06 153 520 85 dev@gedinode.fr

L’arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique est publié (JO du 20 avril 2018). A compter du 1er octobre 2018 il remplacera celui du 15 juin 2012.

La signature électronique possède la même valeur juridique qu’une signature manuscrite. Par contre, une signature manuscrite scannée n’a pas de valeur juridique. La signature électronique comprend un certificat électronique et un logiciel de signature qui permet d’apposer la signature.

 

  • Le certificat électronique de signature garantit l’identité de son titulaire, personne physique, représentant habilité de l’entreprise, la protection de l’intégrité des documents transmis, l’impossibilité de renier sa signature (principe de non répudiation).
  • Le logiciel de signature ou « outil de signature » permet d’apposer électroniquement sa signature sur la plateforme de dématérialisation .
Par exemple en matière de marchés publics, le décret 2 prévoit « le marché public peut être signé électroniquement », l’arrêté en précise donc les modalités d’utilisation. La signature électronique concerne autant les acheteurs que les entreprises Dès lors qu’ils l’exigent des entreprises, les acheteurs doivent également se munir d’un certificat de signature électronique avancée basée sur un certificat qualifié.
Une signature électronique «avancée» doit reposer sur un certificat « qualifié » . Ce certificat doit relever de l’une des catégories suivantes : un certificat qualifié délivré par un prestataire de service de confiance qualifié répondant aux exigences du règlement européen eIDAS . Un certificat délivré par une autorité de certification, française ou étrangère répondant aux exigences du règlement ( Annexe 1 ) .
 
En France LSTI est un organisme d’évaluation spécialisé dans le domaine de la sécurité de l’information (Acréditation COFRAC). Il ne délivre pas de certificat de signature en direct. Par contre c’est LSTI qui atteste de la conformité des prestataires à délivrer des certificats de signature électronique. Il en publie la liste ici https://www.lsti-certification.fr/index.php/fr/services/certificat-electronique.

Acteur majeur de la confiance dans l’économie numérique, LSTI apporte à ses clients, aux autorités publiques et administratives, aux collectivités locales et territoriales et aux usagers des services publics un label de sécurité basé sur les normes et réglementations françaises, européennes et internationales. Le groupe intervient dans tous les états-membres de l’Union européenne pour la qualification des prestataires de services de confiance selon le règlement  eIDAS. LSTI est membre fondateur du Council ACAB’c qui rassemble autour, des organismes certificateurs accrédités pour la qualification eIDAS, l’ensemble des acteurs impliqués dans ce règlement. LSTI en assure la présidence.

La valeur légale de la signature électronique renforcée

eIDAS favorise le développement des usages numériques en Europe. Un des usages les plus impactés par eIDAs est la signature de documents : eIDAS met tout en œuvre pour faciliter le déploiement en Europe de la signature électronique, en clarifiant et en standardisant le cadre légal de cette technologie.

Le règlement eIDAS, c’est quoi ?

La réglementation eIDAS (Electronic IDentification And Trust Services) est le règlement sur l’identification électronique et les services de confiance pour les transactions électroniques au sein des 28 états membres de la communauté européenne.

eIDAS dans le détail couvre :

  1. L’interopérabilité et les effets juridiques d’un ensemble étendu de services de confiance – dont la signature électronique
  2. Les schémas de qualification des Prestataires de Service de Confiance (PSCE)
  3. La création de listes de confiance et de labels de confiance gérés par la commission européenne pour identifier les PSCE et produits qualifiés
  4. La reconnaissance mutuelle des eID pour identifier et authentifier les citoyens en ligne ; les eID sont catégorisées par niveau d’assurance (faible, substantiel et élevé)

eIDAS remplace la directive 1999/93/CE. On retrouve dans eIDAS le concept des trois types de signature – simple, avancée (SEA), qualifiée (SEQ), qu’on trouvait déjà dans ladite directive. Par contre on observe une mise à jour des points suivants :

  1. Un même texte de lois partout en Europe. La précédente directive avait été transposée sans uniformité dans les différentes lois nationales. Cela avait ralenti l’usage de la signature électronique dans les transactions transfrontalières.
  2. Une signature électronique qualifiée, qui repose sur un certificat qualifié délivré dans un État membre, est reconnue en tant que signature électronique qualifiée dans tous les autres États membres. Impossible donc de réfuter la valeur probante d’une signature électronique qualifiée à l’échelle européenne. Cette équivalence est reconnue de facto dans toute l’Europe.
  3. On peut créer des signatures qualifiées en mode cloud, sans hardware : Avant la mise en place d’EIDAS il fallait, pour obtenir une signature dite qualifiée, utiliser une carte à puce protégée par un code PIN. La signature électronique qualifiée nécessitait donc un support physique.
    Solution séduisante en apparence mais peu pratique en réalité : peu de citoyens européens sont équipés d’un tel dispositif, et encore plus rares sont ceux qui peuvent l’utiliser facilement sur leurs devices (ordinateurs PC ou MAC, tablettes tactiles, smartphones, …). L’innovation apportée par eIDAS consiste ici à pouvoir offrir ce dispositif et ce niveau de sécurité à distance. On peut ainsi activer sa signature qualifiée, à partir de son téléphone mobile par exemple. Bien entendu, le device utilisé doit tout de même disposer de certifications de sécurité très strictes, mais son utilisation devient simple et transparente, et la complexité est reportée sur les « Prestataires de Services de Confiance Qualifiés » qui peuvent mettre en œuvre ce type de dispositifs dans des conditions optimales de sécurité.
  4. L’effet juridique et la recevabilité d’une signature électronique comme preuve en justice ne peuvent être refusés au seul motif que cette signature se présente sous une forme électronique ou qu’elle ne satisfait pas aux exigences de la signature électronique qualifiée. Cela donne donc énormément de valeur légale à la signature dite simple qui avant eIDAS était considérée comme sans valeur juridique dans plusieurs pays d’Europe.

On distingue alors 2 grands types de signature électronique à valeur légale, chacun ayant des usages bien différents.

  • La signature simple et la signature avancée sont requises pour les documents ayant un facteur risque allant de très faible à moyen. Il s’agit souvent de documents externes à risque limité. Il peut s’agit de contrats de travail, de contrats commerciaux par exemple. Il peut aussi s’agir de documents internes : ordre de mission, note de frais, processus de validation de décision interne etc.
  • La signature électronique qualifiée se justifie pour les documents à fort taux de risque (les contrats de crédit ou les assurances vie) ou pour des transactions règlementées : certains usages dans le monde de la santé par exemple ont des contraintes qui nécessitent de la signature qualifiée.

Cofrac (association de droit privé à but non lucratif) a été désigné comme unique instance nationale d’accréditation par le décret du 19 décembre 2008, reconnaissant ainsi l’accréditation comme une activité de puissance publique.
Tous les intérêts liés à l’accréditation sont représentés au sein de l’Assemblée générale et du Conseil d’administration et de toutes les instances de décision.

Devenir formateur agréé LSTI