De nombreuses entreprises en France utilisent la signature électronique pour avancer la procédure de signature et de vérification de leurs documents. A savoir que les procédures basées sur le papier sont considérées comme trop chronophages et inefficaces. Les administrations et les entreprises traitent souvent des documents importants qui doivent être protégés avec grand soin. S'ils décident d'utiliser une signature électronique pour traiter des documents, ils ont la possibilité d'utiliser une signature électronique qualifiée, qui est de loin la plus sûre. Mais c'est quoi exactement une signature électronique qualifiée ?
Signature électronique qualifiée : ce que cela veut dire
La signature électronique qualifiée est un type de signature électronique qui se fait avec les certificats électroniques dits qualifiés. Elle est considérée comme la signature électronique avec le plus haut niveau de fiabilité. Ce type de signature est identique aux exigences relatives aux signatures électroniques avancées de la loi (UE) n° 910/2014 du Parlement européen sur les services de confiance et l'identification électronique pour les transactions électroniques dans le marché intérieur (communément appelé règlement eIDAS), mais à cette fin, l'exigence supplémentaire est l'utilisation d'un certificat numérique qualifié délivré par l'une des autorités de certification compétentes.
En outre, trois conditions de base doivent être remplies pour qu'une signature électronique soit considérée comme une signature qualifiée :
- Le signataire doit avoir une identité unique et une relation avec l'entreprise.
- Le signataire doit avoir le contrôle total des données utilisées lors de la création de la signature.
- Le signataire doit être en mesure de vérifier qu’aucune modification n’a été apportée aux données depuis la signature.
La dématérialisation des documents administratifs et la gestion de toutes les signatures peuvent être vérifiées via une plateforme saas. Pour plus d’informations, consultez le site www.universign.com.
Comment fonctionne la signature électronique qualifiée ?
En plus d'avoir un certificat qualifié, il est indispensable d'avoir un appareil permettant de créer la signature qualifiée (QSCD). L'un sans l'autre ne sert à rien. Les QSCD les plus courants sont la carte cryptographique, comme le DNI électronique actuel et l'USB cryptographique. Il existe une troisième option, à savoir les certificats stockés dans le cloud à l'aide du module de sécurité matérielle (HSM). Ces QSCD doivent également répondre à une série d'exigences définies à l'annexe II de l'eIDAS. Certains d'entre eux sont, par exemple, qu'ils doivent garantir la confidentialité des données, ainsi que garantir la sécurité que la signature ne peut pas être falsifiée et qu'ils ne pourront pas modifier les documents, mais ils permettront au signataire de lire avant d'officialiser la signature électronique. Le fonctionnement de ces certificats repose sur un système de deux clés : une publique et une privée, qui fonctionnent de manière complémentaire. La clé publique peut être partagée, tandis que la clé privée est à l'usage exclusif de son propriétaire. La combinaison des deux est ce qui permet, d'une part, la confidentialité des données et, d'autre part, d'assurer l'identité de l'expéditeur ou du signataire.
Comment obtenir le certificat électronique qualifié ?
Les États membres, tels qu'établis par l'eIDAS, doivent publier une liste des entités de certification qualifiées autorisées, ainsi que spécifier le type de services qu'ils offrent. En France, cette liste peut être consultée sur la page du ministère des Affaires économiques et de la transformation numérique. L'une des plus connues est la Fabrique nationale de monnaies et de timbres, où les particuliers et les personnes morales peuvent en faire la demande. Pour les personnes physiques, l'option la plus simple est d'utiliser le DNI électronique, même si pour cela, il faudra disposer d'un lecteur compatible. Il faut dire que ces derniers sont faciles à trouver, et en général, assez bon marché. En cas de demande d'un certificat de signature électronique qualifié auprès de l'une de ces entités accréditées, même s'il est demandé en ligne, il y aura sûrement une partie en face-à-face pour l'obtenir, dans laquelle le demandeur devra prouver son identité en présentant leur DNI ou autre pièce d'identité d'une validité équivalente.
Quand utiliser la signature électronique qualifiée ?
On retrouve normalement l'usage de ce type de signature dans les démarches effectuées auprès de l'administration publique. Ainsi, il est assez fréquent que nous devions l'utiliser pour nos opérations auprès de l'Agence des Impôts ou de la Sécurité Sociale. Si nous sommes une entreprise ou une entité non-publique, comme nous en avons discuté dans notre article sur les signatures électroniques avancées, il n'y a pas de réglementation qui nous indique dans quels cas utiliser une modalité ou une autre. Dans tous les cas, dans les documents d'extrême importance qui nécessitent des garanties de sécurité maximales, la signature qualifiée peut être utilisée, pour une plus grande tranquillité d'esprit pour les parties.
Gardez à l'esprit que ce ne sera pas toujours la meilleure option, car elle est plus difficile à appliquer. Il est préférable d'appliquer un certain principe de proportionnalité. Ainsi, lors de la signature de contrats de travail normaux ou de leurs modifications, l'application de la signature électronique avancée, déjà incluse dans le logiciel de signature suffira.