Comment choisir son prestataire de signature électronique ?
La signature électronique n’est pas un acte anodin et engage vos signataires et votre entreprise pour des années, voire même plusieurs décennies.
Il est alors primordial de bien choisir votre prestataire pour garantir que cette signature est réalisée dans les règles de l’art et vous protège efficacement en cas de litige.
Mais la signature électronique ne se limite pas qu’à des critères légaux. L’accompagnement, les fonctionnalités ou l’intégration sont autant de points à prendre en compte dans votre réflexion.
Dans cet article, nous listons les 8 points essentiels pour choisir le prestataire de signature électronique qui vous convient.
1. Le prestataire a-t-il les certifications nécessaires ?
Quand vous choisissez un prestataire de signature électronique en France ou en Europe, vous devez vous assurer qu’il est bien qualifié Prestataire de Services de Confiance (PSCo), ou Trust Service Provider (TSP) en anglais.
En France, cette certification est délivrée par l’ANSSI. Elle garantit que le prestataire répond aux exigences du règlement européen eIDAS. C’est un gage extrêmement fort de la fiabilité de ce prestataire.
Le règlement eIDAS définit les grands principes à suivre pour la reconnaissance légale de la signature électronique dans l’UE, et est parmi les plus strictes dans le monde.
Lorsqu’une entreprise est qualifiée PSCo dans un pays membre de l’UE, elle est d’ailleurs automatiquement reconnue comme PSCo dans tous les autres pays membres. Vous pouvez trouver la liste des PSCo sur le site eIDAS.
En plus d’être qualifié PSCo, nous vous conseillons de regarder les qualifications des services proposées par le prestataire.
Si vous avez besoin de services comme la signature de niveau qualifiée, la conservation de signature électronique ou la validation de signature électronique, alors vous devrez vous assurer que votre PSCo dispose bien des qualifications eIDAS nécessaires.
Par exemple, Universign dispose des qualifications eIDAS suivantes (Cryptolog Internationale étant le nom de notre entité légale) :
2. Comment devez-vous conserver les documents signés avec ce prestataire ?
Lorsque vous faites signer un document électroniquement, vous devez le conserver de façon à en garantir son intégrité et son authenticité durant toute la durée de conservation.
Comme expliqué dans notre article dédié aux méthodes de conservation, il en existe deux pour répondre à cette exigence d’intégrité :
- Extension LTV (Long Time Validation)
Régulièrement, votre PSCo vient apposer un nouvel horodatage qualifié sur votre document signé électroniquement. (L’horodatage qualifié est une opération cryptographique qui permet de garantir qu’un document existe et n’a pas été modifié ou altéré depuis la date où l’horodatage a été apposé.)
Votre document signé est alors autoporteur de cette garantie d’intégrité et d’authenticité, et vous pouvez le stocker où bon vous semble, votre PSCo en conservant une copie authentique qu’il étendra avec l’horodatage.
Pour résumer très simplement, cet horodatage agit comme une surcouche de protection bénéficiant des dernières avancées technologiques, et vient garantir que le document n’a pas été modifié ou altéré depuis l’application de cet horodatage, et qu’il est parfaitement authentique. - Archivage: SAE (Système d’Archivage Electronique) ou CFN (Coffre-Fort Numérique)
Vous stockez votre document signé dans un espace qui garantit l’intégrité de votre document.
Le SAE ou le CFN enregistre une preuve de dépôt et des journaux de preuves régulièrement permettant de vérifier que votre document n’a pas été modifié ou altéré sans autorisations.
Même si ces deux méthodes vous garantissent l’intégrité de vos documents, il y a un point sur lequel vous devez être sensibilisé : la validité de la signature dans le temps.
En effet, seule l’extension LTV permet de maintenir l’authenticité et la validité de la signature électronique sur toute la durée de conservation du document.
Concrètement, si vous ouvrez votre document 15 ans après sa date de signature et qu’il a bénéficié d’une extension LTV, la signature apparaitra comme « signée au moyen de signatures valables » sur Acrobat Reader (ou tout autre logiciel de validation de signature électronique).
En revanche, votre signature apparaitra comme « pas valable » ou présentant « un problème » si vous avez conservé votre document par archivage, quand bien même elle est parfaitement authentique et conforme. Ce sont les preuves de dépôt et journaux de preuves de votre SAE ou CFN qui vous serviront à prouver que la signature était belle et bien valable lorsqu’elle a été faite.
Si vous souhaitez vous affranchir de ce problème, et garantir la validité de vos signatures au-delà de 3 ans, nous vous conseillons de choisir un PSCo offrant un service d’extension LTV,comme c’est le cas chez Universign (Signaturit Group).
Pour creuser ce point, vous pouvez lire notre article dédié : Comment conserver un document signé électroniquement ?
3. Propose-t-il les bons niveaux de signatures ?
Vérifiez que votre prestataire dispose des niveaux de signature électronique que vous souhaitez mettre en place.
Si ce point est une formalité pour les niveaux de signatures simples et avancées, il n’en est rien pour les niveaux plus élevés.
Les niveaux de signature avancée avec certificat qualifié et de signature qualifiée sont uniquement proposés par des PSCo disposant des qualifications eIDAS correspondantes.
Signaturit Group propose tous les niveaux de signature par exemple.
4. Le portail web est-il simple et intuitif à utiliser ?
Si vous décidez d’utiliser une solution de signature électronique via une app ou un portail web, nous vous recommandons de vérifier que les fonctionnalités dont vous avez besoin sont bien présentes :
- Le process pour envoyer un document à signer est-il simple, rapide et intuitif ?
- Peut-on facilement personnaliser l’ordre des signataires ? (qui signe avant qui)
- Peut-on ajouter un validateur ? (une personne qui valide le document avant qu’il ne soit envoyé aux signataires)
- Peut-on modifier les signataires dynamiquement ? (changer un signataire absent par un autre, sans devoir refaire signer tous ceux qui ont déjà signé le document par exemple)
- Peut-on créer des espaces de travail (workspace) par équipe ou avec des accès limités ?
- Peut-on ajouter des rappels automatiques pour relancer les signataires ?
- Peut-on envoyer des alertes à vos équipes quand des signataires n’ont toujours pas signé ?
Le portail web que nous avons développé chez Universign (Signaturit Group) vous permet de faire profiter de toutes ces fonctions très simplement. Regardez la démo d’Universign pour vous faire votre propre avis.
5. La solution s’intègre-t-elle facilement en API ?
Si vous souhaitez intégrer la signature électronique directement dans vos logiciels et outils métiers, vous pouvez utiliser une solution qui peut s’intégrer par API.
Dans ce cas, posez-vous les questions suivantes :
- Est-ce que le prestataire fournit la documentation d’intégration API ? Est-elle pratique ?
- Est-ce que la solution est simple et rapide à intégrer (cas clients) ?
- L’API offre-t-elle toutes les fonctionnalités dont vous avez besoin ?
- Est-ce que le support client peut vous aider en cas de problème ?
- Bénéficiez-vous d’une personne dédiée pour vous aider lors de l’intégration ?
Chez Universign (Signaturit Group), notre portail web est intégralement basé sur notre API, vous pourrez bénéficier de toutes nos fonctionnalités sans aucun souci.
Tous nos clients qui intègrent notre solution en API ont été ravi de la rapidité et la facilité d’intégration, quelques jours dans la plupart des cas. Regardez comment Yomoni a pu facilement intégrer la signature Universign dans son parcours client.
6. L’accompagnement est-il réactif, qualifié et personnalisé ?
De la conception de votre projet de signature électronique, jusqu’à son utilisation au quotidien par vos équipes, l’accompagnement est un facteur clé de succès à ne pas négliger.
L’accompagnement de nos clients est justement l’un des points forts d’Universign (Signaturit Group) : « L’accompagnement sur la conformité réglementaire et la valeur juridique de la solution Universign ont également fait toute la différence » ADIE, voir le case study.
Voilà les questions qui vous aideront à identifier le prestataire qui vous offre le bon niveau d’accompagnement et de support client :
- Y-a-t-il un accompagnement personnalisé, un ou une chef(fe) de projet dédié ?
- Y-a-t-il des experts techniques et juridiques pour vous accompagner ?
- Comment fonctionne le support client ?
- Où est-il situé ?
- Est-il internalisé ou sous-traité ?
- Quels sont les délais moyens de réponse et de résolution des tickets ?
- Quelle est la disponibilité du support ?
- Est-il inclus dans le prix ou en supplément ?
- Les clients en sont-ils satisfaits ?
Pour aller plus loin, vous pouvez télécharger notre guide Comment choisir le bon prestataire pour vous accompagner ?
7. La localisation du prestataire est-elle en adéquation avec votre stratégie ?
Pour des raisons multiples, la localisation du PSCo est souvent un critère de sélection pour nos prospects, et peut-être pour vous aussi.
Voici la liste des considérations qui sont régulièrement prises en compte :
- La nationalité du prestataire de signature électronique vous importe-t-elle ? (RGPD, rassurant, respects des normes, obligation dans l’appel d’offre, etc.)
- Une présence Européenne est-elle importante pour vous ?
- Dans quel pays sont stockées les données récoltées lors de la signature ?
- Ce prestataire est-il soumis au CloudAct américain ?
- Y-a-t-il une barrière de la langue, notamment pour le support client ?
- La zone économique a-t-elle une importance pour vous ?
8. Qu’en est-il du RGPD ?
Lors de la signature électronique, votre prestataire va collecter des données personnelles sur vos signataires : email, téléphone, adresses IP, pièce d’identité…
Vous avez alors deux cas qui s’offrent à vous :
- Votre prestataire est responsable de traitement :
Il a la charge de collecter et stocker les données personnelles, en accord avec le RGPD. Vous ne pouvez pas accéder à ces informations, excepté dans le cadre d’un litige. Dans ce cas de figure, vous recevrez un fichier de preuve contenant les données collectées sur votre signataire afin de pouvoir étayer votre dossier devant un juge. - Votre prestataire est sous-traitant de la donnée :
Vous avez la chargede stocker les données personnelles collectées par votre prestataire lors de la signature. Vous devez alors traiter ses données en accord avec le RGPD.
Un prestataire ne peut adopter que l’une ou l’autre des positions, mais pas les deux. La plupart des acteurs sur le marché sont sous-traitants de la donnée.
Au sein du groupe Signaturit, nous sommes on mesure de vous proposer les deux approches. Universign (Signaturit Group) est responsable de traitement, et Signaturit (Signaturit Group) est sous-traitant de la donnée.
Vous souhaitez mettre en place la signature électronique dans votre entreprise ? Nos experts techniques et juridiques sont là pour vous accompagner et vous guider à toutes les étapes de sa mise en place . Contacter nous pour discuter de votre projet.