Recevez chaque jour toute l'actualité du numérique

x

Les signatures et cachets électroniques activés à distance

Tribune La proposition de Règlement eIDAS telle qu’évoquée dans une précédente Chronique ne traite pas que de l’identité numérique. Elle aborde l’émergence de nouveaux services de confiance attendus par le Marché comme les « Remote Signature » ou les « Remote Seal ». Cette chronique du Cabinet Caprioli & Associés vient en décrire les contours, dans l’attente d’autre à venir…
Twitter Facebook Linkedin Flipboard Email
×

Les signatures et cachets électroniques activés à distance
Les signatures et cachets électroniques activés à distance

Nouveaux services de confiance qualifiés : Signature et cachet électroniques activés à distance
Le considérant 52 du Règlement eIDAS traitait déjà la signature électronique centralisée ("remote electronic signature"), c’est-à-dire celle qui est activée à distance. Le même considérant précisait "afin que ces signatures reçoivent la même reconnaissance juridique que les signatures électroniques créées avec un environnement entièrement géré par l’utilisateur, les prestataires offrant des services de signatures électronique à distance devraient appliquer des procédures de sécurité spécifiques en matière de gestion et d’administration et utiliser des systèmes et des produits fiables, notamment des canaux de communication électronique sécurisés, afin de garantir que l’environnement de création de signatures électroniques est fiable et qu’il est utilisé sous le contrôle exclusif du signataire".

Désormais, le Chapitre III de la proposition de Règlement va plus loin et devrait intégrer un nouvel article 29-a) qui définit les exigences pour disposer d’un service qualifié de gestion des dispositifs de signature électronique à distance. Si une signature électronique pouvait être activée à distance, elle ne pouvait pas jusqu’alors être considérée comme une signature électronique qualifiée. Les considérations d’ordre tant technique que juridique constituaient des obstacles. Les normes visant à sécuriser les serveurs de signature à distance n’étaient pas encore publiées et la rédaction du Règlement eIDAS faisait peser un doute quant à la qualification d’une telle signature.

Désormais, le service de signature électronique à distance qualifié est ainsi détaillé :

"1. The management of remote qualified electronic signature creation devices as a qualified service may only be carried out by a qualified trust service provider that:
(a) Generates or manages electronic signature creation data on behalf of the signatory;
(b) notwithstanding point (1)(d) of Annex II, duplicates the electronic signature creation data only for back-up purposes provided the following requirements are met:

  • the security of the duplicated datasets must be at the same level as for the original datasets;
  • the number of duplicated datasets shall not exceed the minimum needed to ensure continuity of the service.

(c) complies with any requirements identified in the certification report of the specific remote qualified signature creation device issued pursuant to Article 30.

2. Within 12 months of the entering into force of this Regulation, the Commission shall, by means of implementing acts, establish technical specifications and reference numbers of standards for the purposes of paragraph 1.".


Ces exigences renvoient donc à une gestion sécurisée de l’environnement technique du serveur de signature conformément à certaines normes.

Il en ira de même pour les cachets électroniques qualifiés qui pourront eux aussi être activés à distance. Ces derniers seront tout particulièrement utiles pour certains documents qui ne requièrent pas une signature mais dont l’authentification de l’origine et l’intégrité des contenus doivent être garanties (ex. factures électroniques, bulletins de paie ou offres de contrats qui devront être ultérieurement signées par le client mais devront être préalablement scellées par le professionnel (une banque par ex.).

Contrôle exclusif des moyens de création de signature
Le Prestataire de Services de Confiance qualifié doit donc générer ou gérer les données de création de signature électronique au nom d’un signataire car le contrôle exclusif des moyens de création de signature constituait jusqu’alors un obstacle au déploiement de la signature électronique qualifiée au motif de la nécessité pour tous de disposer d’un support cryptographique (carte, clé USB sécurisée, etc.) et du moyen de sa mise en œuvre. Le système était complexe et lourd à implémenter. La Partie I sur les Exigences de sécurité générales du système pour les Systèmes fiables de Serveur de signature renvoie à deux niveaux de contrôle exclusif :

Si le premier niveau assure que seule l’utilisation des moyens de création de signature électronique est sous le contrôle exclusif du signataire, le second niveau assure que lesdits moyens restent maintenus sous le même contrôle exclusif.

Quelles précautions pour en bénéficier ?
La gestion du serveur de signature électronique constitue donc un des éléments essentiels pour assurer la fiabilité d’un tel service de confiance. A ce titre, le prestataire de services de confiance doit le sécuriser en se référant aux différentes normes EN en vigueur. De plus, un autre acteur a un rôle à jouer : le signataire qui doit pouvoir déclencher son dispositif de création de signature électronique centralisé de manière toute aussi fiable en prévoyant une procédure d’authentification. Ces éléments d’ordre technique doivent être encadrés contractuellement, notamment dans le cadre d’une convention de preuve adaptée.

Quelle utilité ?
Une signature électronique activée à distance est d’ores et déjà utilisée dans le cadre d’un fichier de preuve. Ce dernier est d’ailleurs reconnu de plus en plus fréquemment par les Juges. Avec cette évolution du Règlement eIDAS, les acteurs du domaine disposeraient d’une signature électronique qualifiée émises à la volée, conjuguant ainsi facilité de déploiement et garanties juridiques et techniques. Couplée avec une identité numérique fiable, une telle signature électronique pourrait signifier enfin une signature électronique "100% démat" et sans contact avec une personne en charge de l’enregistrement ou de la délivrance d’une clé USB sécurisée. Toutefois, le diable se cache dans le détail et il convient de pouvoir analyser en amont la cinématique pour éviter toute mauvaise surprise liée à un manquement contractuel ou consumériste.

D’autres chroniques viendront dans les prochaines semaines pour l’archivage électronique et la blockchain.
 

Eric A. CAPRIOLI et Pascal AGOSTI, Avocats associés, Docteurs en droit, Caprioli & Associés, société d’avocats membre du réseau Jurisdéfi
 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.