Comment l’usurpation d’identité peut-elle être limitée grâce à la signature électronique ?

La signature électronique gagne du terrain à mesure que les entreprises se digitalisent… et elles se digitalisent vite ! Les particuliers ne sont pas en reste puisqu’ils l’utilisent de plus en plus. Néanmoins, vous êtes sans doute nombreux à vous être déjà demandés s’il n’existait pas un risque qu’une autre personne puisse usurper votre identité lors d’une signature électronique ou encore comment protéger au mieux vos données personnelles sur Internet.

Premier conseil : ne divulguez jamais un code SMS qui vous est envoyé sur votre mobile, il pourrait être utilisé à votre insu pour signer électroniquement une transaction ! Sachez ensuite que la signature électronique est très étroitement encadrée par la réglementation européenne eIDAS. Celle-ci harmonise les différentes législations des Etats Membres en la matière, assure une relation de confiance entre les signataires et renforce le cadre juridique en créant le statut de Prestataire de Services de Confiance (PSCo) qui offre des services reconnus en Europe.

Ainsi, la signature électronique garantit l’intégrité du document signé (vous avez la certitude que le contenu ne sera pas modifié à votre insu) et l’identification des signataires pour avoir la même valeur probante qu’une signature manuscrite. Dans le cadre d’une signature manuscrite ou électronique, l’usurpation d’identité est donc l’ennemie à combattre. Alors quels remparts peut concrètement vous offrir la signature électronique face au risque d’usurpation d’identité et quelles sont nos garanties en matière de protection de vos données personnelles ? Éléments de réponse.

Commençons par le commencement…

La valeur juridique d’une signature électronique est-elle reconnue en France ?

La réponse est oui, mais sous certaines conditions. Pour démontrer la valeur juridique de la signature électronique, il faut identifier de manière fiable le signataire et garantir l’intégrité du document signé. Il s’agit d’une opération à caractère légal. En France, l’article 1367 du Code civil définit la signature électronique comme une preuve aussi efficiente que la signature manuscrite. La signature électronique est donc admise en cour de justice dès lors que sa fiabilité est reconnue.

Différents niveaux de signature pour différents niveaux de protection

Le règlement eIDAS est à l’origine de trois niveaux de signature : simple, avancée et qualifiée. Ces trois niveaux de signature sont mis en œuvre grâce à différents moyens d’identification électronique permettant de mieux maîtriser les risques d’usurpation d’identité. Cependant, la signature électronique ne se limite pas à une question technique. Il s’agit bel et bien d’une opération à caractère légal qui ne doit pas se faire au détriment de l’expérience utilisateur. C’est pourquoi le marché a vu naître un quatrième niveau, avancée avec certificat qualifié.

La signature électronique simple est émise sans certificat personnel au nom du signataire et sur la base d’informations personnelles (numéro de téléphone, email) qui sont renseignées par la personne souhaitant lui faire signer le document. Notre processus de signature simple est renforcé et acquiert une valeur légale plus importante grâce à l’ajout d’une étape d’authentification au moyen d’un code SMS reçu par les signataires.

La signature avancée requiert des moyens d’identification plus fiables et nécessite la création d’un certificat émis au nom du signataire et contenant des informations collectées grâce à l’envoi de sa pièce d’identité. Le justificatif d’identité est contrôlé par un PSCo. Le niveau d’identification est ici plus élevé. Là encore l’étape d’authentification au moyen d’un code SMS est indispensable à la signature.

La signature avancée avec certificat qualifié s’effectue avec un certificat nécessitant l’envoi d’un document d’identité et un face-à-face entre le futur titulaire du certificat et l’opérateur d’enregistrement. Ce dernier procédera au contrôle physique de l’identité du signataire en plus de sa pièce d’identité, s’assurant ainsi de l’exactitude des informations s’y trouvant. Le certificat émis est alors dit « qualifié ». Comme pour la signature simple et avancée, l’authentification avec un code SMS est également indispensable à la signature.

La signature qualifiée est réalisée quant à elle avec un certificat qualifié et un dispositif qualifié de création de signatures. Elle bénéficie d’une présomption de fiabilité. Le procédé d’identification est dans ce cas présumé fiable, entrainant un renversement de la charge de la preuve. La personne mettant en cause l’identification devra alors prouver que celle-ci est erronée.

On résume : plus le niveau de sécurité d’une signature augmente, plus les points de contrôle (à distance ou en face-à-face) de l’identité du signataire augmentent, réduisant ainsi le risque d’une usurpation d’identité.

L’horodatage apporte par ailleurs un niveau de sécurité supplémentaire et contribue ainsi à assurer l’intégrité du document que vous signez. En tant que PSCo qualifié selon le règlement eIDAS, nos signatures électroniques intègrent systématiquement un service d’horodatage qualifié. Rappelons qu’un horodatage garantit l’existence d’un fichier à une date donnée et que celui-ci n’a pas été modifié depuis (principe d’intégrité).

Quelles garanties apportons-nous dans la protection de vos données personnelles ?

La sécurité et la confidentialité des données personnelles de nos utilisateurs sont au cœur de notre activité. Ainsi, les mesures de sécurité que nous mettons en œuvre vont au-delà des exigences du règlement européen eIDAS. La sécurisation des traitements de données et la garantie des droits de nos utilisateurs sur leurs données sont par ailleurs conformes aux exigences du RGPD.

Notre plateforme est également reconnue pour son haut niveau de sécurité. Nous sommes en effet lauréat des Visas de sécurité délivrés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), permettant d’identifier les solutions informatiques les plus fiables. Ces visas assurent que les détenteurs ont été évalués par des laboratoires agréés selon une méthodologie rigoureuse et éprouvée.

Le rôle du Prestataire de Services de Confiance dans la protection de votre identité

Nous sommes un acteur historique sur le marché des services de confiance et avons comme principe fondateur d’assurer une équité de traitement de nos clients et signataires. En tant que PSCo, nous leur garantissons la conformité eIDAS de la signature et l’intégrité du document signé. Nous garantissons également un processus de signature suffisamment clair et explicite pour que le consentement soit recueilli de manière éclairée.

Enfin, nous ne voulions pas terminer cet article sans vous donner quelques conseils1 pratiques pour mieux protéger vos données personnelles sur la toile et éviter toute usurpation de votre identité :

•  Masquez votre e-mail et votre numéro de téléphone lors d’une inscription ou d’un dépôt d’annonce en ligne pour éviter par exemple que vos données personnelles soient utilisées pour vous soutirer de l’argent ;

•  Utilisez des mots de passe solides pour vous protéger des cyberattaques ;
•  Soyez vigilant vis-à-vis des mails douteux que vous recevez.

1 Données issues de la CNIL.