataire dans une signature électronique, vous pouvez utiliser plusieurs méthodes plus ou moins fiables, et plus ou moins contraignantes à mettre en place :
- Confirmation d’informations personnelles
(KYC – Know Your Customer, KYB – Business, KYV – Vendor) - Envoie d’un lien ou d’un code par email
- Envoie d’un code par SMS
- Transmission d’une pièce d’identité
- Vérification de l’identité en face à face
- Vérification de l’identité à distance
- Etc.
Plus les méthodes d’identification sont fiables et nombreuses, plus vous minimisez le risque d’usurpation d’identité et de contestation de la signature, et plus votre niveau de signature sera élevé.
Les niveaux de signature définissent les méthodes d’identifications
Pour harmoniser les pratiques, le règlement Européen eIDAS, qui encadre la signature électronique en Europe, a défini 4 niveaux de signatures. Chaque niveau se différencie par les méthodes d’identification exigées :
- Signature Simple : n’impose aucune identification particulière.
- Signature Avancée : exige une transmission de pièce d’identité.
- Signature Avancée avec certificat qualifié : exige l’émission d’un certificat qualifié via une vérification de l’identité du signataire en face-à-face par une personne mandatée.
- Signature Qualifiée : exige l’émission d’un certificat qualifié via un système informatique lui-même qualifié.
Les 4 niveaux de signatures, leurs avantages et inconvénients
Signature Simple
Définition : La signature simple est la plus utilisée, et représente environ 90% des signatures électroniques.
Elle n’impose pas de vérification de l’identité (pas de transmission d’une pièce jointe) et repose sur des authentifications électroniques comme l’email, le numéro de téléphone et l’adresse IP.
Chez Universign (Signaturit Group), nous incluons l’envoie d’un code par SMS pour renforcer la fiabilité de la signature simple par exemple.
Avantages : Elle est très simple à mettre en place, facile et rapide à utiliser. Elle est peu contraignante pour vos signataires. Elle offre un très bon compromis entre la protection juridique et l’expérience utilisateur dans la plupart des cas.
Inconvénients : Elle est plus simple à invalider et offre un niveau de sécurité juridique faible. Elle n’est pas recommandée lorsque le risque de litige est important.
Signature Avancée
Définition : La signature avancée exige d’identifier le signataire de manière univoque, via la création d’un certificat d’identité émis à son nom. Concrètement, la personne doit transmettre une copie de sa pièce d’identité lors de la signature. Cette information est déclarative, et il n’y a pas d’obligation de contrôle de l’identité par un tiers compétent et indépendant.
Chez Universign (Signaturit Group), notre solution permet de vérifier que les pièces d’identités transmises sont authentiques, pour écarter les fausses.
Avantages : Elle offre une protection juridique plus forte que la signature simple et offre un compromis encore acceptable entre protection juridique et simplicité d’utilisation. Elle est facile à intégrer et reste assez simple d’utilisation pour vos signataires, le parcours de signature restant 100% digital.
Inconvénients : Elle est plus contraignante à utiliser car elle exige de transmettre une pièce d’identité. Elle offre une protection juridique moyenne qui ne permet pas de couvrir les risques importants.
Signature avancée avec certificat qualifié
Définition : Comme son nom l’indique, la signature avancée avec certificat qualifié impose la création d’un certificat qualifié. Dans les faits, l’identité du signataire doit être vérifiée en face-à-face par un Opérateur d’Enregistrement Délégué (OED). Cet OED est lui-même mandaté par une Autorité de Certification (comme Universign – Signaturit Group par exemple).
Cette vérification physique permet d’émettre un certificat qualifié valable pour une durée de 5 ans, et permet d’identifier le signataire de manière fiable.
Lors de chaque signature, le signataire doit tout de même transmettre sa pièce d’identité.
Chez Universign (Signaturit Group), nos certificats qualifiés ont une durée de 5 ans et sont émis à votre nom. Les solutions concurrentes ne disposent pas de ce niveau de personnalisation, et proposent des certificats à leur nom allant d’une durée de 1 à 3 ans seulement.
Avantages : Elle offre une protection juridique très forte.
Inconvénients : Elle est très contraignante à mettre en place car exige un rendez-vous physique avec une personne mandatée (OED).
Signature qualifiée
Définition : La signature qualifiée est le plus haut niveau de signature. Elle impose l’utilisation d’un certificat qualifié (cf. la signature avancée avec certificat qualifié juste au-dessus pour l’explication) à la différence que le dispositif informatique utilisé pour créer le certificatsoit lui-même certifié. C’est ce qu’on appelle un QSCD pour Qualified Signature Creation Device.
Le QSCD utilisé lors de la création du certificat qualifié est détenu par le Prestataire de Services de Confiance (PSCo), c’est-à-dire le fournisseur de la solution de signature électronique utilisée, comme Universign (Signature Group) par exemple.
A cette condition, alors la signature est dite qualifiée.
Les PSCo sont des sociétés certifiées en Europe pour l’exécution de services de confiance comme la signature électronique. La liste des PSCo figure sur le site du règlement eIDAS. En France, c’est l’ANSSI qui délivre ces certifications aux sociétés françaises. Le groupe Universign (France, Cryptolog International) – Signaturit (Espagne, Signaturit Solutions) fait partie de cette liste.
Avantages : Elle offre la protection juridique la plus forte possible, et inverse la charge de la preuve. C’est à la personne qui conteste la signature de prouver l’usurpation de son identité.
Inconvénients : Elle est extrêmement complexe à mettre en place pour vos signataires, et peu de prestataires proposent ce niveau de signature. Elle n’est recommandée que lorsque la loi l’impose. Certaines solutions de vérifications à distance commencent néanmoins à voir le jour, et les premiers Prestataires de Vérification d’Identité à Distance (PVID) ont reçu leur certifications eIDAS récemment.
Tableau comparatif
En résumé, plus vous utilisez un niveau de signature élevé, plus vous serez protégé en cas de contestation de la signature, mais plus elle est complexe à utiliser par vos signataires.
Comment choisir le bon niveau de signature ?
Les critères à prendre en compte
Pour choisir le bon niveau de signature, vous allez devoir réaliser une analyse de risque pour chaque document à signer électroniquement, en évaluant les 4 critères suivants :
- Portée du document : Avez-vous besoin d’une reconnaissance nationale, européenne ou internationale ?
- Type de document : S’agit-il d’un acte notarié, d’une décision administrative, d’une souscription, etc. ?
- Obligations réglementaires : Y a-t-il un niveau minimal de signature électronique obligatoire à respecter ?
- Risque financier en cas de litige : Le risque de litige est-il peu ou fortement probable ? Quel est l’impact de l’annulation de l’acte signé ?
Selon vos réponses, vous pouvez suivre cet arbre décisionnel pour guider votre décision. Attention, cet arbre est générique et ne s’applique pas forcément à votre cas.
Les exemples types
La théorie n’est pas toujours facile surtout pour des sujets aussi complexes. Nous vous proposons ce tableau avec des exemples types pour vous aider à y voir plus clair.
Quelques cas pratiques
Si vous souhaitez aller plus loin dans les exemples, voilà 5 cas fréquents qui vous aideront peut-être à déterminer le niveau de signature le plus adapté.
- Un document RH ou interne à votre entreprise
Ces documents ne présentent quasiment aucun risque de fraude et financier. Une signature simple dans la majorité des cas fera l’affaire, et dans de rares cas une signature avancée. Elles sont toutes deux assez fortes juridiquement pour faire valoir vos droits, et restent très faciles à mettre en place et à utiliser par vos employés. - Souscription B2C (forfait internet, mobile, assurance habitation, complémentaire…)
Les risques de fraude et financier en cas de litige sont faibles. La portée de ce type de contrat est souvent nationale. La signature simple est donc la solution la plus utilisée dans ce cas de figure, offrant un parcours de souscription extrêmement fluide à vos futurs clients. Elle est idéale pour maximiser votre taux et votre temps de conversion. - Contrat B2B, client ou fournisseur
L’impact juridique ou financier en cas de nullité, et la portée internationale de votre document peuvent vous orienter vers une signature simple, avancée, ou avancée avec certificat qualifié selon le cas de figure. - Acte notarié
Le risque juridique et financier est très important en cas de nullité de la signature électronique. Nous vous recommandons d’opter pour une signature avancée avec certificat qualifié pour les actes sous seing privé, ou une signature qualifiée pour les actes authentiques. Ces deux signatures sont les seules à prouver l’identité du signataire avec certitude. - Appel d’offre pour un marché public
Pour tout appel d’offre, la commande publique impose un certain niveau de signature auquel vous devez vous conformez à minima.
Besoin d’aide pour choisir le bon niveau ? Nos experts vous conseillent
Chez Universign (Signature Group), nous accompagnons des milliers d’entreprises pour choisir le bon niveau de signature électronique, en fonction des critères juridiques, réglementaires et de l’expérience utilisateur que vous voulez proposer.
De la conception de votre cahier des charges jusqu’à l’intégration de la signature électronique dans vos parcours clients, nos équipes sont là pour vous aider à prendre les bonnes décisions rapidement.
Contactez-nous pour discuter de votre projet, et voir quel niveau de signature électronique vous conviendrait le mieux.