La signature électronique : des enjeux de sécurité et de fluidité

Acte numérique authentique réalisé par une personne ou une entité, la signature électronique revêt la forme d’un nom saisi, d’une signature manuscrite et transcrite sur tablette, d’une signature scannée, d’une empreinte digitale ou d’une suite de caractères. Elle partage la même valeur juridique que la signature manuscrite, selon la loi du 13 mars 2000. Elle permet aux entreprises de signer à distance des documents, contrats, factures et appels d’offres et sert pour des téléprocédures de l’État. Porté par les défis de l’expérience utilisateur et de la sécurité, le marché européen de la signature électronique, mature et concurrentiel, est en croissance, tiré par la dématérialisation des échanges et l’essor du télétravail.

Quels sont les avantages ?
La signature électronique assure la sécurité et la rapidité des échanges. Son usage est rendu possible grâce à un procédé cryptographique asymétrique (une technique de chiffrage et de déchiffrage via deux mots de passe indépendants). Elle véhicule une multitude d’informations qui remontent jusqu’à son propriétaire.

L’accélération des procédures à distance constitue un enjeu fort de la signature digitale. Dans le cadre de l’achat d’un bien immobilier, à titre d’exemple, seul l’acquéreur est en droit de signer l’acte de vente et l’avant-contrat devant le notaire. Avec la signature électronique, l’opération se déroule sans encombre même si les parties prenantes sont géographiquement éloignées. Sur un marché dynamique et très concurrentiel, les acteurs ont des stratégies différentes pour gagner des parts de marché. La très grande majorité des prestataires ont déposé un dossier pour être certifiés par rapport au référentiel sur les prestataires de vérification à distance (PVID).

La mise en place de la signature électronique permet également d’automatiser les tâches chronophages. Quelques éditeurs de logiciels français et européen, spécialisés dans la signature électronique, proposent à leurs clients d’utiliser pour moitié l’application, pour moitié une intégration API pour permettre la signature électronique dans leurs processus métiers, souvent en marque blanche. Ils ont développé des connecteurs pour inclure
l’e-signature dans des éditeurs de CRM. Des éditeurs de logiciels métier ont choisi d’introduire la signature électronique directement. La majorité des transactions se fait par signature simple, l’autre part par signature avancée.

Quels sont les secteurs concernés ? De manière générale, la signature électronique dans un contexte B2C a également fortement évolué dans de nombreux secteurs.

La pandémie de la Covid-19 a généralisé l’utilisation de la signature électronique, notamment dans le secteur du transport et de la logistique. La signature électronique dans les marchés publics a été assez précurseur sur le sujet. Les appels d’offres publics et les commandes afférentes requièrent l’usage d’une clé USB de signature, disponible auprès de la CCI ou du Greffe du tribunal de commerce. Elle est la responsabilité du représentant légal et il engage sa responsabilité en cas de dommage de la clé de chiffrement. Un login/ identifiant et un mot de passe verrouillent l’accès à la clé de chiffrement. Le dispositif est livré avec un certificat.

Quels sont les trois niveaux de signature électroniques ? Si les principaux usages peuvent différer selon les pays et leur niveau de maturité, ils sont réglementés avec la réglementation européenne electronic Identification, Authentication and trust Services (eIDAS). Trois niveaux de signature, aux exigences croissantes (signatures simple, avancée, qualifiée), sont au choix en fonction du niveau de criticité du document à signer et de sa valeur : c’est un arbitrage entre la fluidité du parcours des signataires et le niveau de sécurité, et donc de risque sous-jacent, souhaité.

Une grande majorité de ces entreprises spécialisées dans la signature électronique sont cours de certification pour les différents niveaux eIDAS en France. Leur volonté étant d’élargir leur offre de digitalisation des contrats, au travers d’une gestion de cycle de vie complet du document, depuis sa préparation, sa signature jusqu’à son archivage documentaire. L’idée est d’automatiser des tâches chronophages. Par exemple, la collecte de données pour l’intégration de nouveaux salariés est fastidieuse. Elle peut être automatisée avec un template de document réutilisable.

La signature électronique en dehors de la rapidité d’exécution présente l’avantage d’englober plusieurs couches de sécurisation. Le règlement electronic Identification, Authentication and trust Services (eIDAS) propose 3 types de signatures suivant leur niveau de sécurité :

• la SES (Signature électronique Simple) sans certificat ;
• la SEA (Signature électronique Avancée ou numérique) avec certificat ;
• la SEQ (Signature électronique Avancée ou numérique Qualifiée) avec certificat.

Le premier niveau de signature digitale implique une simple collecte d’informations basiques. Dans le niveau 2, l’obtention du certificat nécessite la carte d’identité du titulaire pour réaliser son authentification. Dans le dernier niveau, la délivrance du certificat requiert une présence en face-à-face, entre le titulaire de la carte d’identité et l’opérateur d’enregistrement. Toutefois, certaines contraintes techniques et technologiques peuvent ralentir son usage. La signature électronique de niveau 3, propre aux marchés publics, nécessite l’usage d’une clé USB multifonction.

La signature électronique impose aussi des contraintes matérielles. Elle nécessite d’être équipée au moment de la signature d’un support numérique adéquat (smartphone doté de la technologie QR code, ordinateur, application, connexion internet…), ce qui peut aussi en limiter son usage.

Quels sont les risques ? Le risque d’usurpation d’identité est un autre risque auquel s’expose le propriétaire de la signature électronique. Car, malgré les niveaux de sécurisation avancés, la plupart des méthodes d’authentification s’opèrent par SMS sur le téléphone du titulaire du certificat, et cela peut représenter un risque en cas de perte de téléphone.

En cas de perte d’un terminal professionnel, les procédures sont différentes. Si l’entreprise est dotée d’un système de MDM (Mobile Device Management), les administrateurs de la flotte de téléphones ont la possibilité de géolocaliser l’appareil perdu et de bloquer à distance les données qu’il contient.

Ainsi, la signature électronique a un important potentiel de développement. La situation sanitaire de 2020, l’évolution de la réglementation et les nombreuses applications qui émergent contribueront à son essor. Mais comme toujours, l’enjeu sera de trouver le juste équilibre entre l’expérience client, la simplicité d’usage, les contraintes matérielles et le niveau de sécurité adéquat aux opérations souhaitées.