Légalité de la signature électronique
Les signatures électroniques sont reconnues comme légales en France et sont régies par le Règlement eIDAS n° 910/2014 de l'Union européenne (« UE ») sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, qui vise à faciliter l'utilisation des services de confiance électroniques en France.
Les textes de loi encadrant la signature électronique
Le Règlement eIDAS est complété par le Code civil en France, et plus particulièrement, par les articles 1366 et 1367 du Code civil et le Décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique, ainsi que par des dispositions spécifiques à certains domaines ou secteurs qui font référence au Règlement eIDAS précité. Vous trouverez ci-dessous quelques dispositions sectorielles complémentaires :
Articles R.225-20, R.225-22, R.225-47, R.225-49 du Code de commerce et le Décret n°2019-1118 du 31 octobre 2019 relatif à la dématérialisation des registres, des procès-verbaux et des décisions des sociétés et des registres comptables de certains commerçants.
Article R.2182-3 du Code de la commande publique et l’arrêté du 22 mars 2019 relatif à la signature électronique des contrats de la commande publique.
Depuis le Décret du 28 septembre 2017, l’« Agence Nationale de la Sécurité des Systèmes d'Information » ou « ANSSI » créée en 2009 intervient de différentes manières dans l'application du Règlement eIDAS et notamment en tant que:
Garante de la sécurité pour le volet « identification électronique » ;
Autorité de surveillance ou de contrôle pour le volet « services de confiance » ;
Autorité de certification des systèmes de création de signature électronique qualifiée et de sceau électronique qualifié, ainsi que des prestataires de services de confiance qualifiés.
En Droit français, les définitions et l'utilisation des signatures électroniques sont régies à la fois par la loi française et le Règlement eIDAS.
L'article 1367 du Code civil définit la « signature » et la « signature électronique » comme suit :
La signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte.
Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d’Etat.
Les types de signature électronique
Le Règlement eIDAS distingue trois types de signatures électroniques : la « signature électronique » simple, la « signature électronique avancée » (SEA) et la « signature électronique qualifiée » (SEQ).
La « signature électronique » simple désigne des données sous forme électronique, qui sont jointes ou associées logiquement à d'autres données sous forme électronique et que le signataire utilise pour signer (article 3.10 du Règlement eIDAS).
La « signature électronique avancée » est une signature électronique qui répond à des exigences supplémentaires (par exemple, signature avec confirmation via un code reçu par SMS sur un numéro de téléphone enregistré qui est procéduralement lié à l'identité du signataire, ou signature avec vérification de l'identité du signataire par la présentation d'une copie de sa carte d'identité ou de son passeport) de sorte qu'un niveau de fiabilité plus élevé puisse être atteint (articles 3.11 et 26 du Règlement eIDAS).
La « signature électronique qualifiée » est une signature électronique avancée qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique (article 3.12 du Règlement eIDAS). Ce certificat doit être délivré par un prestataire de services de confiance, tel que DocuSign, figurant sur une liste de confiance des prestataires de services de confiance qualifiés d'un État membre de l'UE, et le dispositif de création de signature électronique qualifié doit être certifié par un État membre de l'UE. La « signature électronique qualifiée » est le seul niveau de signature électronique à bénéficier d’un statut juridique spécial dans les États membres de l'UE, étant légalement reconnue comme l'équivalent d'une signature manuscrite et, lorsqu'elle est délivrée dans un État membre de l'UE, elle est reconnue en tant que signature électronique qualifiée dans tous les autres États membres de l'UE (articles 25.2 et 25.3 du Règlement eIDAS).
Les documents pouvant être signés électroniquement
Le Droit français des contrats n'exige généralement pas que les contrats soient écrits et/ou signés pour être valides. Les contrats peuvent être conclus soit oralement, soit par une action implicite, soit par tout autre moyen exprimant la volonté des parties. Toutefois, certains types de contrats doivent être écrits pour être valides. Lorsque aucune forme spécifique n'est requise, tout type de signature électronique est autorisé à condition qu'elle soit « fiable ».
Pour être fiable en France, une signature électronique doit être conforme aux articles 1366 et 1367 du Code civil en démontrant que :
la signature est liée de manière unique à la personne dont elle émane et l'identifie de manière fiable ; et
le document signé doit être conservé dans des conditions de nature à en garantir l'intégrité.
Une forme spécifique, en particulier la forme écrite, n'est requise que lorsqu'elle est expressément et spécifiquement imposée par la loi (disposition d’ordre public) ou par une disposition contractuelle préexistante entre les parties (par exemple, certains actes juridiques en Droit de la famille et des successions tels que les testaments conformément à l'article 1175 du Code civil doivent être rédigés sous forme écrite, sauf lorsque certains de ces documents juridiques sont contresignés par des avocats en présence des parties et déposées au rang des minutes d’un notaire).
Quel type de signature électronique faut-il utiliser ?
Dans le Règlement eIDAS et en Droit français, aucune distinction générale n'est clairement établie entre l'utilisation des signatures électroniques par des personnes physiques, des sociétés ou des entités gouvernementales ou autres organismes publics. En général, le choix d'une signature électronique ou d'une signature électronique avancée dépendra d'une analyse préalable des risques et du type de document ou d’accord en question, et notamment au regard de son importance et de sa sensibilité. Les textes français et/ou la jurisprudence peuvent également fournir des indications à cet égard. Toutefois, dans la pratique, une signature électronique avancée est généralement requise pour les documents émis et/ou à destination de l’administration française.
Pour certains actes et/ou conventions liés à l'administration française, une signature électronique avancée ou une signature électronique qualifiée est requise :
Marchés publics;
Dossiers médicaux, y compris les données médicales ou les dossiers pharmaceutiques ; et
Décisions des tribunaux judiciaires et de commerce.
Une signature électronique qualifiée est requise pour certains accords tels que les actes authentiques impliquant des notaires et des huissiers de justice ou certaines activités réglementées telles que celles des établissements bancaires ou de paiement, lorsque la force probante de la signature revêt une importance particulière.
Selon le Règlement eIDAS, les signatures électroniques non qualifiées bénéficient « seulement » de la clause de non-discrimination selon laquelle l'effet juridique et la recevabilité d'une signature électronique ne peuvent être refusés par un juge comme preuve en justice au seul motif qu'elle se présente sous forme électronique ou qu'elle ne satisfait pas aux exigences de la signature électronique qualifiée.
En France, une signature électronique qualifiée est considérée comme fiable et valide par les tribunaux (« présomption de fiabilité ») conformément au Décret n° 2017-1416 du 28 septembre 2017, sans qu'il soit nécessaire pour la partie d'apporter la preuve de sa validité.
Pour les signatures électroniques simples ou avancées, il incombe à la partie concernée de prouver la validité de la signature électronique devant les tribunaux. La validité de la signature électronique devra être prouvée par d'autres éléments de preuves tels qu'un "fichier de preuve" fourni par un prestataire de services de confiance tel que DocuSign.
Jurisprudence
Voir ci-dessous plusieurs jurisprudences intéressantes :
Dans un arrêt du 25 janvier 2018 (n°17-01050), la Cour d’appel de Chambéry, à propos d’un crédit consenti par la société Carrefour Banque, a retenu que le prestataire de services de confiance qui produit un " fichier de preuve " de la transaction indiquant l'adresse mail du signataire ainsi que le code d’identité du certificat électronique, le tout accompagné d'un horodatage précis de la transaction, permet d'attester de la fiabilité du procédé de signature électronique selon l'article 1367 du Code civil (signature électronique) et, par conséquent, la preuve de l’existence du contrat est rapportée.
Dans un arrêt du 11 février 2021 (n°20-00026), la Cour d'appel de Lyon, au sujet d’un prêt souscrit par un particulier auprès de la société Sogefinancement, a retenu que pour apporter la preuve de la validité de la signature électronique de l'emprunteur, le prêteur n'avait pas apporté la preuve de l'utilisation d'un certificat électronique qualifié (comme l'exige l'article 28 du Règlement UE 910/2014) ; toutefois, l'absence de preuve de l'utilisation d'un certificat électronique qualifié n'invalide pas la signature mais la prive seulement de sa présomption de fiabilité. L'existence du prêt avait été établie par les paiements effectués par le prêteur.
A noter que les signatures manuscrites scannées n'ont jamais été considérées comme des signatures électroniques valides par les tribunaux français en vertu de l'article 1367 du Code civil (Tribunal administratif de Toulouse, 9 mars 2011, à propos d’un appel d'offres public où certains documents de l’appel d’offres et notamment l’acte d’engagement avaient été signés puis scannés).
FAQ
Une signature électronique est un mécanisme cryptographique permettant de garantir l'identité du signataire d’un document électronique et l’intégrité de celui-ci. Elle s’effectue via, notamment, l’usage d’un procédé fiable d'identification qui garantit le lien entre la signature et le document électronique auquel elle se rattache.
La signature électronique concerne les personnes physiques et permet d'attester de leur consentement à un document tel que le fait, en principe, une signature manuscrite. En France, ce consentement est essentiel pour donner une validité juridique à un contrat ou à un acte juridique.
Ainsi, ce procédé permet de garantir :
- L’intégrité des documents signés (contrats ou autres documents ayant une valeur juridique, fichiers, données, etc.) ;
- L’authentification de l’identité du signataire.
- L’inaltérabilité des documents signés (c'est-à-dire qu'une fois signés électroniquement, ces documents ne peuvent être modifiés) ;
- La non-répudiation des documents signés (c'est-à-dire qu'une fois signés électroniquement, ces documents ne peuvent être reniés par le signataire).Les signatures électroniques qualifiées qui reposent sur un certificat qualifié délivré dans un État membre de l'UE sont reconnues comme des SEQ dans tous les autres États membres de l'UE (article 25§3 du Règlement eIDAS). D'autres signatures électroniques telles que SE et SEA sont également reconnues comme ayant la même valeur juridique qu'une signature manuscrite sous réserve de respecter certaines exigences.
Le Règlement eIDAS (UE) est directement applicable dans tous les États membres de l'UE sans qu'il soit nécessaire de le transposer dans la législation locale.
D'autres pays reconnaissent également comme juridiquement valides les signatures électroniques telles que :
- Les États-Unis (ESIGN Act + UETA)
- Le Canada (au niveau fédéral avec la Loi sur la protection des renseignements personnels et les documents électroniques ou « PIPEDA », et au niveau provincial comme par exemple, l'Ontario avec Loi de 2000 sur le Commerce électronique ou au Québec avec la Loi concernant le cadre juridique des technologies de l’information et le code civil).
- L’Inde (« Information Technology Act », 2000)
- L’Australie (« Electronic Transactions Act », 1999)
- La Chine (« Electronic Signature Law of the People’s Republic of China», 28 août 2004)
- La Suisse (Loi fédérale sur les services de certification dans le domaine de la signature électronique et des autres applications des certificats numériques, 18 mars 2016)
- Les Émirats arabes unis (« Federal Law No. (1) of 2006 concerning Electronic Transactions & Commerce »)
- Le Royaume-Uni (« The Electronic Identification and Trust Services for Electronic Transactions Regulations 2016 », « Electronic Communications Act 2000 », « The Electronic Identification and Trust Services for Electronic Transactions (Amendment etc.) (EU Exit) Regulations 2019 »).Il convient de noter que si les signatures électroniques sont en principe reconnues comme valides dans les pays susmentionnés et dans de nombreux autres pays à travers le monde, il est recommandé de consulter des conseils ou avocats dans ces différents pays pour éviter tout problème lié à la force exécutoire de ces signatures électroniques. Pour les pays qui ne figurent pas dans la liste ci-dessus, veuillez consulter notre « Global Legality Guide (en anglais) ».
Tous les niveaux de signature électronique sont considérés comme valides juridiquement.
Toutefois, le niveau de sécurité requis par le Règlement eIDAS dépend du type de signature électronique concerné (simple, avancée, qualifiée) :
En effet, le niveau de sécurité de la signature électronique simple est faible comparé au niveau de sécurité des signatures électroniques avancées et qualifiées, cette dernière ayant le plus haut niveau de sécurité exigé. Dans le cas d'une signature électronique qualifiée, un procédé cryptographique est utilisé pour sécuriser le certificat qualifié de signature électronique généré. Le certificat qualifié agit comme une carte d'identité numérique : il associe une signature dématérialisée à une personne physique. Cependant, seul un Prestataire de Services de Confiance Qualifié (PSCQ) tel que DocuSign peut émettre ce type de certificat. De plus, ces PSCQ sont soumis à certains contrôles et audits d'une autorité de contrôle réalisés à leurs propres frais tous les 24 mois (soit, en France, l'Agence Nationale de la Sécurité des Systèmes d'Information ou "ANSSI") ; ces certifications et ce haut niveau de sécurité expliquent le fait que cette signature électronique qualifiée soit moins utilisée et plus onéreuse.
Le procédé utilisé pour la signature électronique offre de multiples options pour vérifier l'identité du signataire :
- Par l’adresse électronique : le signataire doit saisir son adresse électronique, qui sera ensuite comparée et validée si elle correspond à l'adresse indiquée dans l'invitation à signer le document ;
- Par un code d'accès : le prestataire envoie un code à usage unique que le signataire doit saisir ;
- Par un appel téléphonique : le signataire doit appeler un numéro de téléphone spécifique pour donner son nom et son code d'accès ;
- Par SMS : le signataire doit introduire un code à usage unique reçu par SMS ;
Par un document d'identité : l'identité du signataire est vérifiée au moyen d'une carte d'identité nationale ou un passeport ; etc.En France, la signature électronique a la même valeur juridique et la même force probante que la signature manuscrite, sous réserve que (i) le signataire de ces documents puisse être dûment identifié et que (ii) ces documents soient établis et conservés dans des conditions de nature à en garantir l’intégrité (article 1366 du Code civil). En outre, la signature électronique doit utiliser « un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache » (article 1367 du Code civil).
La signature électronique permet de garantir les éléments suivants :
- L'intégrité du document ;
- L'authentification du signataire ;
- La non-répudiation, qui signifie qu'une fois signé, le document juridique et/ou le contrat ne peut être renié par le signataire. Toutefois, l'identité du signataire peut être contestée devant un tribunal, en particulier si le procédé technique utilisé pour la signature électronique s'avère peu fiable.Les signatures manuscrites et électroniques ont la même valeur juridique :
- Elles sont toutes deux admissibles en tant que preuves devant un tribunal ;
- Elles sont juridiquement contraignantes;
- Elles peuvent toutes deux être contestées devant un tribunal.Une signature électronique ne doit pas être refusée comme preuve devant un tribunal au seul motif qu'elle est sous forme électronique.
La charge de la preuve dépendra du type de signature électronique concerné (Règlement eIDAS - voir ci-dessous Questions dans la FAQ pour plus de détails) :
- Il existe une présomption de fiabilité pour la SEQ induisant un renversement de la charge de la preuve et il appartiendra à la partie qui en conteste la validité de prouver le manque de fiabilité de la SEQ ;
- Pour la signature simple et la SEA, la preuve de sa fiabilité doit être fournie par la partie qui prétend que cette signature électronique est fiable et valide. Par exemple, le demandeur peut fournir au tribunal le "fichier de preuve" (intégrité des données, horodatage, identité du signataire) et/ou le certificat de signature électronique du prestataire de services de confiance qui a permis la signature électronique.Le tribunal analysera les preuves fournies par les parties. Si le procédé de signature électronique est jugé non fiable par le tribunal, les conséquences juridiques peuvent être importantes car le contrat pourra être considéré comme nul par le tribunal et le contrat ainsi que les obligations qui y figurent perdront leur force obligatoire entre les parties.
En France, tous les actes juridiques qui doivent être formalisés par écrit peuvent être conclus par voie électronique et peuvent donc en principe être signés électroniquement (article 1174 du Code civil). Même les mentions légales spécifiques pour lesquelles le signataire doit reproduire une mention spécifique de manière manuscrite peuvent être également signées électroniquement.
La législation française relative aux actes authentiques, tels que les actes de vente en immobilier, exigeait traditionnellement la présence de notaires ainsi que des signatures manuscrites. La législation française a été récemment modifiée par l’épidémie du COVID. Tous ces actes authentiques peuvent désormais être signés électroniquement à distance depuis un décret du 20 novembre 2020. Dans tous les cas, ces actes authentiques sont signés par SEQ conformément au Règlement eIDAS afin de fournir le plus haut niveau de sécurité et de preuve.
A titre d’exceptions, certaines catégories d'actes privés ne peuvent pas être signées à l'aide d'une signature électronique comme tous les actes juridiques relatifs au Droit de la famille et des successions (tels que les testaments) conformément à l'article 1175 du Code civil, sauf lorsque certains de ces actes juridiques sont contresignés par des avocats en présence des parties et déposés au rang des minutes d’un notaire.
La signature est un écrit qui permet d'identifier l'auteur d'un acte juridique et d'exprimer son consentement (article 1366 du Code civil).
L'article 1367 du Code civil définit la signature électronique comme un procédé fiable d'identification qui garantit le lien entre la signature et le document électronique auquel elle s'attache. La nature même de la signature électronique ne peut être contestée en justice puisqu'elle est légalement reconnue comme opposable en France.
Si la signature électronique est considérée comme nulle par le tribunal, cela signifie que le signataire n'a pas donné son consentement au contrat et/ou à l'acte juridique et que le contrat et/ou l'acte juridique n'a pas été légalement signé et n’a donc plus de force obligatoire entre les parties. Par exemple, pour un crédit à la consommation, cela peut impliquer certaines conséquences telles que des dommages contractuels et/ou le remboursement des sommes qui ont été indûment payées à la Banque par le signataire.
L'ajout ou l'altération d'une signature (manuscrite ou électronique) peut également être considéré comme un Faux. La procédure d’inscription de faux s'applique aux actes juridiques privés tels que les contrats et les actes authentiques. Elle vise à établir qu'un document a été falsifié. Seul un tribunal peut statuer sur la validité d'une procédure d’inscription de faux en écriture conformément à la procédure (civile ou pénale) française.
Les conséquences de la falsification d'une signature ou d'un document sont graves. Le tribunal peut décider d'imposer des amendes civiles et/ou des amendes pénales et/ou une peine d'emprisonnement.
Les signatures électroniques, comme les signatures manuscrites, n'expirent généralement pas dans le temps.
Les signatures électroniques qualifiées (SEQ) doivent être basées sur un certificat qualifié de signature électronique (article 3.12 du Règlement eIDAS). Selon l'ANSSI, la durée de validité des signatures électroniques dépend de la validité des certificats sur lesquels reposent les signatures électroniques et ces certificats ont une durée de validité égale à 3 ans maximum. En outre, les certificats en cours de validité peuvent être révoqués pour l’avenir.
Les Prestataires de Services de Confiance Qualifiés (PSCQ), tels que DocuSign, qui émettent ces certificats qualifiés, sont tenus de conserver les informations relatives aux certificats qualifiés liés aux SEQ pendant la durée de leurs services.
L'expiration d'un certificat n'affecte cependant pas la validité d'une signature électronique qualifiée effectuée pendant la durée de validité du certificat.
Conformément à l'ANSSI, la durée d’opposabilité d'une signature électronique peut être prolongée par deux procédés : l'archivage électronique à valeur probatoire et la sur-signature tels que précisés ci-dessous :
- L'archivage électronique à valeur probatoire signifie que c'est l'environnement de conservation de la signature électronique qui permet d’en garantir la validité et l’intégrité.
- La sur-signature, quant à elle, consiste à garantir la validité et l'intégrité de la signature en apposant régulièrement une nouvelle signature ou un nouveau cachet d’horodatage par-dessus les signatures déjà existantes.Il existe également plusieurs exigences légales relatives à la période de conservation pour l'archivage électronique des documents signés par des signatures électroniques :
- Prescription : 5 ans en France (article 2224 du Code civil) en matière civile et commerciale ;
- Délais légaux de conservation : 10 ans pour tous les documents comptables (tels que les commandes, les factures, etc.).Les entreprises peuvent également déterminer leur propre cycle de vie pour la conservation de leurs documents et disposer de leur propre système d’archivage pour conserver électroniquement leurs documents juridiques et/ou contrats signés électroniquement ou elles peuvent confier leur système d'archivage à un tiers.
Pour sélectionner un niveau de signature électronique en accord avec le Règlement eIDAS, il est recommandé de procéder à une analyse préalable des risques sur la base des critères suivants :
- le champ d'application du document à signer (national, européen, international) et son type (acte sous seing privé, acte notarié, décision administrative, etc.) ;
- les textes et autres dispositions réglementaires spécifiques précisant un niveau de signature électronique minimum pour le document ou l’acte juridique en question;
- la probabilité d'un litige (probabilité qu'un litige survienne sur une période donnée) et la gravité du litige (conséquences juridiques si le document signé électroniquement est considéré comme nul).Outre les textes français et la jurisprudence qui détaillent certains niveaux de signatures électroniques obligatoires, il existe également certaines recommandations ou lignes directrices spécifiques qui sont publiées pour des secteurs particuliers tels que la santé et le domaine médical avec le "Référentiel force probante des documents de santé" par l'Agence du Numérique en Santé.
Voici quelques exemples de cas d'usage (cette liste n'est pas exhaustive) :
- Cas d'usage n°1 : appel d'offres dans le cadre d'un marché public (Secteur Public) : la signature électronique sera la SEA telle que prévue à l'article 2 de l'arrêté du 22 mars 2019 relatif à la signature électronique dans la commande publique.
- Cas d'usage n°2 : contrat à l’échelle européenne : la SEQ sera la signature électronique choisie par les parties parce que seules les SEQ bénéficient d'une reconnaissance mutuelle en termes de preuve dans les juridictions des autres États membres de l'UE.
- Cas d'usage n°3 : dossier de lot dans le secteur pharmaceutique : le Guide des bonnes pratiques relatives à la fabrication des médicaments publiées par l'Agence nationale de sécurité du médicament et des produits de santé ("ANSM") recommandent d'utiliser une SEQ comme signature électronique.
- Cas d'usage n°4 : documents financiers, titres et garanties entre des établissements bancaires ou de paiement et des entreprises ou des personnes physiques : compte tenu des obligations réglementaires du secteur financier telles que la lutte contre le blanchiment d'argent et l'obligation de double authentification, la SEA sera le niveau minimum de signature électronique choisi, voire la SEQ pour certains types de documents financiers ;
- Cas d'usage n°5 : politiques internes de l'entreprise ou délégations de pouvoirs : les risques liés à ces types de documents sont faibles et une simple signature électronique pourrait être utilisée (sans aucun processus de contrôle autre qu’un code envoyé par SMS ou avec vérification OTP).Le Règlement eIDAS prévoit trois niveaux de signature électronique :
- Simple (article 3.10 et 25 du Règlement eIDAS) : il s'agit d'une signature qui n'est ni avancée ni qualifiée et qui est définie comme « des données sous forme électronique qui sont jointes ou associées logiquement à d'autres données sous forme électronique et que le signataire utilise pour signer » ;
- Exemples : (i) signature sur tablette électronique (ii) signature avec confirmation par code reçu à une adresse mail déclarée par le signataire (iii) signature avec confirmation par code reçu par sms sur un numéro de téléphone déclaré par le signataire.
- Une signature électronique ne doit pas être refusée comme preuve devant un tribunal au seul motif qu'elle est sous forme électronique. Toutefois, la preuve de sa fiabilité doit être apportée par le demandeur au moyen d'un "fichier de preuve" (intégrité des données, horodatage, identité du signataire).
- Niveau de fiabilité de l'identité du signataire du document : pas d'exigences spécifiques, pas de vérification ou de contrôle par un auditeur tiers indépendant ou une autorité de contrôle comme l'ANSSI.
- Niveau de sécurité du dispositif de création de signature électronique : pas d'exigences spécifiques, pas de vérification ou de contrôle par un auditeur tiers indépendant ou une autorité de contrôle comme l'ANSSI.- Avancée (article 3.11 et 25 à 27 du Règlement eIDAS) : « Une signature électronique avancée satisfait aux exigences suivantes :
(a) elle est liée au signataire de manière univoque ;
(b) elle permet d'identifier le signataire ;
(c) elle est créée à l'aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; et
(d) elle est liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable ».- Exemples : (i) signature avec confirmation par code reçu par SMS sur un numéro de téléphone enregistré et lié de façon procédurale à l'identité du signataire (ii) signature avec vérification de l'identité du signataire via l'envoi d'une copie d'une carte d'identité ou d'un passeport.
- Une signature électronique ne doit pas être refusée comme preuve devant un tribunal au seul motif qu'elle est sous forme électronique. Toutefois, la preuve de sa fiabilité doit être apportée par le demandeur au moyen d'un "fichier de preuve" (intégrité des données, horodatage, identité du signataire).
- Niveau de fiabilité de l'identité du signataire du document : dépend des dispositifs et procédures de collecte et de vérification d'identité mis en place par le prestataire de services de confiance ; pas de vérification ou de contrôle et de certification obligatoires par l'ANSSI mais généralement fait certifier ses services par un auditeur tiers indépendant.
- Niveau de sécurité du dispositif de création de signature électronique : pas d'exigences réglementaires, pas de contrôle obligatoire et de certification par l'ANSSI.
- Qualifiée (article 3.12 et 24 à 30 du règlement eIDAS) : une signature avancée « qui est créée à l’aide d’un dispositif de création de signature électronique qualifié, et qui repose sur un certificat qualifié de signature électronique ».
-Les certificats qualifiés sur lesquels reposent les signatures qualifiées ne sont délivrés que par des prestataires de services de confiance qualifiés (PSCQ) tels que DocuSign, dont le statut a été accordé par l'autorité de contrôle. En France, l'autorité de contrôle est l'Agence Nationale de Sécurité des Systèmes d'Information ("ANSSI") ;
- Exemples : (i) signature via l'utilisation d'un logiciel de signature électronique exigeant la présentation d'un certificat qualifié préalablement délivré au signataire lors d'un face-à-face physique, sur une carte à puce ou une clé d'authentification cryptographique, (ii) signature via une application mobile garantissant une identification et une authentification forte du signataire (lui permettant de manifester son consentement) à l'aide d'un dispositif cryptographique géré par un prestataire de services de confiance qualifié.
- Les signatures électroniques qualifiées ont le même effet juridique qu'une signature manuscrite ;
- Présomption de fiabilité devant les tribunaux entraînant un renversement de la charge de la preuve. La preuve de l'absence de fiabilité de la signature électronique qualifiée devra être apportée par la personne qui conteste la signature et non l'inverse (article 1367 du Code civil) ;
- Niveau de fiabilité de l'identité du signataire du document : acquisition d'un certificat de signature électronique et garantie relative à l'identité, exigences réglementaires, fait l’objet de vérification ou de contrôle et à l'audit de l'ANSSI ;- Niveau de sécurité du dispositif de création de signature électronique : niveau de sécurité élevé avec un dispositif de création de signature électronique qualifié ou un jeton de signature (jeton physique tel qu'une clé USB, une carte à puce, un smartphone, etc.) délivré à une personne physique, exigences réglementées, fait l’objet d’un contrôle et de la certification de l'ANSSI.
Le Règlement eIDAS définit trois niveaux de signature électronique (signature électronique simple ou SE, signature électronique avancée ou SEA et signature électronique qualifiée ou SEQ). Pour plus de détails, voir la question précédente de ce FAQ.
Cependant, dans son « Guide de sélection du niveau des signatures et des cachets électroniques », l'ANSSI présente une signature électronique qui se situerait entre les niveaux SEA et SEQ : la signature électronique avancée (SEA) basée sur un certificat qualifié - cette signature électronique avancée basée sur un certificat qualifié est parfois présentée comme le 4ème niveau, alors que le Règlement eIDAS n'en définit que 3 : simple, avancée et qualifiée.
En réalité, l'ANSSI considère cette signature électronique avancée basée sur un certificat qualifié comme un 3ème niveau de signature conformément au Règlement eIDAS car ce niveau de signature électronique doit être audité par un auditeur tiers indépendant et certifié par l'autorité de contrôle (en France, l'ANSSI). Les seuls points qui semblent différer entre ce 4ème niveau de signature et la SEQ sont les suivants :- Une signature électronique ne doit pas être refusée comme preuve devant un tribunal au seul motif qu'elle est sous forme électronique. Toutefois, la preuve de sa fiabilité doit être apportée par le demandeur au moyen d'un "dossier de preuve" (intégrité des données, horodatage, identité du signataire). En effet, s'il n'y a pas de présomption de fiabilité liée à ce 4ème niveau de signature comme pour les SEQ, la preuve de l'identité du signataire est simplifiée par l'utilisation du certificat qualifié.
- Niveau de sécurité du dispositif de création de la signature électronique : contrairement à la SEQ, il n'y a pas d'exigences spécifiques pour ce niveau de signature ni de contrôle par un auditeur tiers indépendant ou une autorité de contrôle comme l'ANSSI.
Pour une signature électronique avancée (SEA), il existe deux possibilités principales pour identifier le signataire :
- SEA avec vérification de l'identité par un prestataire de services de confiance : un prestataire de services de confiance tel que DocuSign exécute le procédé d'identification et confirme l'identité du signataire par le biais d'un procédé de certification (par exemple, une vérification en personne, un service de vérification d'identité à distance certifié, une vérification approfondie d'une preuve d'identité soumise en ligne ou par téléphone mobile avec la possibilité de soumettre une pièce d'identité électronique ou une photo du passeport, de la carte d'identité ou du permis de conduire du signataire).
- SEA avec vérification d'identité déléguée à un tiers : ce procédé d'identification sera délégué au client par un prestataire de services de confiance tel que DocuSign et l'identité du signataire sera vérifiée directement par le client par la transmission d'un code SMS unique à un numéro de téléphone enregistré qui est lié de manière procédurale à l'identité du signataire.
Pour la SEA avec vérification d'identité effectuée par un prestataire de services de confiance (PSC), le PSC génère un certificat validant l'identité du signataire. Ce certificat délivré par le PSC augmentera la fiabilité de la SEA et de la preuve en cas de litige.
Les informations contenues sur ce site sont fournies à titre d'information générale uniquement et ne sont pas destinées à servir de conseil juridique. Les lois et réglementations régissant le sujet peuvent changer rapidement, DocuSign ne peut donc pas garantir que toutes les informations contenues sur ce site sont à jour ou correctes. Si vous avez des questions juridiques spécifiques concernant les informations contenues sur ce site, nous vous conseillons de consulter un avocat ou conseil dans votre pays.
Dernière mise à jour : Septembre 2023
Essayez gratuitement !
Essayez gratuitement DocuSign pendant 30 jours. Pas de carte de crédit requise
Contactez nos experts
Notre équipe sera ravie de vous aider à trouver les produits et les solutions qui vous conviennent.